Conocemos con el término “phishing” a un tipo de engaño utilizado por Internet mediante el cual nos dirigen a alguna página Web aparentemente de confianza, aunque su intención es maliciosa, teniendo como única finalidad el robo de nuestras contraseñas.
Aunque el sistema es casi tan antiguo como la existencia de Internet y el término está completamente extendido desde hace muchos años, resulta preocupante comprobar que todavía muchos usuarios no conocen este tipo de engaño.
Resultado de nuestro estudio sobre el Phishing. Clic para ampliar
Solo uno de cada cuatro usuarios piensa que está
suficientemente preparado como para no caer en la trampa.
Uno de cada tres usuarios ni siquiera ha oído hablar del término.
¿Qué es el phishing?
Los creadores de las páginas phishing, suelen cuidar mucho el aspecto de sus creaciones para que los usuarios no advirtamos a simple vista que estamos en una página falsa. Nos dirigen a su página a través de varios métodos, como correos electrónicos, mensajes de WhatsApp o cualquier red social, donde nos muestran un enlace que, si decidimos, seguir nos llevará a la página trampa.
A veces ésas páginas imitan a la perfección a otras de sobra conocidas, como la de los bancos, correos, hacienda, policía, etc. Y otras son simples formularios con alguna seña de identidad, como un logotipo u otro tipo de imagen, que nos puede hacer creer que estamos ante alguna organización conocida.
El fin siempre es el mismo, buscan que introduzcamos nuestro correo electrónico, contraseña y quizá algún dato personal más. Si caemos en la trampa y los escribimos se los habremos cedido y los usarán para robarnos nuestras cuentas, suplantarnos la identidad y según de qué servicio se trate, incluso para robarnos nuestro dinero.
¿Cómo distinguir un phishing?
Para saber si estamos ante una página falsa, que intenta suplantar a otra conocida, debemos observar la dirección o URL que veremos en la parte superior, en la barra de direcciones.
- El dominio de la página, justo lo que está escrito antes del .com, .es, .org, .info, etc. debe ser conocido. Ese tramo de la dirección es el que nos indica realmente dónde estamos. Puede tener escrito cualquier otro texto antes y después, pero justo antes del punto debe estar escrito el dominio conocido. En el siguiente ejemplo vemos que sin duda se trata de la página oficial de PayPal.
Sin embargo, en este otro vemos claramente cómo el dominio no tiene ninguna relación con PayPal.
- Si estamos ante una compañía seria y además la página visible es alguna que nos pide contraseña u otros datos personales, debe estar diseñada con medidas de seguridad especiales. Esto lo comprobamos al observar la parte inicial de la dirección, en estos casos debe comenzar por https://, son una ’s’ al final que indica seguridad. Los navegadores nos resaltan esta seguridad dibujando un candado y normalmente sombreando de verde el principio de la dirección. No es un dato definitivo, porque como vemos en el ejemplo anterior, la página phishing mostrada la han diseñado de forma que muestra esta característica de seguridad. No obstante, si no aparece, debemos pensar que se trata de una página insegura para incluir datos personales como contraseñas.
Consejos para estar prevenidos
-
- Como hemos explicado arriba, debemos revisar las direcciones de Internet de las páginas que visitamos y comprobar que hemos accedido al dominio esperado.
- Prestar atención a los correos electrónicos sospechosos. Aunque no es la única fuente de phishing, el mensaje por correo electrónico en nuestra bandeja de entrada es la más frecuente. Debemos desconfiar de casi cualquier correo recibido con un enlace que nos conduzca a una página donde nos solicitan incluir datos personales. Solo deberíamos confiar si conocemos exactamente la razón por la que nos conduce y comprobamos que es la página que esperamos.
- Los intentos de phishing nos pueden llegar por muchos otros medios, ya que el envío de enlaces para acceder a Internet funciona hoy con muchos otros medios de mensajería, como Whatsapp, Messenger, SMS y cualquier red social que podamos utilizar.
- Paginas seguras en marcadores. Si accedemos habitualmente a páginas donde nos piden credenciales, como la de nuestro banco, lo más prudente es abrirlas siempre desde nuestros propios accesos directos que previamente hemos guardado en los marcadores o favoritos, asegurándonos de que son las verdaderas. Nunca usar enlaces externos para acceder a este tipo de páginas.
- Mantener actualizado el navegador y a ser posible, utilizar Chrome, que responde con mayor rapidez ante las denuncias de los usuarios, bloqueando las páginas fraudulentas mediante un mensaje de advertencia.
- Denunciar en los medios especializados de la Policía cuando seamos testigos o víctimas de algún caso, como en este correo electrónico facilitado por la Policía de España: fraudeinternet@policia.es. Utilizar los mecanismos para denunciar los intentos de phishing que recibimos ayuda a combatirlos. Además de la dirección de correo electrónico de la Policía, también es conveniente utilizar este formulario que Google pone a disposición de todo usuario para denunciar este tipo de páginas.
