¿Qué es el phishing?

Seba Bortnik —  12 febrero 2008 — Deja un comentario

Hoy estuve trabajando en este concepto (ya les contaré para qué) y decidí escribir un poco y, de forma breve, de qué se trata esta amenaza informática que, a diferencia de un virus, no atenta contra nuestro ordenador; sino contra nuestra privacidad y nuestro dinero.

El phishing es un ataque informático, que tiene como objetivo obtener información confidencial del usuario. Esta información puede ser: acceso a correos electrónicos, cuentas bancarias, tarjetas de crédito, mensajería instantánea, sitios de compra on-line o directamente información sensible del usuario como sus números de documento, pasaporte, domicilio, etc.

En el primer caso, el ataque persigue un objetivo económico mientras que en el segundo caso (menos común) estamos hablando de robo de identidad.

Como se puede ver, a diferencia de los ataques informáticos más comunes para los usuarios, como virus o gusanos, el phishing no atenta contra el rendimiento de nuestra computadora, sino contra nuestro dinero y nuestra privacidad.

Pero, ¿en qué consiste el phishing? El ataque se realiza de la siguiente forma:

  1. El usuario recibe un correo electrónico (aparentemente legítimo) en donde se lo invita a utilizar un enlace (link) para actualizar algún dato personal.
  2. El usuario hace clic en el vínculo del correo electrónico e ingresa a la página web (aparentemente legítima) de la organización.
  3. El usuario ingresa sus datos personales.
  4. Los datos ya están en poder del atacante.

El secreto de toda esta tecnica radica en la similitud del correo electrónico y el sitio web, respecto a los sitios originales. La característica particular del phishing es esa: la falsificación de un sitio web, emulando las características de otro (logo, letras, colores, estructura), de forma tal que el usuario crea que está en el sitio correcto.

En concreto, recibo un mail del Banco ABC que me indica que debo validar mis datos de ingreso a la cuenta bancaria. El remitente (contacto@bancoabc.com) es confiable, el logotipo del banco está en el correo e incluso figura el teléfono real del banco en el cuerpo del mensaje por cualquier cosa. Al pie, un mensaje:

Modifique sus datos en: http://www.bancoabc.com.ar/datospersonales.

El usuario hace clic y se le abre el Internet Explorer 🙂 y la página oficial del banco. Sí, “la oficial” a los ojos del usuario que ya ha utilizado este servicio varias veces y puede observar que la web es la misma que ingreso siempre. Sin embargo, si pepito presta atención en la barra de direcciones puede observar (por ejemplo):

http://freehosting.bancoabc.com/datos

Es decir, el principal fuerte del phishing es la capacidad de direccionar enlaces a cualquier sitio, independientemente del texto que pongan. Por ejemplo, yo puedo poner estos links a Mundo Binario y Google de forma intercambiada:

https://unmundobinario.wordpress.com

http://www.google.com

Este es el secreto del phishing,combinado con un trabajo de ingeniería social y de diseño para incitar al usuario a confiar en los contenidos del correo.

Aunque usted no lo crea, este ataque es más común de lo que parece. Muchos de los spam que reciben diariamente, son intentos de phishing.

Para que así lo vean, los invito a mirar un artículo que escribió mi amigo Cristian, de Segu-Info, en el blog de noticias, donde podrán observar once casos de phishing a populares sitios de correo electrónico.

En fin, ninguno de nosotros estamos excentos del phishing y, más vale estar siempre informados. La clave, ¡no hacer clic en cualquier enlace! Siempre tenemos dos alternativas viables y simples: tipear a mano la dirección o copiarla en nuestro navegador para no ser víctimas de esta estafa. El exceso de clics es una de las debilidades de los usuarios que más le da de comer a los ataques informáticos. Tenemos una tendencia querer ver todo, sin importarnos si es interesante o no, maligno o no.

El phishing ha evolucionado y hoy en día existen variantes más complejas para evitar pero, por ahora, si no hacen clic en cualquier lado, yo, ya cumplí mi objetivo del día… ¡a cuidarse!

Anuncios

No hay comentarios

¡Se el primero en comenzar la conversación!

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s