Phishing

Uno de los métodos de estafa mediante robo de identidad que más preocupan a la población es el denominado 'phishing', término proveniente del inglés 'fishing' (pesca), que hace alusión al hecho de que los internautas “muerdan el anzuelo”.

El phishing consiste en intentar obtener los datos, claves, cuentas bancarias, números de tarjeta de crédito, identidades, y todos los datos posibles, para después usarlos de forma fraudulenta, objetivo que los criminales cibernéticos logran empleando una modalidad de ingeniería social que consiste en suplantar la imagen de una empresa o entidad pública. Es decir, haciendo creer a la posible víctima que se la solicitud de datos procede de un sitio oficial, cuando en realidad no es así.

El phishing, puede llevarse a cabo a través de diversas vías, como mensajes de texto al celular, llamadas telefónicas, portales electrónicos apócrifos casi idénticos a los originales, ventanas emergentes, y la más usada y conocida por los internautas, la recepción de un correo electrónico.

Los peligros en internet son de sobra conocidos por los internautas, pero eso no impide que se sigan realizando este tipo de fraudes. No es raro encontrarse en la red con páginas falsas de diversas instituciones o ventanas emergentes que anuncian ofertas o premios increíbles que enganchan a los usuarios y que los llevan a otorgar sus datos con cierta facilidad. “Eres el visitante 999,999. ¡Felicidades! Ganaste. Haz click aquí”, es el ejemplo más común de este tipo de ofertas, aunque los hay más sofisticados.

Pero quizá la modalidad de phishing más conocida es la que se realiza a través del correo electrónico. El procedimiento es el envío de un correo electrónico donde simulan ser la entidad u organismo que quieren suplantar para obtener datos del usuario. Los datos son solicitados supuestamente por motivos de seguridad, mantenimiento de la entidad, mejora del servicio, encuestas, confirmación de su identidad o cualquier excusa, para que se facilite cualquier dato. El correo puede contener formularios, enlaces falsos, textos originales e imágenes oficiales, todo para que visualmente sea idéntica al sitio web original. Los delincuentes cibernéticos aprovechan también vulnerabilidades de navegadores y gestores de correos, todo con el único objetivo de que el usuario introduzca su información personal y sin saberlo lo envía directamente al estafador, para que luego pueda utilizarlos de forma fraudulenta: robo de su dinero, realizar compras.

La Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (CONDUSEF) constantemente lanza alertas sobre correos de este tipo así como recomendaciones que son difundidas a través de los medios de comunicación para reducir al mínimo el número de víctimas, no obstante no se ha logrado desalentar a los estafadores cibernéticos. Según los datos de la empresa de soluciones de visibilidad de tráfico de red, Gigamon, difundidos el pasado mes de enero, el 23 por ciento de los destinatarios de correo electrónico abre mensajes con phishing y 11 por ciento hace clic en los archivos adjuntos.

Condusef reitera a los usuarios que este tipo de mensajes por correo electrónico, contienen ligas que los llevan a un sitio de internet falso, donde les solicitan sus datos personales tales como nombre, domicilio, contraseñas, número de identificación personal (NIP), número de cuenta bancaria de tarjetas de crédito, débito, etcétera, para posteriormente cometer fraude con sus cuentas bancarias.

Al respecto, cabe precisar que ninguna entidad financiera, así como Visa o Mastercard solicitan datos personales a sus clientes o verificación de sus cuentas, mediante correo electrónico.

Es importante señalar que algunas instituciones bancarias han realizado la buena práctica de insertar en sus sitios oficiales mensajes indicando que no solicitan información confidencial mediante correo electrónico tales como contraseñas o NIP.

Para visitar sitios web, se debe teclear la dirección URL directamente en la barra de direcciones, nunca por enlaces procedentes de cualquier sitio. Las entidades bancarias contienen certificados de seguridad y cifrados seguros, por lo tanto no se debe temer al uso de la banca en línea.

RECOMENDACIONES

Si se es usuario de banca electrónica, se sugiere tomar en cuenta las siguientes recomendaciones:

-No realices transacciones financieras en computadoras de uso público.

-Utiliza claves fáciles de recordar, pero difíciles de adivinar.

-Cambiar las contraseñas de manera regular, así como utilizar contraseñas diferentes, si se tiene más de una cuenta.

-Desactivar la opción “recordar contraseñas” en el servicio de banca por internet.

-Procurar no apartarse de la computadora cuando se tengas abierta una sesión de banca en línea, ni dejar el token a la mano.

COMPRAS ELECTRÓNICAS SEGURAS

Nadie está exento de caer en este tipo de engaños, es por eso que siempre se recomienda no proporcionar nunca datos personales a través de ningún medio, sin embargo, hoy en día, debido al agitado ritmo de vida y el desarrollo tecnológico, existe una creciente tendencia a acceder a realizar compras por internet. En este tipo de casos lo aconsejable es tomar las siguientes precauciones.

Legitimidad. Es necesario asegurarse de que se trata de que se está accediendo a un sitio legítimo. Para ello se puede investigar qué opinión tienen otros compradores en línea acerca del comercio donde se quiere adquirir un servicio o producto. Existen incluso sitios de consumidores que tienen espacios destinados a recopilar opiniones acerca de empresas y proveedores. Se debe preferir aquellos que cuentan con los sistemas de seguridad Verifed by Visa y MasterCard Securecod.

Autenticidad. Se debe siempre verificar que la dirección electrónica sea genuina revisando que la dirección de la página donde se realizará algún pago tenga en el protocolo una letra s (https o shttp) y que en la parte inferior o superior derecha de la barra de estado tenga el ícono de un candado, lo que indica que se trata de un sitio seguro.

Aprobación. Hay que buscar sellos de aprobación de terceros, hay algunos que pueden funcionar como indicador de que un sitio es legítimo y seguro, por ejemplo los de AMIPCI. Cuando se vea alguno de ellos es necesario también cerciorarse de que no están falsificados haciendo clic sobre la imagen para comprobar que están ligados a la organización que los avala.

Creación de contraseñas fuertes. Las contraseñas son una llave de acceso a cuentas en línea, correos electrónicos, reservaciones; razón de más para que poner mucho cuidado creando contraseñas únicas y fuertes. Se debe procurar no usar la misma contraseña para distintos servicios. Evitar usar contraseñas fáciles de adivinar como el nombre propio, la fecha de nacimiento, números telefónicos, series numéricas o alfabéticas (1234 o qwerty, por ejemplo) y no compartir las contraseñas con nadie.

Hacer de la tecnología una aliada. Se puede usar la tecnología a favor verificando que nuestra computadora cuente con antivirus actualizado; firewall (programa que ayuda a proteger el equipo y su contenido contra accesos no autorizados de extraños en internet) y antispyware, el cual evita que se puedan monitorear y registrar las actividades que se realizan en internet o extraer información personal.

Si se detecta que nuestra identidad ha sido robada o que se ha hecho mal uso de nuestros datos financieros, se debe denunciar el fraude ante el Ministerio Público y si derivado de este fraude se reporta una mala nota en el historial crediticio, hay que presentar una solicitud de aclaración ante buró de crédito.

PHISHING TELEFÓNICO

La modalidad de phishing por teléfono se ha denominado como “vishing”, término que combina ‘voz’ y ‘phishing’. El vishing combina protocolo de voz e ingeniería social para obtener los datos de los usuarios de tarjetas. Los defraudadores normalmente utilizan un sistema de mensajes pregrabados o de una persona que llama para solicitar, en muchos casos, información financiera y personal.

Entre los argumentos que se pueden utilizar para esta práctica se dan llamadas de organizaciones ilegítimas como “Comité de promociones Visa-MasterCard” o incluso casos de llamadas sobre puestas “advertencias” en las que aparentemente informan que la tarjeta está siendo utilizada de forma fraudulenta, para lo cual indican que se debe llamar a determinado número; cuando la víctima llama a este número le responde una voz computarizada que indica que la cuenta necesita ser verificada y le requiere que ingresar los 16 dígitos de la tarjeta de crédito e información sobre la fecha de vencimiento o el NIP del plástico, con lo cual se facilita el fraude.

Ante esta situación Condusef recomienda no proporcionar información a menos nosotros hayamos iniciado (marcado) la llamada. Evitar dar respuesta a requerimientos de información que tu no hayamos promovido. Pedir detalles sobre la identidad de quien llama. Si alguien llama y no puede acreditar que pertenece a alguna empresa se debe asumir que no es un representante legítimo, por lo cual el usuario no se debe sentir obligado a proporcionar ningún tipo de información. En caso de duda debemos ponernos en contacto con el banco, con un ejecutivo de cuenta conocido o llamar al teléfono que aparece al reverso de la tarjeta y notificar que se nos ha solicitado información financiera personal a nombre del banco.