Los diez mandamientos contra el ‘phishing’

1 month ago 597

El término phishing viene del verbo “pescar” en inglés. En esencia, el phishing es simplemente eso: cuando un usuario malicioso, al que podríamos llamar trol, nos envía un correo para ver si “picamos” y le damos información personal sin querer. 

¿Cómo reconocer un correo de phishing?

En general los atacantes intentarán hacerse pasar por una persona en la que confías, por lo que el correo parecerá enviado por una “fuente confiable”, con logos oficiales de la empresa o con enlaces a webs que visualmente son iguales a la de las empresas reales. 

Este tipo de correos tienen rasgos comunes. Fundamentalmente, son estos:

Suelen intentar mover al usuario a realizar una acción indicando que ha habido un problema con tu cuenta y ofrecen un enlace para recuperar tu contraseña.Utilizan nombres y adoptan la imagen de empresas reales pero hay cosas que no cuadran en el correo.Como gancho utilizan regalos o incluyen ficheros adjuntos con extensiones ejecutables (.exe) o aplicaciones que debes instalar en tu equipo para evitar el apocalipsis zombie. El correo tiene una alta urgencia indicándonos que si no le damos al botón ya o ya nuestro ordenador se destruirá en 5 segundos.El phishing no sólo se produce por correo electrónico. A veces podemos recibir una llamada de alguien diciendo que es de la compañía A y que le demos nuestra clave para comprobar un problema con tu cuenta o para conseguir el descuento del siglo. Desconfía siempre y no des nunca datos sin haber iniciado tu la comunicación (vía teléfono, email o accediendo tu directamente al sitio web oficial)

Te dejamos aquí diez mandamientos para evitar ser víctima de este engaño.

1 | Evitarás dar datos personales sobre todas las cosas

Nunca -insistimos: nunca- des tus datos personales por correo, especialmente contraseñas u otra información sensible.

2 | No tomarás el remitente del correo en vano

En un ataque de phishing el remitente intenta hacerse pasar por alguien de confianza, pero con un poco de atención es posible identificar pistas de que estamos ante un ataque. Te recomendamos que estés atento a lo siguiente:

No confíes en el nombre que muestra el correo. Verifica que el correo es de confianza viendo la dirección de correo del remitente, no te quedes sólo con el nombre que muestra.

Si eres usuario de Gmail, se ve fácilmente pulsando en la flecha que está al lado de: “para mí” 

En el ejemplo que mostramos abajo nos llega un correo diciendo que es de “MyBank” (sustituid esto por el nombre de vuestro banco). Nos tenemos que quedar realmente con la dirección de correo, la cual viene de @secure.com, una dirección que no tiene nada que ver con la entidad bancaria. Por tanto, sé que estoy ante un ataque de phishing.

Presta mucha atención a cómo está escrito el remitente del correo. Si recibimos, por ejemplo, un mensaje de la dirección de correo NO-REPLY@MlCROSOFT.COM deberíamos estar atentos. Si vemos con detalle este correo, la “i” de Microsoft no es una “i” sino una ele mayúscula. El dominio real es entonces mlcrosoft.com. Esto es, el de alguien suplantando la identidad de Microsoft.

Presta aún más atención al nombre del dominio y los enlaces. El dominio es aquello que en un correo va después del @. Tenemos que fijarnos que cualquier enlace al que accedamos venga de un dominio de confianza.

3 | Desactivarás la previsualización de elementos en clientes de correo

¿Qué quiere decir este mandamiento? Que en general es aconsejable que accedas al correo electrónico siempre desde su plataforma propia. De esta manera, no te descargas nada en tu equipo sin que previamente hayas hecho un click explícito. Si usas un cliente de correo -una plataforma como Outlook, por ejemplo- comprueba que tienes un antivirus y en la medida posible desactiva las opciones de descarga automática de imágenes y adjuntos.

4 | No clickarás en nada sin revisarlo antes

Aunque el enlace que puedes ver parezca correcto no te fíes. Mueve antes el ratón sobre el enlace y mira qué pone en la barra inferior del navegador: ahí podrás ver la verdadera dirección del enlace. 

5 | No consentirás faltas de ortografía

Parece mentira, pero muchas veces los ataques de phishing contienen errores ortográficos graves. Bien porque lo escribe un sistema automatizado, bien porque el atacante es de otro país, bien porque no han prestado mucha atención al crear el correo. Desconfía ante correos mal escritos.

6 | No cometerás errores por hacer algo con prisa

Una técnica común de los correos de phishing es pedirle al usuario que realice una acción de forma inmediata y urgente, generalmente aduciendo que hay un tiempo límite para llevar a cabo una acción. De esta manera consiguen que tomes una decisión rápida y precipitada sin fijarse en los detalles del correo. No hagas nada con prisa. Revisa siempre.

7 | Preguntarás al remitente o a un ‘friki’

Si recibes un mensaje de correo sospechoso pero de una dirección bajo un dominio (te explicábamos qué es en el segundo mandamiento) que conoces, pregúntate antes: ¿Esa dirección de correo realmente existe? Si conoces al remitente, pregúntale -seguramente tengas su WhatsApp- antes. Y si no, consulta a un friki: todos tenemos un amigo que sabe moverse en el mundo digital y que está acostumbrado a hacer favores.

Este mandamiento es especialmente importante si el correo te pide que realices alguna acción como entrar en un enlace en concreto o enviar tu contraseña.

8 | No escribirás tu contraseña o datos personales en servidores no cifrados

Si has entrado en un enlace y la página que te pide introducir información personal no empieza por https:// desconfía. La S final indica que es un servidor seguro que utiliza encriptación para transmitir tu información personal. Si pulsas sobre el candado en el navegador puedes ver más información sobre el sitio para garantizar que es quien dice ser:

9 | Dudarás sobre todas las cosas

En el mundo real si te aparece un desconocido por la calle y te pregunta “dónde vives”, probablemente lo mandes a… otra parte. En internet hay que ser todavía más desconfiado, porque todo el mundo es un desconocido.

10 | No instalarás nada que venga por correo

Nunca instales nada que venga en un correo y no sepas exactamente qué hace. Sobre todo si no tienes clara la procedencia del correo. No tocar es la mejor manera de mantener el equipo seguro. En caso de dudas pregunta a los frikis del séptimo mandamiento.

Un ejemplo de phishing del mundo real

Por último os dejamos un ejemplo de un correo de phishing recibido por un usuario real.

Fíjate que en este caso el propio servidor del correo ha detectado que el correo no es seguro, ya que aunque dice ser enviado por un nombre conocido, si aplicamos el mandamiento 2 (No tomarás el remitente del correo en vano), podéis ver que realmente viene de una cuenta que no corresponde a esa persona. 

Imagina ahora que respondes a ese correo sin darte cuenta con un “¿Qué necesitas?”, y os llega un correo de respuesta diciendo algo como: “No tengo acceso a la contraseña de la intranet de la empresa y necesito acceder con el móvil, ¿me la puedes pasar?”. Si se la envías a este falso conocido (saltándote de paso el primer mandamiento y alguno más), el atacante ya habría conseguido acceder a parte de información sin tener que superar ninguna medida de seguridad. 

Read Entire Article