Phishing, que los hackers no roben tu identidad

Una de las prácticas informáticas deshonestas más comunes es el robo o suplantación de identidad, conocida como phishing. Esta práctica puede derivar en un delito informático (Ley Simple: Delitos Informáticos | Argentina.Gob.Ar,) con perjuicio patrimonial para la víctima y para  también a las organizaciones que brindan servicios. Esto se debe a que cuando los usuarios son víctimas de este tipo de ataques de phishing, la institución que proporciona el servicio en línea a menudo sufre una pérdida de reputación y un daño financiero (Shekokar et al., 2015).

Esta metodología (Belcic, 2020) delictiva consiste en que un estafador se hace pasar por una entidad u organización prestataria de algún servicio frente a la víctima y, aduciendo algún beneficio o posibilidad de solucionar un problema (anzuelo), logra obtener información confidencial de su víctima. Información que luego se usa para adjudicar a la víctima falsas acciones y provocar pérdidas económicas a personas u organizaciones: transferencia de dinero, obtención de créditos, extracción de efectivo, etc. Otros efectos del phishing podrían ser el espionaje industrial o el robo de datos.

No existe una sola forma de atrapar a la víctima. Por e-mail (Shekokar et al., 2015), el estafador puede tomar contacto utilizando características que a simple vista parecen ser válidas. Ya que trata de imitar el email o mensaje que recibiría de una persona o entidad de confianza, como un ejecutivo de cuenta, el soporte técnico de alguna institución o el contacto de una oficina gubernamental.

El motivo engañoso del contacto puede ser totalmente prometedor, como la adjudicación de un premio o aparente beneficio. O, todo lo contrario, podría estar informando de un supuesto riesgo y solicitando el accionar inmediato de la víctima. En ambos casos, el efecto sorpresa pretende anular el buen juicio de la víctima.

La clave es desconfiar

Atención si recibís un correo con las siguientes características:

• Remitente sospechoso: Verificá siempre la dirección de correo real que se oculta tras el “nombre mostrado”. Los atacantes suelen usar nombres de remitentes legítimos pero con direcciones de correo externas.
• Urgencia extrema: Mensajes que exigen una acción “inmediata” bajo amenaza de bloqueo o pérdida de acceso.
• Falta de personalización: El mensaje es genérico y no está dirigido  explícitamente a usted.
• Calidad de comunicación pobre: Presencia de errores gramaticales, faltas de ortografía o un tono que no coincide con el emisor aparente.
• Solicitud de datos sensibles: Ninguna entidad legítima te pedirá datos personales que ya tiene o tus contraseñas de acceso.
• Enlaces e hipervínculos engañosos: Antes de hacer clic, pasá el puntero del mouse sobre el enlace o botón para visualizar la URL real en la esquina inferior del navegador. Si la dirección no coincide exactamente con el dominio oficial, no ingreses.
• Firma: desconfiá si el mensaje no proviene de un contacto conocido o no lleva firma del remitente (Conoce a Fondo Qué Es El Phishing | Oficina de Seguridad Del Internauta).

A no picar el anzuelo, se pueden usar estas buenas prácticas [PDF, 180k] para evitar el robo de identidad (Belcic, 2020).

Si crees que los datos han sido comprometidos, cambiá inmediatamente las contraseñas de acceso y contactate con el soporte técnico correspondiente de la cuenta o sistema afectado.

Denunciar

Si fuiste víctima del phishing, actuá bajo estos lineamientos para facilitar la intervención legal (Denunciar Un Delito Informático | Argentina.Gob.Ar):

• No borres, destruyas o modifiques la información de la computadora, notebook, celular, etc. relacionada con el hecho. La integridad de la información es vital para seguir adelante con las causas penales que se inicien.
• Guarda correctamente cualquier evidencia de la estafa y perjuicio. Una vez realizada la denuncia, procede de la forma que indique la autoridad interviniente.
• No reenvies mensajes, como e-mails constitutivos del delito.
• Denuncia inmediatamente el delito informático o  pedí asistencia a nuestro equipo si sos miembro de la comunidad CONICET.

Consultas o comentarios dirigidos a “Seguridad de la información”.