El "phishing" es una práctica que pretende conseguir de un usuario sus datos personales. Ya sean claves de acceso y contraseñas, números de cuentas bancarias, números de tarjeta de crédito, identidades, etc., a través del phishing el atacante busca alcanzar "todos los datos posibles" de su víctima para luego usarlos de manera fraudulenta. Para conseguir su objetivo, el atacante finge ser la organización con la que tienes algún trato, y para ello monta una página web similar. El malhechor envía de forma masiva correos electrónicos requiriendo actualización de datos, o informando de aparentes operaciones cargadas a la cuenta de la víctima, o informando que la cuenta del usuario fu bloqueada, entre otras afirmaciones. El mensaje contiene un enlace a la página web falsa, que hace parecerle a la víctima que todo está bien. El objetivo es causar en la víctima la impresión de que tiene que actuar de prontitud para impedir algún problema.

Lo cierto es que la organización fue sustituida y la víctima está por otorgar sus datos y ser objeto de fraude. En el mejor de los casos puede ser una falsificación de identidad; como una cuenta de correo electrónico gratuita a la que ya no gozará de acceso. En el peor de los casos serán operaciones financieras no autorizadas; como compras colosales, retiros de dinero, etc., que son el objetivo principal del phishing. Lo curioso es que a pesar de que se ha advertido de este tipo de fraudes, hay personas que hacen clic en los enlaces falsos de los mensajes de correo electrónico de este tipo e ingresan los datos que les solicitan.

Es habitual que las organizaciones con operaciones en, no envíen correo electrónico para pedir actualización de datos. El correo electrónico es la manera más utilizada para perpetrar phishing, ya que estamos conectados a Internet y se puede ingresar a la falsa página web de inmediato. Otra vía es el teléfono, aquí la ingeniería social juega un papel trascendental y puede ser el umbral de otros delitos, porque en algunos lugares los atacantes están organizados, y se valen de la información conseguida para evaluar a sus víctimas. Un ejemplo es recibir un mensaje en tu celular indicando que ganaste un aparente premio y debes llamar al número indicado en el mensaje o una llamada para pedirle la supuesta validación de datos. Te envuelven tanto que, una vez conquistada la confianza, suministres datos sensibles como el PIN o la clave de acceso. Los atacantes pretenden beneficiarse de la ingenuidad, curiosidad e impulso de sus víctimas. ¿Qué tal si es cierto? se preguntan las víctimas como excusa después de facilitar sus datos. Justificación que rápidamente se tornará en un dolor de cabeza.

¿Cómo debemos prepararnos?

Jamás suministres datos a terceros que no conozcas. Si deseas actualizar tus datos en el sitio web oficial de la organización, escribe tú mismo la dirección web en el navegador; y por teléfono, marcando el número telefónico oficial de la organización. 

Usa un navegador web con funcionalidad anti-phishing. El navegador web notificará cuando se pretende acceder a un sitio web falso. Usa la tecnología SSL para averiguar si la página es la que se desea visitar.  

Usa un producto anti-spyware y mantenlo actualizado. 

Usa un antivirus y mantenlo actualizado. Existen productos que bloquean estos mensajes, enviándolos a la bandeja de correos no deseados o no permitiendo que funcionen los enlaces que contienen.

Esta obra está bajo una Licencia Creative Commons Atribución-Compartir Igual 3.0 Unported.