Si has usado Internet durante más de siete minutos, probablemente has sido blanco de varios cientos de ataques de phishing. Este fenómeno se produce cuando los atacantes tratan de apoderarse de números de cuentas bancarias, códigos y contraseñas de los usuarios mediante correos electrónicos, enlaces y archivos adjuntos engañosos, y es casi tan antiguo como la web en sí.
Estos correos electrónicos pueden llegar de muchas formas diferentes para engañar a usuarios desprevenidos y se esconden bajo notificaciones de medios sociales, estados de cuentas bancarias y alertas de antivirus. Últimamente, las tretas que usan los atacantes están cada vez más camufladas, ya que intentan que sus engaños pasen como alertas reales. En los últimos años, los timos imitan notificaciones legítimas de Facebook, PayPal y Apple. Y desde el inicio de este año, el valor del fraude asciende a 687 millones de dólares.
Una de estas estafas por phishing corrió esté por Facebook y trató de convencer a los usuarios de que sus cuentas se habían visto comprometidas. Los atacantes enviaron mensajes a todos los amigos de la cuenta de Facebook infectada para que hicieran clic a través de un enlace de apariencia sospechosa. Una vez que los usuarios clicaban en dicho enlace se les pedía clic, se les indicaba información personal, como su número de tarjeta de crédito y la fecha de expiración.
Cuando se está en línea los usuarios tiene que tener cuidado al interactuar con correos electrónicos extraños. La clave es pensar, o mejor aún leer, antes de hacer clic para evitar el engaño.
A menudo, los mensajes de phishing tratan de llamar tu atención metiéndote miedo. Un encabezado común en los correos electrónicos de phishing es: “Sospechamos que hay una transacción no autorizada en tu cuenta”. Los atacantes tratan constantemente que sus víctimas inicien sesión en versiones falsas de sitios para que faciliten información importante como contraseñas e inicien sesión en cuentas bancarias y direcciones de correo electrónico.
Los usuarios de Twitter también deben tener cuidado con falsos tweets de phishing e incluso deben evitar hacer clic en enlaces dudosos que les tweetean usuarios conocidos. Al igual que ocurre con el correo electrónico, a los atacantes les ha dado últimamente por las redes sociales y tweetean enlaces maliciosos que se ocultan fácilmente en herramientas para acortar URL, lo que hace casi imposible evaluar si son seguros.
En general, los usuarios deben tomar precauciones antes de hacer clic en enlaces sospechosos en correos electrónicos y tweets de remitentes desconocidos e ignorar, eliminar o informar sobre estos mensajes. Twitter permite a los usuarios bloquear a usuarios maliciosos o marcarlos como spam, mientras que en Gmail los usuarios pueden marcar los correos electrónicos como spam o phishing.
Si has caído en la trampa y crees que has hecho clic en un enlace de phishing, ten cuidado con no facilitar información personal valiosa, como tus contraseñas. Si sospechas que has sido víctima de un fraude, cambia inmediatamente tu contraseña en ese sitio (y en cualquier otro sitio en el que tengas esa misma contraseña).
La Comisión Federal de Comercio (FTC, en sus siglas en inglés) aconseja el uso de antivirus actualizado, software antispyware y firewalls para prevenir el phishing, mientras que el Equipo de Preparación de Emergencia de Computadoras de los Estados Unidos recuerda a los usuarios que presten atención a las URL cuando den información personal. Resulta fácil creer que estás en el sitio correcto, pero si te han engañado o con un phishing, puede que haya una leve falta de ortografía en la dirección del sitio web como por ejemplo, www.faceboook.com. En la mayoría de los navegadores, las conexiones seguras que están cifradas y usan SSL aparecen marcadas con un candado verde en el lado izquierdo de la barra de la URL, que es otra indicación de su legitimidad.