El “phishing” es uno de los ataques informáticos más comunes en los últimos tiempos, y puede ser asimilado con el “cuento del tío” de la era digital. A través de un engaño se adquiere información de los usuarios para utilizar en fraudes, suplantación de identidad o robo de dinero. El objetivo es obtener claves, datos personales, datos bancarios, etcétera.
Para efectuar el engaño, quien lo realiza, conocido como “phisher”, se hace pasar por una persona o empresa de confianza utilizando una aparente comunicación oficial como correos electrónicos, sistemas de mensajería instantánea o incluso llamadas telefónicas.
“El phishing es el ataque que se comete mediante el uso de ingeniería social con el objetivo de adquirir fraudulentamente información personal o confidencial de la víctima, como contraseñas o datos de la tarjeta de crédito, cuentas de redes sociales, corporativas o de juegos online. Suelen venir acompañados de pedidos urgentes de supuestos bloqueos de cuentas, suspensiones de pagos, y diversas amenazas para inducir a la víctima a hacer click en un enlace malicioso y de esta forma robar los datos”, explicó Julián Reale, asesor del Programa Nacional contra la Criminalidad Informática del Ministerio de Justicia y Derechos Humanos de la Nación.
Para tener en cuenta
Reale distinguió entre los modos de prevención según sean “usuarios hogareños” o “corporativos”. Un ciudadano común tiene varias formas de tomar recaudos ante las diferentes modalidades de ciberdelito. En casa, o en el trabajo, una de las primeras medidas es “trabajar en capacitaciones que refuercen al factor humano y los doten de herramientas”, explicó.
Es importante contar con un antivirus y sistemas operativos actualizados para evitar códigos maliciosos que aprovechen vulnerabilidades.
Hay detalles de los casos típicos de phishing para tener en cuenta. Por ejemplo: las faltas de ortografía, las leyendas genéricas como “estimado usuario” sin siquiera contar con el nombre del destinatario, o verificar las direcciones de los remitentes. Se puede saber si un mail es apócrifo observándolos, ya que pueden llevar al usuario a una web armada para robar identidad y, finalmente, plata. Por este motivo, hay que verificar que el entorno en el cual se ingresan los datos personales sea seguro: que en la barra de direcciones esté la dirección real del sitio, que diga “https”, etcétera. Es preferible acceder al sitio que se desea ingresar datos sensibles escribiendo manualmente la dirección, que a través de un link de un correo electrónico que puede ser malicioso.
Otro consejo: frente al supuesto mail fraudulento que solicita una respuesta con datos que son sensibles, “apoyar el puntero del mouse sobre el enlace sin clickear y ver en la esquina inferior izquierda del navegador hacia dónde nos redirigirá, para ver si es malicioso”, ejemplificó Reale. Además, hay que saber que los bancos no solicitan información de tarjetas de crédito ni datos personales por la vía del email.
“Tenemos que trasladar nuestros cuidados de seguridad de la vida diaria a la vida digital. Desconfiar si alguien nos pide claves o información privada, verificar la reputación de un vendedor y su procedencia si voy a comprar online, así como verificar la existencia del producto y de la tienda”, explicó Reale.
Cajeros y empresas
En el caso de los cajeros automáticos es importante la utilización del doble factor de autenticación o verificación del usuario con soluciones biométricas, como puede ser la lectura de huellas digitales. Así como cambiar el password o PIN asignado por el banco, controlar con regularidad las últimas transacciones y movimientos de dinero, y no utilizar los cajeros automáticos cuando presenten mensajes o situaciones de operación anormales.
Para los usuarios corporativos, las empresas suelen tomar medidas alineadas a la “gestión de la seguridad de la información a través de la familia de la norma ISO 27000 con dos aspectos: uno ofensivo y otro defensivo”, consideran los especialistas del Ministerio.
El primero es “testear vulnerabilidades de los sistemas a través de expertos”, el segundo tiene que ver con la “gestión de riesgos corporativos”. Esto último incluye desde el “diseño de políticas de seguridad y confidencialidad”, el armado de un “comité de seguridad específico” que se dedique a la gestión diaria de la información, hasta analizar qué “amenazas puede atacar los activos de una compañía”, prever su solución y armar planes de contingencia y continuidad de negocio ante desastres graves.
