Phishing por correo electrónico
Phishing, que los hackers no roben tu identidad
Como efecto de la pandemia del COVID-19 aumentaron los delitos asociados a fraudes informáticos. Comprender en qué consiste el phishing y conocer las técnicas por e-mail más usadas ayudarán a proteger nuestra información y patrimonio.
Una de las prácticas informáticas deshonestas más comunes es el robo o suplantación de identidad, conocida como phishing. Esta práctica puede derivar en un delito informático (Ley Simple: Delitos Informáticos | Argentina.Gob.Ar,) con perjuicio patrimonial para la víctima y para también a las empresas que brindan servicios. Esto se debe a que cuando los usuarios son víctimas de este tipo de ataques de phishing, la organización que proporciona el servicio en línea a menudo sufre una pérdida de reputación y un daño financiero (Shekokar et al., 2015).
Esta metodología (Belcic, 2020) delictiva consiste en que un estafador se hace pasar por una entidad u organización prestataria de algún servicio frente a la víctima y, aduciendo algún beneficio o posibilidad de solucionar un problema (anzuelo), logra obtener información confidencial de su víctima. Información que luego se usa para adjudicar a la víctima falsas acciones y provocar pérdidas económicas a personas u organizaciones: transferencia de dinero, obtención de créditos, extracción de efectivo, etc. Otros efectos del phishing podrían ser el espionaje industrial o el robo de datos.
No existe una sola forma de atrapar a la víctima. Por e-mail (Shekokar et al., 2015), el estafador puede tomar contacto utilizando características que a simple vista parecen ser válidas. Ya que trata de imitar el email o mensaje que recibiría de una persona o entidad de confianza, como un ejecutivo de cuenta, el soporte técnico de alguna empresa o el contacto de una oficina gubernamental.
El motivo engañoso del contacto puede ser totalmente prometedor, como la adjudicación un premio o aparente beneficio. O, todo lo contrario, podría estar informando de un supuesto riesgo y solicitando el accionar inmediato de la víctima. En ambos casos, el efecto sorpresa pretende anular el buen juicio de la víctima.
La clave es desconfiar
- Si alguna de las siguientes situaciones se presenta en un e-mail: solicitud de datos personales o información de la cuenta o contraseñas.
- Se informan de cambios o problemas en la seguridad de alguna de las cuentas del usuario.
- El mensaje requiere una acción urgente o inmediata por parte del usuario.
- El mensaje no está dirigido al usuario explícitamente, no está personalizado.
- El tono de la comunicación no está a la altura del emisor aparente, ni presenta la calidad necesaria para la ocasión. Por ejemplo, el mensaje contiene faltas de ortografía, errores gramaticales o incoherencias.
- El mensaje no proviene de un contacto conocido o no lleva firma del remitente (Conoce a Fondo Qué Es El Phishing | Oficina de Seguridad Del Internauta).
A no picar el anzuelo, se pueden usar estas buenas prácticas [PDF, 180k] para evitar el robo de identidad (Belcic, 2020).
Si crees que los datos han sido comprometidos, se debe cambiar inmediatamente las contraseñas de acceso y contactarse con el soporte técnico correspondiente de la cuenta o sistema afectado.
Denunciar
Si fuiste víctima del phishing (Denunciar Un Delito Informático | Argentina.Gob.Ar):
- No borres, destruyas o modifiques la información de la computadora, notebook, celular, etc. relacionada con el hecho. La integridad de la información es vital para seguir adelante con las causas penales que se inicien.
- Guarda correctamente cualquier evidencia de la estafa y perjuicio. Una vez realizada la denuncia, procede de la forma que indique la autoridad interviniente.
- No reenvies mensajes, como e-mails constitutivos del delito.
- Denuncia inmediatamente el delito informático o pedí asistencia a nuestro equipo si sos miembro de la comunidad CONICET.
Consultas o comentarios dirigidos a “Seguridad de la información”.
Referencia
Belcic, I. (2020). ¿Qué es el phishing? | Detecte y evite los correos electrónicos de phishing | Avast. (2020). Recuperado el 15 de septiembre de 2020, de https://www.avast.com/es-es/c-phishing.
Conoce a fondo qué es el phishing | Oficina de Seguridad del Internauta. (s.f.). Recuperado el 12 de Septiembre de 2020, de https://www.osi.es/es/banca-electronica.
Denunciar un delito informático | Argentina.gob.ar. (s.f.). Recuperado 22 de Septiembre de 2020, de https://www.argentina.gob.ar/denunciar-un-delito-informatico.
Shekokar, N. M., Shah, C., Mahajan, M., & Rachh, S. (2015). An ideal approach for detection and prevention of phishing attacks. Procedia Computer Science, 49(1), 82–91. https://doi.org/10.1016/j.procs.2015.04.230