sábado, 19 de noviembre de 2011

Phishing, las estafas en Internet

En posts anteriores aludíamos a seguridad como uno de los factores determinantes en la implantación y expansión de cualquier tipo de negocio en la red: el creciente número de demandas por estafas a través de la red y la consiguiente inseguridad que ello genera, es el mayor problema al que se enfrentan las empresas y los usuarios en Internet. Es por ello que en la actualidad es necesario conocer a qué tipos de problemas nos podemos enfrentar al hacer uso de la red y cómo evitarlos.

El phishing es una modalidad de estafa cibernética que se basa en obtener información personal y confidencial de los usuarios de forma fraudulenta, especialmente datos bancarios. El estafador (phisher) sustituye la identidad de una institución, persona o empresa de confianza a través de diferentes soportes y métodos. El más sencillo es a través de la recepción de un sms o una llamada telefónica en la que se piden datos personales.

El más común es, seguramente, a través del correo electrónico. También es el más conocido por los internautas: aprovechando las vulnarebilidades de los navegadores y gestores de correo, se envía un correo a un usuario simulando la identidad de un organismo o empresa y pidiendo datos de tipo personal con la excusa del mantenimiento de la web o motivos de seguridad. A menudo el correo viene acompañado de formularios, enlaces falsos, imágenes oficiales de la empresa...

Otro de los clásicos es el de la página web o la ventana emergente: se simula, a través de la suplantación visual, a una página oficial, duplicando el interfaz (este método es conocido como Cross Site Scripting). De esta forma, el usuario muchas veces no se percata de que está facilitando sus datos en una página que no es segura. Aunque lo más común es la duplicación de entidades bancarias (en los que los usuarios inician sesión en una página con una url y unos certificados de seguridad que parecen los de la página auténtica), también es necesario tener en cuenta los portales falsos con señuelos llamativos y ofertas irreales (gane un ferrari, es nuestro visitante un millón...), en los que los usuarios más ingenuos facilitan sus datos bancarios.

Pero el más actual, sin duda alguna, es el de la contratación de personas vía e-mails, chats o irc como teletrabajadores a través de ofertas de empleo muy rentables y en las que obtendrán fácilmente dinero. Los que contesten a la oferta deberán relleran un formulario con sus datos (entre los cuales se incluyen los datos bancarios, supuestamente para percibir los beneficios). Estas personas se convierten, sin saberlo, en víctimas y delincuentes a la vez, ya que estarán siendo utilizados para el blanqueo del dinero resultante de las estafas: la víctima-trabajador recibe una pequeña comisión como intermediario, pero sin saberlo está incurriendo en un delito  por el que podrá ser juzgado.

Existen diferentes técnicas para combatir el phishing. Las empresas, por ejemplo, pueden enseñar a sus empleados a reconocer posibles casos de phishing o pueden personalizar los correos para que el usuario pueda contrastar que provienen de la entidad a la que está suscrito (este es el caso de Ebay y Paypal, donde el cliente recibe e-mails en los que se le denomina por su nombre). También existen programas informáticos antiphishing y poco a poco se avanza en la regulación legal y judicial, que se ve reflejada en respuestas cada vez más contundentes. Sin embargo, el método más eficaz para evitar ser víctima de una estafa en Internet es ser consciente de los métodos utilizados por los pishers, no dar nunca contraseñas o datos personales (ya que las empresas reales ya poseen esos datos) y teclear la URL de la página a la que se vaya acceder (como en el caso de las entidades bancarias), nunca a través de enlaces encontrados en los buscadores o recibidos en e-mails.

Alba Capilla Elena



No hay comentarios:

Publicar un comentario