fbpx
31 °C Asunción, PY
4 de diciembre de 2022

Los peligros del “Phishing”: ¿Cómo protejo mis datos financieros de los ataques informáticos?

Te presentamos los pasos a seguir para evitar caer en los esquemas de fraude que buscan obtener información sensible como credenciales de acceso, números de cuenta bancaria o tarjetas de crédito.

Hace unos días, el Ministerio de Tecnologías de la Información y Comunicación (MITIC) lanzó una alerta sobre una campaña internacional de “phishing” que está amenazando al sistema financiero de nuestro país y a sus usuarios. A la advertencia se sumó el Banco Central del Paraguay (BCP), con una serie de recomendaciones.

Ante este riesgo siempre latente en nuestro día a día, debes saber cómo protegerte de estos esquemas de fraude, ya sea como usuario particular de servicios digitales o empresa que ofrece alternativas virtuales a sus clientes.

Aquí te explicamos en qué consiste el “phishing”, cómo se lo detecta y qué pasos debes seguir para evitar caer en sus redes.

¿Qué es el “phishing” y cómo lo identifico?

Rolando Natalizia, director de Tecnología de Investor Casa de Bolsa y director de la empresa Edge S.A., define al “phishing” como un intento fraudulento de obtener información sensible, como ser credenciales de acceso, números de cuenta bancaria, tarjetas de crédito o pines. Para el efecto, acuden a mecanismos electrónicos y se hacen pasar por una entidad en la que el usuario confía.

Relata que el típico ejemplo es un e-mail o mensaje que recibe el usuario, proveniente aparentemente de una institución que el usuario conoce y confía. En el texto se induce al usuario a hacer click en los links que se incluyen; un frecuente mensaje que se recibe en estos casos es: hemos notado una actividad sospechosa en su cuenta y le sugerimos que cambie su contraseña ingresando aquí).

Los links apuntan a sitios que lucen en apariencia como los de la institución, de manera que no parecen sospechosos para el usuario, quien ingresa sus credenciales (usuario y contraseña).

Como el sitio es una fachada, las credenciales no tienen efecto y eventualmente el usuario es derivado al sitio Web oficial, pero el atacante ya obtuvo las credenciales que buscaba. Para tratar de ocultar el link fraudulento, se suele incluir el nombre de la institución real en alguna parte del URL.

“Si el URL de la institución es tubanco.com, podrían hacer algo como tubanco.24online.com que parece legítimo, pero en realidad apunta a otro lado”, advierte Natalizia.

El Phishing puede ocurrir en casi cualquier tipo de comunicación electrónica: email, sms, chats, redes sociales, llamadas telefónicas, búsquedas, banners de publicidad, etc.

¿Cuál es el peligro del “phishing”?

Al caer en este tipo de trampa, se corre el riesgo de que la información del usuario sea utilizado para diversos fines, incluidos robo y chantaje.

Rolando Natatilizia enumera los siguientes tipos de información que el atacante podría obtener y con qué propósitos los podría utilizar:

  • Credenciales de acceso y dejar al usuario fuera, sin posibilidad de recuperar su cuenta. Por ejemplo: para robar un nombre «valioso» en redes sociales, por la cantidad de seguidores o por el nombre en sí.
  • Números de tarjetas de crédito/débito, con los que el atacante puede hacer compras online.
  • Información que pueda ser usada para interceptar comunicaciones de correo electrónico. Por ejemplo: saber cuándo se van a hacer transferencias bancarias importantes de comercio exterior e interceptar dichas comunicaciones, solicitando que las transferencias se hagan a las cuentas de los atacantes.
  • Información que pueda ser usada para acciones posteriores de chantaje.

Si soy una empresa, ¿Cómo protejo a mis clientes de los esquemas de “phishing”?

La herramienta más útil ante “phishing” y otras prácticas fraudulentas (como ingeniería social, sitios falsos, etc.) es el uso de múltiples factores de autenticación (MFA). Esto consiste en que, durante el proceso de acceso (o login), aparte de ingresar el usuario y la contraseña, se deba ingresar un código adicional que cambia frecuentemente y que es algo que conocen el usuario y el sitio Web, según explica Natalizia.

A diferencia del usuario – que difícilmente cambia – y la contraseña – que aunque puede cambiar, no se modifica tan a menudo –, el código MFA (también llamado 2FA) cambia muy frecuentemente y típicamente puede ser usado una sola vez.

“El uso de MFA es engorroso para el usuario pero, por ahora, es la mejor alternativa a una vida digital más segura. Las instituciones tienen que instruir a sus empleados y clientes sobre este y otros tipos de ataque. Dentro de lo posible, deben tratar de inducir a sus usuarios al uso de MFA”, recomienda el experto.

Agrega que los usuarios deben protegerse activando MFA siempre que sea posible, al menos en sus cuentas de correo electrónico, en todas las cuentas de e-commerce (como Amazon, Paypal, ebay, etc), sus cuentas bancarias y de redes sociales.

“Las mejores herramientas son la educación y la utilización de las mejores prácticas de seguridad, de manera que la experiencia del usuario sea segura por diseño”, recalca Natalizia.

“Dejar la seguridad en manos del usuario no es una acción responsable. Lastimosamente, cuanto más seguro es un sistema, más inconveniente se vuelve para el usuario y las empresas deben encontrar un balance que les sea adecuado”.

Rolando Natalizia.

La responsabilidad de las instituciones

El ataque de “phishing” ocurre entre un tercero y el usuario: la institución, cuyo nombre fue usado para engañar al usuario, generalmente no interviene. El usuario revela sus secretos a un tercero, sin necesidad de comprometer los sistemas de la institución.

“Los desarrolladores de los sistemas y de experiencia de usuario de las empresas deberían seguir las mejores prácticas en general, prestando particular importancia a los flujos de autenticación, reseteo y cambio de contraseña, asociación y cambio de dispositivos de MFA, y otros puntos de contacto críticos”, sostiene Rolando Natalizia.

“En cambio, si uno quisiera proteger a los usuarios de una empresa contra posibles ataques de phishing de sitios de terceros, lo recomendable es utilizar productos específicos anti-phishing que analizan los correos, los canales de chat y otro tipo de comunicación electrónica, buscando y deteniendo posibles amenazas”, asevera.

¿Qué pasos debo seguir para no ser víctima de “phishing”?

Hicimos esta pregunta a Rolando Natalizia y nos responde que las recomendaciones más simples que puede dar son las siguientes:

  1. No hacer click en links enviados por personas desconocidas.
  2. Confirmar que quien envía el link es alguien conocido.
  3. En vez de hacer click en links, se recomienda copiar el enlace y pegarlo en el navegador para confirmar el dominio. Por ejemplo, si mibanco.com es el dominio correcto de MiBanco, entonces mibanco.online24.com es sospechoso.
  4. Activar MFA
  5. Ante la duda, preguntar a alguien que pueda saber.

Te puede interesar