Translate

viernes, 3 de marzo de 2017

Esos correos sospechosos que me piden mis datos...

Cuando hablamos de "seguridad" abarcamos un campo muy amplio de situaciones. Puede que hablemos de un arco de seguridad en un aeropuerto, de un policía, de un sistema que nos pide una contraseña, de un antivirus,... Pero hay un aspecto que es igual de importante o más que todos esos sistemas: la picaresca.

No hay sistema en el mundo, por seguro que sea, que se resista a la revelación voluntaria de la forma de saltárselo. Con un ejemplo sencillo: ¿De qué sirve la contraseña de tu correo electrónico si se la dices de palabra a otro? Entrará.

Veamos algo que, seguramente, la mayoría hemos sufrido y seguiremos sufriendo.

El aspecto importante al que hacía referencia es lo que se denomina ingeniería social. Básicamente es el "arte de convencer a otro de una u otra manera de que nos dé la información que buscamos". Es decir, la seguridad no sólamente consiste en artilugios o sistemas que velen por ello, sino en algo más etéreo como es "lo social".

Ejemplo de phishing (fuente: osi.es)
Ejemplo de phishing (fuente osi.es)
¿Habéis recibido en alguna ocasión el típico correo de un banco en el que os piden vuestros datos personales para poder arreglar o atender algo importante? Seguramente acompañado de alguna otra excusa como que estén haciendo alguna comprobación, o para comunicarte alguna oferta, etc. Igualmente, en lugar de un banco puede ser de cualquier otra entidad o empresa que, sospechosamente, os pide datos personales entre los que, habitualmente, se incluyen usuario y clave de entrada...

Si lo habéis sufrido, o bien os sucede de aquí en adelante,  no hagáis ni caso: con casi toda seguridad se trata de una pícara triquiñuela para engañaros y así conseguir vuestros datos. Habrán aplicado ingeniería social, es decir, habrán argumentado algo que te resulta familiar para lograr convencerte y así conseguir lo necesario para comenzar a acceder a tus datos del banco o de donde sea.

Técnicamente a este tipo de actividad se le denomina "phishing" y no sólo puede consistir en un correo electrónico, sino en cualquier medio con tal de engañarte. Por ejemplo:
  • Te pueden enviar un mensaje al móvil (normalmente un mensaje de texto SMS) en que te anuncian una campaña de descuentos de alguna empresa...
  • O a través de una llamada telefónica argumentando lo que sea y acto seguido pidiéndote tus datos personales...
Por phishing también se entiende la captura de las pulsaciones del teclado sin que tan siquiera te enteres (otro día lo trataremos), con el ánimo de conseguir saber qué escribes y, por tanto, de obtener tu usuario y su clave de acceso (imagínate que te conectas a un sitio en el que tienes cosas personales, con lo que habrás escrito la dirección web de dicho sitio, a continuación tu usuario y luego la clave,... es decir, todo lo neceario para que quien te haya espiado pueda acceder).

¡Fíjate en el enlace real! (rojo)
Si recibes algún correo de este tipo, al menos ten la precaución de revisar el sitio web al que te conducirá, para lo que basta que sitúes el puntero del ratón sobre el enlace o botón que corresponda (el que te digan que debes pulsar para continuar) y, antes de hacer click, el sistema operativo te mostrará la dirección a la que te conducirá. Si es mínimamente sospechosa rehuye de ello. Puedes probar con este enlace que parece que te conducirá al sitio web de Amazon cuando en realidad lo que esconde es el enlace a Youtube: www.amazon.es.

Y, en general, lo mejor es que nunca des tus datos de acceso a través de un correo o mensaje. Directamente no le hagas caso y, o bien ponte en contacto directo con la empresa llamándoles a su teléfono de atención al cliente, o bien abre otra página en el navegador y entra directamente en su web (si realmente necesitan algo de tí lo habrán hecho público dentro de su web).

www.osi.es
Aquí tenéis más explicaciones y consejos de mano de Incibe (Instituto Nacional de Ciberseguridad) sobre este tema: ¡Inocente: no te dejes engañar por el phishing!. Y aquí tenéis los engaños más habituales que se suelen realizar, para que podáis identificarlos: Aprendiendo a identificar los 10 phishing más utilizados por ciberdelincuentes.

Por último, si recibes cualquiera de estos mensajes, puedes denunciarlo escribiendo un correo a: fraudeinternet@policia.es (Policía) y a incidencias@certsi.es (Incibe). Adjunta lo que puedas como prueba: el texto del mensaje que hayas recibido, una captura de la pantalla, etc.
Publicado por en
Etiquetas: , , , , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)