Phishing

From Espanol ICANNWiki
Jump to: navigation, search

La suplantación de identidad (o phishing) representa la adquisición fraudulenta de información personal y financiera de contraseñas o de información de tarjetas de crédito.[1]

El robo de datos personales y financieros se logra a través de medios engañosos como correos electrónicos fraudulentos o copias de páginas web legítimas.[2] Las formas más comunes de phishing son la falsificación de marcas (brand spoofing) o el robo de números de tarjetas de crédito en línea (carding).

Historia del phishing[edit | edit source]

Los fraudes de phishing comenzaron a darse durante los años 90 en AOL. Los correos electrónicos que aparecían en AOL eran de hecho de un pirata informático (hacker) que le pedía a los usuarios que actualizaran sus datos personales y financieros por medio de un correo, lo cual conllevó a que la información de muchas personas quedara a expuesta para el uso del hacker. El problema era que, para aquel entonces, AOL permitía la creación de cuentas falsas por medio de un generador de tarjetas de crédito; no obstante, después de dichos ataques, AOL tuvo que cambiar su técnica.[3]

Los ataques de phishing se expanden rápidamente con el uso de PayPal o de otras organizaciones o sitios web que usan pagos en línea. Dichos ataques motivaron la creación de aplicaciones de pago seguras. El término phishingfue acuñado en 1996, y a las cuentas ‘hackeada’ se les llamó phish.

Ciberocupación (Cybersquatting)[edit | edit source]

Según el Grupo de Trabajo Anti-Phishing, el número de nombres de dominio ‘ciberocupados’ que se usaron en conjunto con el phishing disminuyó sólo un 2% de ataques en 2012. Un informe identificó 64.204 dominios con suplantación de identidad, de los cuales sólo el 12% APWG sospechaba que estaban registrado por suplantadores de identidad. El porcentaje restante eran cuentas comprometidas pertenecientes de terceras partes. Más de la mitad de dominios pertenecientes de un “phisher”, estaban en .tk, un registro que ofrecía registro gratuito.[4]

Tipos de prácticas de Phishing[edit | edit source]

Dentro de las prácticas de phishing se encuentran:

  • La posibilidad de llevar a cabo un ataque de virus
  • El desarrollo de una copia de página web legítima
  • Intentos de piratería
  • Engañar a los usuarios de Internet para que cedan sus contraseñas o sus datos personales o financieros
  • Correo electrónicos que reclaman algo fingiendo ser enviados por organizaciones reconocidas
  • Robo de datos
  • El phishing basado en DNS también se le conoce como “Pharming”.[5]
  • Phishing de voz (o vishing) el cual también es una nueva forma de phishing: los usuarios reciben un correo electrónico supuestamente procedente de sus páginas web favoritas y se les solicitará llamar a un número fraudulento o a que actualicen su información que, en últimas, un hacker la robará.[6]
  • Tabnabbing, el cual toma ventaja de las múltiples pestañas que el usuario por lo general usa para redireccionarlo a páginas web falsas.[7]
  • Las ventanas emergentes pueden parecer ser de páginas web legítimas y originales, pero solicitan información financiera y de credenciales.

Prácticas de protección contra el phishing[edit | edit source]

Con el fin de evitar ser una víctima de phishing, tenga en cuenta las siguientes consideraciones:

  1. Evite o elimine los correos masivos
  2. Instale un programa anti-phishing
  3. Evite ingresar contraseñas en servicios de autenticación
  4. Ignore correos que soliciten la actualización de información financiera
  5. Use filtros antispam para eliminar correos de phishing. Esta solución recae en los métodos de procesamiento del lenguaje natural y es capaz de reducir sustancialmente la cantidad de correos de phishing.
  6. No confíe en correos impersonales
  7. Sospeche de los enlaces que aparezcan en los correos
  8. Proporcione sus datos de tarjeta crédito únicamente en páginas web con métodos de pago seguros.[8]

Referencias[edit | edit source]