El phishing es un tipo de ataque informático. Consiste en un conjunto de técnicas que persiguen el engaño de una persona, imitando la identidad de un tercero de confianza, como podría ser un banco, una unidad académica, una autoridad dentro de la unidad académica, empresa o red social, con el fin de manipularla y lograr que brinde información sensible (por ejemplo, usuarios y contraseñas, datos personales, entre otros) o acciones fraudulentas como transferencias de dinero u órdenes de pago.
El phishing utiliza el correo electrónico, u otros medios como SMS, WhatsApp, u otra red social, para ponerse en contacto con personas, a través de mensajes que imitan, casi a la perfección, el formato, lenguaje y la imagen de una entidad legítima (red social, banco, institución pública, entre otros).
Suelen incluir una acción, que siempre es urgente, por ejemplo «hacer clic acá», en la que redirigen a otro lugar en internet, donde solicitarán que se brinde información crítica por distintos motivos que no son reales: falsos problemas técnicos, actualizaciones de políticas que se deben aceptar para evitar la baja un servicio, posibles bloqueos de la casilla de correo o descargas de archivos que pueden contener malware y así infectar nuestros dispositivos.
Recomendaciones para evitar el Phishing
- No apresurarse a contestar.
- Verificar por otra vía la identidad de quien realmente se está contactando.
- Configurar un doble factor de autenticación en los servicios que sea posible.
- Verificar los siguientes datos del mensaje:
¿La cuenta o remitente es desconocido o no coincide con el dominio de quien envía el mensaje?
Comprobar que la dirección de correo electrónico coincide con la empresa que supuestamente envía el mensaje.
¿Se solicita una acción urgente?
Con la urgencia buscan impedir que te detengas a pensar que se puede tratar de un fraude.
¿Se solicita alguna acción a través de un enlace?
Evitar seleccionar enlaces que lleguen por correo electrónico, SMS o redes sociales. Es más seguro dirigirte directamente a la página oficial del lugar que necesitás acceder. Para comprobar que el sitio es seguro, verifica que comienza con https y que la apariencia gráfica, logo y lenguaje coincidan con la real.
¿Se solicita la descarga de archivos?
No abrir ni descargar archivos desconocidos, ya que podrían infectar tu dispositivo con malware.
¿Se solicita información personal o financiera?
Nadie debe pedir que reveles contraseñas, PIN, códigos de seguridad de la tarjeta de crédito, o datos referentes al doble factor de autenticación, como los números de una tarjeta de coordenadas. Si solicitan esta información, con certeza se trata de un engaño.
¿El texto es incorrecto o carece de sentido?
Pueden contener errores ortográficos o de redacción, debido al uso de traductores automatizados. La estética también podría asemejarse mucho a la original, pero con pequeñas diferencias. Estar atentos a estos detalles es una forma de prevenir el engaño.
Otras formas de Phishing
Spear phishing: El mensaje se dirige a personas, empresas u organizaciones específicas.
Whaling: El remitente del mensaje simula ocupar cargos de nivel superior en una organización e intenta engañar a gerentes y directivos dentro de ella, con el fin de recibir una transferencia, conseguir información confidencial u obtener acceso a sus sistemas informáticos con fines delictivos.
Smishing: Se envían mensajes de texto por una red de mensajería, SMS, WhatsApp, entre otros. El mensaje busca que hagamos clic en un enlace enviado, o que respondamos al número de teléfono sugerido.
Vishing: Mediante una llamada telefónica, la persona que se comunica intenta generar confianza para que el usuario le otorgue información personal o de la empresa.
Recomendaciones a seguir ante un ataque Phishing
- Cambiá la contraseña al detectarlo.
- Denunciar el incidente ante la organización que imitaron para engañarte: institución financiera, red social, proveedor de correo, entre otros.