Naranja #14


Consejo de Seguridad

Prevenir los ataques de Phishing

Como puede leerse en nuestro documento de Phishing, este término se refiere a la "pesca" de información proveniente de un usuario descuidado para luego estafarlo. Esta amenaza se ha popularizado con los servicios online de banca electrónica, servicios financieros y economicos, casinos, etc.

A continuación puede apreciarse un clásico correo falso que simula provenir de una entidad bancaria y que nos insta a que "verifiquemos" nuestros datos. Como puede verse al pie del mismo la dirección del banco no es la misma a la que apunta el enlace.

Phishing

¿Cómo nos prevenimos ante esta amenaza? A continuación mencionarmos algunas formas de defensa contra este tipo de ataques.


Protocolo HTTPS

Lo primero que debemos chequear al acceder a una página donde debamos colocar datos confidenciales, como accesos a banca electrónica o cualquier transacción que implique claves o pines en forma digital, es la barra de direcciones de nuestro navegador (conocida como URL). ¿Qué debemos mirar? Que la dirección a la cual deseamos ingresar comience con https://

¿Qué significa esto? HTTPS es un protocolo de comunicación utilizado en sitios webs seguros y que usa criptografía para transmitir los datos por un canal cifrado. Justamente la "s" después de "http" significa "seguro". El sitio que utilice este protocolo cumple con ciertos estándares de comunicación que lo hacen apto para transacciones comerciales. Los datos que ingresemos en este sitio web y en sus formularios serán cifrados cuando se transmitan. También notaremos un pequeño candado en la barra de navegación o de estado del navegador.

Protocolo Seguro

¿Con esto evitamos el Phishing? No, sólo es una de las consideraciones que debemos tener en cuenta. Las entidades que realizan transacciones comerciales generalmente se interesan por la seguridad de sus clientes y es por eso que optan por utilizar el protocolo "https" en vez del clásico "http" utilizado en todos los demás sitios. Además, los creadores de páginas falsas generalmente no invierten tiempo/dinero en crear este tipo de sitios ya que prefieren trabajar rápido para maximizar sus ingresos engañando al usuario.


Certificados Digitales

Un Certificado Digital es un documento digital mediante el cual una entidad certificante y de confianza garantiza la identidad de un sujeto o de una organización.

La presencia de un certificado, precisamente nos informa que alguien (una entidad reconocida y de confianza) ha certificado la página como válida, como correcta, como propiedad de quien dice ser y no es engañosa ni creada por personas desconocidas o que buscan engañar al usuario. Estos certificados, además tienen una fecha de expiración luego de la cual la entidad deberá revalidar su certificado, revalidando así su identidad.

Podemos chequear la información del certificado, constatando quién emitió el certificado, para qué empresa o entidad lo hizo, su fecha de validez y de caducidad. La validación de esta información nos permite decir con cierto grado de certeza si una página web es verdadera o falsa, así como verificar la identidad de sus creadores.

Para ver la información de un certificado digital basta con hacer doble clic sobre el candado mostrado anteriormente.

Certificado Digital

Además de los dos puntos técnicos analizados deberías tener en cuenta lo siguiente cada vez que vas a realizar una transacción online:

  1. Evita el SPAM ya que es el principal medio de distribución de cualquier mensaje que intente engañarte.
  2. Toma por regla general rechazar adjuntos y analizarlos con un antivirus aún cuando estés esperando recibirlos.
  3. Nunca hagas clic en un enlace incluido en un mensaje de correo. Siempre intenta ingresar manualmente a cualquier sitio web.
  4. Debes saber que tu entidad, empresa, organización, etc., sea cual sea, nunca te solicitará datos confidenciales por ningún medio, ni telefónicamente, ni por fax, ni por correo electrónico, ni a través de ningún otro medio existente.
  5. No respondas solicitudes de información que lleguen por e-mail. Cuando las empresas reales necesitan contactarnos tienen otras formas de hacerlo, de las cuales jamás será parte el correo electrónico debido a sus problemas inherentes de seguridad.
  6. Si tienes dudas sobre la legitimidad de un correo, llama por teléfono a la compañía a un número que conozca de antemano... nunca llames a los números que vienen en los mensajes recibidos.
  7. El correo electrónico es muy fácil de interceptar y de que caiga en manos equivocadas, por lo que jamás se debe enviar contraseñas, números de tarjetas de crédito u otro tipo de información sensible a través de este medio.

Modo Paranoico

Siempre escribe manualmente la dirección (URL) de cada página donde luego ingresarás datos confidenciales. Siempre verifica que la URL comience con https y corrobora el certificado digital asociado.

Hazte el hábito de examinar los cargos que se hacen a tus cuentas o tarjetas de crédito para detectar cualquier actividad inusual.

Usa un antivirus y un firewall. Estas aplicaciones no se hacen cargo directamente del problema del phishing pero pueden detectar correos con troyanos o conexiones entrantes/salientes no autorizadas o sospechosas.

Si conoces algún tipo de amenaza como las citadas, denuncialas a la unidad de delitos informáticos de tu país o a la entidad en donde detectaste el fraude.

Intenta no realizar transacciones online desde sitios públicos.