Engaños en la web I: Phishing

Los ataques cibernéticos no siempre toman la forma de un virus, de una denegación de servicio o de un ataque como el famoso WannaCry. En ocasiones, son mucho más sutiles y se camuflan en páginas web de apariencia normal.

El phishing, traducido normalmente como suplantación o fraude electrónico, es una práctica consistente en emular una página web, creando una réplica de su apariencia y funcionamiento. De esta manera, el usuario creerá estar iniciando sesión o realizando alguna acción en una página web cuando, en realidad, lo está haciendo sobre una réplica.

Fuente: Unsplash

Esta réplica guarda, por ejemplo, los datos personales, bancarios o de navegación de los usuarios timados.

Además de esto, esta práctica ataca también a los correos electrónicos que recibimos. Debido a que los buscadores utilizan medidas de seguridad para ocultar las páginas réplica que intentan suplantar y que, incluso, los navegadores avisan de posibles amenazas, el phishing ha encontrado en el correo electrónico un área donde el navegador y el buscador no tienen tantas oportunidades de salvarnos y pueden aprovecharse más de nuestros descuidos.

La clave del engaño es que se aprovechan de las limitaciones de nuestro procesamiento de la información y de nuestros recursos atencionales. Así, mediante una variación mínima del dominio o de la dirección del correo, se cuela ante nuestros ojos como una dirección verdadera, en la que confiamos.

En el caso del correo electrónico, la publicación Wired (2017) recoge cómo opera un proceso de phishing por correo. Muestra cómo los ataques de suplantación buscan temas a los que concedemos alto interés: correos supuestamente procedentes de Sanidad o de una citación judicial. En sus palabras, buscan «algún resorte que evoque sentimientos destacados como miedo, recompensa y urgencia».

En definitiva, el phishing puede suplantar páginas o servicios web o personas, en el caso del correo electrónico. Para evitarlo debemos sacar partido de los medios que ponen a nuestra disposición tanto navegadores como proveedores de correo electrónico. INCIBE proporciona unos consejos a los que  añadimos los siguientes:

• A la hora de iniciar sesión en una web, asegúrate que la página web utiliza protocolo seguro, que tiene un certificado en orden y que la dirección (URL) es la correcta.
• Cautela con las direcciones acortadas, ya que no se sabe qué puede haber dentro hasta que se accede.
• Mantén actualizado tu antivirus.
• Revisa la dirección de correo electrónico ya que el nombre del remitente puede coincidir con el servicio legítimo pero la dirección no.
• No abras correos sospechosos.
• No abras enlaces dentro de los correos a no ser que confíes en el remitente.

Referencias:

INCIBE (2017). Phishing: No muerdas el anzuelo

Wired (2017). What It’s Like When Pro Phishers Assail Your Inbox https://www.wired.com/story/phishing-attempts-email-inbox/

Este artículo forma parte de la serie Engaños en la web, que comprende dos artículos Phishing y Clickbait y dark UX.