“El ataque puede ser masivo o personalizado, cuando es masivo, juegan con la estadística a su favor, ya que al llegar con su engaño a ciento de miles siempre alguien muerde el anzuelo”
El uso de plataformas virtuales para comprar, vender, realizar trámites bancarios y el de redes sociales ya sea para informarse, comunicarse, etc., hacen que en ocasiones se brinden datos personales o información confidencial y se desconoce si se tratan de sitios seguros o no. Es importante tener conocimiento de que existen metodologías utilizadas con el fin de obtener datos confidenciales (tarjetas de crédito, contraseñas, usuarios) y cometer estafas económicas.
El Departamento de Investigación de Delitos Complejos del Poder Judicial de San Luis brindó a este medio una entrevista, en la cual informa acerca de qué es es el phishing, qué técnicas utiliza el estafador, recomendaciones y maneras de prevenirlo.
¿Qué es el Phishing?
Se denomina de esta manera a una metodología utilizada por delincuentes, la cual consiste en obtener información confidencial de las personas de manera engañosa. Información confidencial específica sobre tarjetas de crédito, contraseñas y códigos de acceso de los usuarios a sus plataformas bancarias u home banking. Y engañosa ya que los delincuentes simulan ser: empresas, entidades bancarias o personas de confianza con el objetivo de lograr que se les facilite esa información y permita acceder a sus cuentas y estafarlos económicamente.
¿Qué técnicas utiliza el phiser para cometer la estafa?
Sería muy difícil enumerarlas ya que son cientos, variadas y creativas. La mayoría responde a un principio básico, el cual consiste en hacerse pasar por una marca o una entidad conocida por las personas. Este ataque puede ser masivo o personalizado, cuando es masivo, juegan con la estadística a su favor, ya que al llegar con su engaño a ciento de miles siempre alguien muerde el anzuelo.
Cuando el ataque es personalizado, se apunta a objetivos claves tales como personas famosas, personalidades influyentes o importantes de cualquier disciplina, gobierno o empresa. Se utiliza en este caso la técnica denominada Ingeniería Social, que consiste en obtener información previa de la víctima tales como sus gustos, preferencias y características. Luego, se realiza un escenario inventado para llevarlo a que revele información personal clave o a actuar de una forma que sería poco común en circunstancias normales.
Estas técnicas de phishing pueden ejecutarse mediante diferentes plataformas de comunicaciones, puede ser a través de llamadas telefónicas, correos electrónicos, paginas, mensajes de WhatsApp, publicaciones en redes sociales o buscadores.
¿Cómo reconocer esta estafa?
La mayoría sigue los mismos patrones, y apuntan a vulnerar el criterio o sentido común de la persona. Puede por ejemplo, instar a la acción inmediata.
La premura de evitar un flagelo inminente tales como perdida de cuentas, patrimonio económico, servicios, nos pone bajo presión y por ende no calculamos riesgos. Nos hace actuar influenciados por la preocupación de una posible perdida. Premisa para este patrón: las decisiones a las apuradas producen errores.
Otro patrón para reconocer una estafa, es que se ofrecen oportunidades únicas, beneficios increíbles, premios y bonificaciones que si lo pensamos bien no encuadran con ninguna técnica razonable de marketing. Premisa para este patrón: nadie regala nada.
Y el último patrón de estafa popular que se ve muy seguido es el de apelar a la curiosidad, ofreciendo contenido único, fotos filtradas, información importante, aplicaciones para espiar o ganar dinero fácil. Premisa para este patrón: la curiosidad mató al gato.
Acto seguido de alguno de estos patrones o la combinación de varios, los estafadores nos solicitarán datos personales, permisos en dispositivos, datos bancarios, validaciones de nuestros números de teléfonos, correos, entre otros.
¿De qué manera podemos prevenirlo?
- Evitar el SPAM en el correo electrónico, es el principal medio de distribución de cualquier mensaje que intente engañarlo.
- NO descargar adjuntos sin antes analizarlos.
- Nunca hacer clic en un enlace incluido en un mensaje de correo. Ingresar manualmente a cualquier sitio web. Más aun si es de nuestro supuesto banco ya que ahí es en donde se nos pide información confidencial (como usuario, contraseña, tarjeta, PIN, etc.).
- Una entidad financiera NUNCA le solicitará información confidencial y/o privada por medios tales como el correo electrónico, mensajes de WhatsApp, SMS. Por eso es muy importante que cualquier correo de este tipo no se abra y sea eliminado.
- Si nos surge la duda con un correo debemos llamar directamente a la empresa que nos lo envía con un número que conozcamos de antemano y nunca pero nunca llamar a los números que me figuren en ese correo electrónico.
- Se sabe desde hace mucho tiempo que el correo es fácil de interceptar por lo tanto es muy buen consejo que no mande datos sensibles como contraseñas nombres de usuarios por correo.
- Use antivirus y firewall. Estas aplicaciones no se hacen cargo directamente del problema, pero pueden detectar correos con troyanos o conexiones entrantes/salientes no autorizadas o sospechosas.
¿Qué recomendaciones les darían a los usuarios?
- Mucho cuidado con los links que nos pasan por WhatsApp, SMS, email Facebook, Instagram u otras redes sociales. Como regla general, se recomienda no acceder.
- Si nos pasan alguna promoción, concurso u oportunidad por estos medios, antes de acceder o ingresar información, se recomienda buscar información en las redes sociales o en la página oficial de la empresa.
- Si queremos acceder a alguna página, o queremos verificar si no es phishing, buscar la dirección en algún buscador (Google, Yahoo, Bing, etc.) para verificar que no esté asociado a phishing.
- Controlar bien la dirección del sitio web. A veces los sitios de phishing son muy similares a los oficiales.
Entrevista: D. Zambrano
Corrección: R. Zitta