El phishing es un tipo de mensaje electrónico (es decir, enviado por email, SMS u otra aplicación de mensajería instantánea), que tiene el fin de obtener información o bienes de manera fraudulenta, manipulando el destinatario psicológicamente.
Este tipo de manipulación, en el ámbito de la seguridad informática, se conoce como Ingeniería social. La palabra phishing proviene del Inglés fishing, que significa pesca, haciendo referencia al uso de “anzuelo” que se utiliza para atraer a las víctimas. El primer uso registrado del término fue en el año 1995, cuando un grupo de hackers intentó “pescar” datos de usuarios de AOL, una empresa estadounidense de servicios de internet y medios, caso que después fue mediatizado con el nombre AOHELL (“AO-infierno”, en inglés).
El fishing vía SMS
El método más popular de phishing es vía correo electrónico, pero en los últimos años aparecieron también mensajes fraudulentos por SMS u otras aplicaciones de mensajería instantánea. Los mensajes phishing pueden dirigirse indistintamente al mayor número de destinatarios posible, o a individuos específicos. En el segundo caso, los destinatarios varias veces tendrán puestos ejecutivos o en departamentos financieros, con acceso a datos confidenciales de la organización, especialmente si trabajan en empresas de contabilidad y auditoría. Por lo tanto, aquellos que ocupan estos cargos deberán ser más cuidadosos aún al recibir un email o mensaje sospechoso.
Cómo identificar un intento de phising
Para identificar un email o un SMS de phishing la herramienta más importante es la cautela cuando abrimos un email, al dirigirse a enlaces que nos fueron enviados de cualquier entidad que no sea conocida y verificada, y al introducir datos personales y contraseñas en formularios o en mensajes electrónicos. En la mayoría de los casos, postergar la respuesta para realizar una breve revisión del emisor, del contenido y de los enlaces bastará para protegernos de estos intentos.
Gran parte de las direcciones de email maliciosas son identificadas de antemano por el servicio de email y son dirigidas a la carpeta de correo no deseado. Si bien también emails legítimos llegan a esta carpeta, es una primera indicación de actuar con más cuidado. Los sitios web maliciosos también son detectados y bloqueados por nuestro servicio web o por el navegador, pero si queremos tener mayor protección, debemos revisar de manera activa las direcciones sospechosas. La primera indicación de legitimidad de un sitio web (aunque no basta con ella) es el icono de candado y el prefijo https:// antes de la dirección del sitio.
Si quiere revisar la dirección de correo del remitente o el sitio, ten en cuenta que los emisores de mensajes de tipo phishing suelen usar direcciones de email y sitios web que se asemejan a direcciones legítimas, pero una revisión más detallada permitirá identificar en ellos cambios sutiles. Las grandes compañías y entidades formales tienen generalmente una terminación de email propia, idéntica a la dirección de su sitio web, por ejemplo, el sitio https://www.rae.es/ tendrá emails con la terminación “rae.es”, como contacto@rae.es. En la mayoría de los servicios de email es posible visualizar la dirección emisora antes de abrir el email, ubicando el cursor por encima del nombre del remitente. De la misma manera, generalmente se puede previsualizar la dirección de los enlaces incluidos en el email. Otra manera de visualizarlos es apretando el botón derecho del mouse.
Las direcciones web o email maliciosas alteran usualmente una dirección genuina utilizando una ortografía diferente difícil de detectar a primera vista, por ejemplo, http://www.rael.es/ o contacto@rael.es. Otro posible cambio es que el nombre de la entidad aparezca antes del signo de arroba, varias veces con una terminación de email personal, como contacto.rae.es@gmail.com, o ubicando el punto en otro lugar, como contacto@raees.es. A diferencia del punto, la barra oblicua en una dirección de sitio web es simplemente una página dentro del mismo sitio, por ejemplo, https://www.rae.es/biblioteca es la sección dedicada a la biblioteca dentro del sitio web de la Real Academia Española.
En caso de smishing, que es el término utilizado para mensajes de tipo phishing enviados por SMS, se recomienda como paso preventivo bajar aplicaciones solo de orígenes comprobados (por ejemplo, la tienda de Google o el sitio original de la aplicación), y revisar la cantidad de usuarios y comentarios antes de bajarla. En caso de un mensaje con enlace sospechoso, lo mejor es borrar el mensaje.
La manera más segura de protegerse ante un intento de phishing, frente a un pedido de información o de dinero, es poder contactar con la entidad o persona emisora por medios propios, ya comprobados. Por ejemplo, ingresar al sitio web que le sugiere su navegador (tras verificar su identidad según lo mencionado), entregar datos personales llamando al centro de atención al teléfono que figura en medios seguros (por ejemplo, en la factura mensual), descartando los enlaces y formularios sospechosos.
