Introducción a la suplantación de identidad

Phishing (contracción de las palabras en inglés "fishing" y "phreaking", que se refiere a piratear líneas telefónicas ), es una técnica fraudulenta que usan los hackers para conseguir información (generalmente sobre cuentas bancarias) de los usuarios de Internet.

Phishing (o suplantación de identidad) es una técnica de "ingeniería social", lo que significa que no aprovecha una vulnerabilidad en los ordenadores sino un "fallo humano" al engañar a los usuarios de Internet con un correo electrónico que aparentemente proviene de una empresa fiable, comúnmente de una página Web bancaria o corporativa.

Estos hackers envían un correo electrónico usurpando la identidad de una empresa (un banco, una página Web de comercio electrónico, etc.) e invitan al usuario a conectarse a través de un vínculo de hipertexto y a llenar un formulario en una página Web falsa, copia exacta de la original, con el pretexto de actualizar el servicio, una intervención de soporte técnico, etc.

Como las direcciones de correo electrónico se recolectan al azar en Internet, en general el mensaje no tiene mucho sentido porque el usuario no es cliente del banco que aparentemente envía el mensaje. Pero debido a la cantidad de mensajes enviados, a veces el receptor sí resulta ser cliente del banco.

De esta forma, los hackers obtienen con éxito los nombres de registro y las contraseñas de los usuarios o incluso información personal o sobre sus cuentas (número de cliente, número de la cuenta bancaria, etcétera).

Gracias a esta información, los hackers pueden transferir directamente el dinero a otra cuenta u obtener la información necesaria más tarde al usar con destreza la información personal que han recopilado.

Cómo protegerse del phishing

Si recibe un mensaje que aparentemente proviene de la página Web de un banco o de un sitio de comercio electrónico, pregúntese lo siguiente:

• ¿He dado mi dirección de correo electrónico a este establecimiento?
• ¿El correo electrónico que he recibido tiene información personalizada que permita verificar su veracidad (número de cliente, nombre de la sucursal, etc.)?

También se recomienda que:

• No haga clic directamente en el vínculo que aparece en el correo electrónico, es mejor que navegue e ingrese la URL para acceder al servicio.
• Tenga cuidado con los formularios que soliciten información bancaria. Es raro (tal vez hasta imposible) que un banco solicite información tan importante a través de un correo electrónico. Si tiene dudas, contacte con el banco directamente por teléfono.
• Asegúrese de que su navegador esté en modo seguro cuando ingrese información delicada, es decir, que la dirección en la barra de navegación comience con https, que aparezca un candado en la barra de estado en la parte inferior de su navegador y que el dominio del sitio en la dirección sea el que afirma ser (preste atención a la ortografía del dominio).

Más información

• Anti-Phishing Working Group