Portada General Qué es el Phishing y cómo Puedes Protegerte
Una de las cosas que más buscan los hackers informáticos es hacerse con contraseñas de acceso e información privada de cualquier persona, agencia, empresa, etc…
La técnica más usada para que un tercero consiga las credenciales de acceso de cualquier sitio web o servicio de una persona es muy sencilla, nada de complejos algoritmos que investigan la vida privada del individuo para averiguar cómo se llamaba su primera mascota, no, la técnica más usada en preguntar al usuario cual es su contraseña, ni más ni menos.
Como podemos imaginar, no se trata de que alguien nos pregunte nuestro nombre de usuario y contraseña para hackearnos, se trata de engañar al usuario haciéndose pasar por la empresa o servicio legítimo al que está suscrito para que sea el propio usuario el que facilite los datos. A esto se le llama PHISHING.
La palabra phishing viene del inglés, de otra palabra: fishing y quiere decir pescando, aunque si lo buscamos en Google Translate lo traducirá como suplantación de identidad y si buscamos el significado en el Cambridge Dictionary nos dirá algo así como que es “un intento de engañar a alguien para que brinde información a través de Internet o correo electrónico.
Básicamente, el phishing es lanzar un anzuelo a alguien con la intención de que esta persona le facilite una información privada.
De esta forma el estafador informático no tiene que realizar un trabajo arduo como puede ser descifrar una contraseña por fuerza bruta, simplemente engaña al usuario para que él se lo facilite.
La forma en la que se lanzan estos anzuelos suele ser el correo electrónico, pero también pueden usar otros medios como las redes sociales o mensajes de texto.
Para engañar al usuario, un correo electrónico falso debe parecer real, así que logotipos, tipos de letra, estilos, etc… serán igual o muy parecidos a los originales.
Por lo general, el correo electrónico tendrá un enlace que llevará a una página web falsa pero que resultará familiar, ya que los logotipos y la estructura de la web puede ser muy parecida a la que se está acostumbrado.
En esta página web el usuario introducirá su nombre de usuario y contraseña para acceder al servicio, posiblemente para cumplir con lo exigido en el email recibido y a partir de ese momento, esa cuanta ya habrá sido captada por el estafador informático.
Lo que pase a partir de ese momento, dependerá del tipo de cuenta conseguida y las intenciones del estafador, aunque normalmente las intenciones suelen ser monetarias.
Si estás pensando si eres un objetivo para un ataque phishing deberías preguntarte si tienes una cuenta de correo. Si la respuesta es afirmativa, si, eres un objetivo para un ataque phishing.
Al principio los ataques phishing se centraban en entidades bancarias con un objetivo muy claro, entrar en la cuenta del usuario y robarle el dinero.
Hoy en día existen ataques phishing para cualquier cosa, acceso a cuentas de correo como Outlook o Gmail, redes sociales, servicios de pago, etc…
Los ataques a cuentas de correo son muy habituales ya que dan acceso a multitud de contraseña. En cualquier sitio que se de de alta un usuario se le va a pedir una cuenta de correo electrónico para confirmar dicha alta. Si se le da acceso a dicha cuenta el hacker sólo debe buscar en el histórico de emails qué servicios usa la víctima y recuperar las contraseñas y hacer lo que les plazca.
Para evitar los ataques phishing lo mejor es usar una máxima, siempre desconfiar y ante la más mínima duda sobre si es cierto o no el email que se está leyendo, no arriesgarse.
Los ataques phishing suelen serllamativos y alarmantes para que el usuario reaccione sin pensarlo dos veces y caiga en la trampa.
Si se recibe un email de Outlook indicando que los emails están bloqueado porque no ha verificado la cuenta, si una conocida marca de ropa regala 200€ a los 10 primeros que lo soliciten, si nuestro banco nos informa que nuestra cuenta se encuentra bloqueada y van a devolver todos los recibos si no actuamos antes de 24 horas, etc…
Cualquier cosa fuera de lo habitual y llamativa debería hacernos dudar y verificar la información.
Tampoco, nunca jamás, ningún banco o sitio web nos pedirá que le enviemos nuestra contraseña de correo para verificarla, eso es falso.
Otra medida que se puede tomar es no hacer click en el enlace del email que hemos recibido. Si nos llega un email de Outlook para que verifiquemos la contraseña y sospechamos, en lugar de hacer click en el enlace para que nos redireccione, es mejor ir a la www.outlook.com y entrar. Si de verdad tienen algo que decirnos, en cuanto accedemos el sistema nos avisará.
No de fíes de la dirección del de correo que envía el email. Es muy fácil falsificar este dato haciendo email spoofing.
Si hemos hecho click en el enlace del email, debemos fijarnos en la URL de la página web.
La URL podemos verla en la parte superior de los navegadores e indica el dominio en el que nos encontramos. Por ejemplo, si entramos en Hostinet.com veremos que en el navegador algo así.
Una de las técnicas del phishing es intentar duplicar la página de login para que no se desconfíe al introducir la contraseña, pero por muy buenos que sean copian, no pueden cambiar la URL.
Así que, si por ejemplo, vamos a entrar a nuestra cuenta de Facebook desde el enlace de un email y vemos que la URL es algo como esto:
Significa que están intentando engañarnos y apoderarse de nuestra contraseña de acceso a la red social.
Es siempre muy importante fijarse en la URL para evitar posibles engaños y caer en la trampa phishing.
Si se echa un vistazo a la carpeta de spam o correo no deseado, posiblemente podemos encontrar algún correo phishing.
Por ejemplo de algún banco que nos solicita algo aunque nunca hayamos tenido una cuenta en esa entidad bancaria. Simplemente “prueban”, tiran el anzuelo pensando que un porcentaje de usuario si tendrán una cuenta en ese banco y les harán caso.
Los filtros antispam de las grandes compañías hacen un buen trabajo mandando toda esa basura donde corresponde.
En Hostinet ofrecemos a los clientes dos herramientas para luchar contra los correos phishing.
Los filtros antispam detectan la mayoría de los emails phishing, pero no son perfectos y pueden fallar. Debemos estar siempre alerta ante los intentos de phishing
Una de ellas es el filtro antispam, que instalamos por defecto en todos los hosting web, llamado Apache SpamAssassin™ de la que se puede encontrar información de cómo activarlo y configurarlo en este artículo.
Una herramienta para detectar intentos de engaño en los correos electrónicos es activar la verificación SPF desde el panel de control del hosting.
Esta verificación comprueba que quién envía el email, lo hace desde el servidor permitido, para así evitar que nos llegue un email con un remitente que parece legítimo, pero que en realidad no lo es.
La verificación SPF es posible activarla desde el panel de control cPanel y se puede encontrar más información al respecto en este enlace
Estas dos herramientas que se ofrecen en Hostinet están disponibles para todos los alojamientos que dispongan de cPanel, pero como todos los hosting web compartidos Linux que ofrecemos cuentan con cPanel, así que todos los alojamientos web, incluso los más baratos, disponen de estas herramientas para proteger sus cuentas de correo electrónico de los intentos de phishing: