Área de Tecnologías de la Información y las Comunicaciones Aplicadas
Área de Tecnologías de la Información y las Comunicaciones Aplicadas Universidad de Murcia
Área de Tecnologías de la Información y las Comunicaciones Aplicadas
ATICA arrow TELEMATICA arrow Correo arrow FAQ Phishing. Preguntas y respuestas sobre el Phishing.
10.12.2018
 
 
FAQ Phishing. Preguntas y respuestas sobre el Phishing. Imprimir E-mail
Si desea profundizar sobre distintos aspectos del phishing puede acudir a la Wikipedia.

¿Qué es el phishing?
¿Cómo se distribuye el phishing?
¿Cómo puedo protegerme del phishing?
¿Cómo saber si un mensaje de correo es phishing o no?
¿Cómo saber si una dirección de correo es fraudulenta o no?
¿Cómo saber si un enlace web es fraudulento o no?
¿Qué características tienen los enlaces web de la UMU que solicitan la introducción de datos confidenciales (direcciones de correo, contraseñas, PIN de acceso, etc.)?



Pregunta: ¿Qué es el phishing?
Respuesta: Una buena definición es la que ofrece la Wikipedia:

"Phishing es un termino informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas, SMS, o, cada vez más, haciendo uso de redes sociales (Twitter, Facebook, ...)"

El término "phishing" deriva del inglés "fishing" (pesca). Podemos decir que el estafador (phisher, fisher o "pescador") se dedica a pescar en Internet a cualquier pececillo incauto que pique al responder un mensaje de phishing.

Pregunta: ¿Cómo se distribuye el phishing?
Respuesta: Como ya se ha dicho, el método más frecuente de distribución del phishing es el correo electrónico. El phisher o estafador suele enviar un número considerable de mensajes de correo electrónico (SPAM) a un número grande de destinatarios. El estafador confecciona el mensaje con la pretensión de engañar a los destinatarios. Para ello incluye texto en el mismo idioma que el de los destinatarios del mensaje. Si el mensaje va dirigido a un colectivo específico (por ejemplo a los usuarios de correo de la UMU) incorpora direcciones de correo , enlaces, imágenes y texto de la organización a la que pertenece ese colectivo, para hacer parecer el mensaje como legítimo. En general un mensaje de phishing puede estar lo suficientemente bien hecho y puede resultar lo suficientemente convincente para engañar a un número considerable de usuarios si no se presta la atención adecuada

Pregunta: ¿Cómo puedo protegerme del phishing?
Respuesta: La mejor manera de protegerse del phishing es ser precavido. Si sigue estos cinco sencillos pasos podrá protegerse y preservar la privacidad de su información.
  1. Nunca responda a solicitudes de información personal a través de correo electrónico. Si tiene alguna duda, póngase en contacto con la entidad que supuestamente le ha enviado el mensaje
  2. Para visitar sitios web, introduzca la dirección web del sitio en la barra de direcciones de su navegador o seleccione la dirección de su listado de bookmarks (listado de direcciones web preferidas)
  3. Asegúrese de que el sitio web utiliza cifrado (la dirección web empieza por https:// y aparece un candado cerrado en el margen inferior (Firefox) o superior (Internet Explorer) de su navegador)
  4. Consulte frecuentemente los saldos bancarios y de sus tarjetas de crédito
  5. Comunique los posibles delitos relacionados con su información personal a las autoridades competentes
No obstante, puede que en alguna ocasión reciba un mensaje de correo legítimo (no phishing) que incluya direcciones web o direcciones de correo de contacto legítimas. En estos casos conviene que sepa distinguir cuándo el mensaje de correo y los enlaces web o direcciones de correo que incluye son correctas y no entrañan peligro alguno. Siga leyendo si quiere aprender a hacerlo.

Pregunta: ¿Cómo saber si un mensaje de correo es phishing o no?
Respuesta: Dependiendo del empeño que haya puesto el estafador a la hora de confeccionar el mensaje de correo de phishing, nos puede resultar más o menos fácil colegir el carácter fraudulento de un mensaje de correo. En general:
  • tire inmediatamente a la papelera mensajes de correo que provengan (o, mejor dicho, parezcan provenir) de organizaciones con las que usted no tiene ninguna relación y que le soliciten datos confidenciales, con toda probabilidad se trata de un mensaje de phishing
  • si el mensaje proviene (o parece provenir) de una organización con la que usted tiene relación (por ejemplo la UMU, un banco, una empresa, ...), debe tener especial cuidado:
  • desconfíe de los mensajes de correo que le soliciten cualquier información confidencial de manera explícita: contraseñas, información bancaria,etc. En particular tire inmediatamente a la papelera aquellos que aparezcan mal redactados o que incluyan términos mal traducidos o inconexos
  • la mayoría de organizaciones "serias" (en especial bancos y otras entidades financieras) tienen una política clara respecto a los procedimientos usados para comunicarse con sus clientes. Por ejemplo: un banco nunca se pondrá en contacto con usted para solicitarle información confidencial, puesto que el banco ya dispone de ella. Acuda a la web del banco y compruebe si mantiene información relativa a prevención del phishing. Si tiene dudas llame por teléfono a su entidad u organización y pregunte por la veracidad del mensaje que acaba de recibir
  • compruebe que la información que se proporciona en el mensaje: dirección de correo del remitente, direcciones de correo de respuesta o de contacto, enlaces a páginas web, etc. pertenecen realmente a la organización y son las direcciones de correo y los enlaces habitualmente usados por la organización para comunicarse con usted (ver más abajo)
Pregunta: ¿Cómo saber si una dirección de correo es fraudulenta o no?
Respuesta: Es muy fácil suplantar la identidad de una persona o entidad a la hora de enviar un mensaje de correo (para más información consulte la "FAQ Falsificación de la dirección de correo"). Esta facilidad es usada por los estafadores para enviar mensajes de phishing haciéndose pasar por una entidad bancaria, por una empresa o, por ejemplo, por alguna unidad o servicio de la UMU. Antes de responder a un mensaje del que sospeche, debe comprobar que el mensaje de respuesta va dirigido a una dirección de correo real y conocida de la organización que pretende comunicarse con usted. Compruebe que la dirección de correo a la que va a responder es una usada habitualmente por su organización y que tiene un dominio de correo de su organización. Por ejemplo los comunicados enviados por ATICA se envían con la dirección de correo atica@um.es, el dominio de correo de la UMU es @um.es. En ocasiones las direcciones de correo electrónico fraudulentas aparecen camufladas en enlaces web, de manera que aparentemente son direcciones válidas de la organización que pretenden representar pero en realidad son direcciones de correo fraudulentas. Por ejemplo, si pasa el ratón por esta dirección de correo: atica@um.es, observará (mire en el margen inferior izquierdo de su navegador) que en realidad "apunta" a estafador@criminal.org. Otro ejemplo: si pincha en el siguiente enlace: "Pinche aquí para enviar un mensaje a ATICA" observará que el mensaje en realidad se enviará a estafador@criminal.org. Tire inmediatamente a la papelera cualquier mensaje que contenga un enlace con una dirección de correo camuflada que no se corresponda con una dirección de correo de la organización emisora del mensaje

Pregunta: ¿Cómo saber si un enlace web es fraudulento o no?
Respuesta: Es muy importante saber si un enlace web es fraudulento o no, pues la mayoría de ataques de phishing los contienen. Como bien define la Wikipedia, los ataques de phishing pueden efectuarse a través de distintos medios telemáticos: sms, correo electrónico, web, Twitter, Facebook, foros, etc. etc., por lo que reconocer un enlace web fraudulento es fundamental para manejarnos con seguridad en Internet. El procedimiento habitual de comprobación de enlaces es el siguiente:

Sitúe el puntero sobre el enlace y observe cuál es la dirección web real a la que apunta. En la mayoría de navegadores y programas de correo la dirección web real aparece abajo a la izquierda. En Firefox,
por ejemplo, también puede pinchar con el botón derecho del ratón sobre el enlace y seleccionar la opción "Propiedades". Antes de pinchar en el enlace, observe con atención la dirección web real, ésta debería cumplir los siguientes requisitos:
  • si la dirección web debe llevarle a un "sitio seguro", en el que se le solicitará información confidencial (contraseñas, PINs de acceso, códigos bancarios, etc.), esa dirección web debería empezar por https://. Desconfíe de cualquier dirección web que pretenda llevarle a un "sitio seguro" y no empiece por https://. No obstante, puede que la dirección web sea perfectamente legítima y no empiece por https:// (porque no pretende llevarle a un "sitio seguro")
  • en cualquier caso compruebe que el nombre del servidor web (lo que queda entre https://  o http://) y la siguiente barra (/) es un servidor de la organización que se está comunicando con usted.
Ejemplos de enlaces válidos que empiezan por https:// (pase el puntero por encima y mire en el margen inferior izquierdo de su navegador para comprobarlo):
Ejemplos de enlaces válidos que no empiezan por https//:
Ejemplos de enlaces fraudulentos que empiezan por https:// :
Ejemplos de enlaces fraudulentos que no empiezan por https//:
Si no está seguro de la veracidad del enlace borre el mensaje de correo, pues el simple hecho de pinchar en un enlace puede ocasionar que nuestro equipo sea infectado por algún programa malicioso (virus, troyano o similar).


Pregunta: ¿Qué características tienen los enlaces web de la UMU que solicitan la introducción de datos confidenciales (direcciones de correo, contraseñas, PIN de acceso, etc.)?
Respuesta: En el caso de la UMU, el acceso de sus usuarios se efectúa siempre a través del Portal Único de Acceso, por lo que:

Sólo debe introducir su clave de la UMU en los enlaces que empiecen por  https://entrada.um.es

No obstante, todavía hay unas pocas aplicaciones web corporativas que muestran un formulario de autenticación propio para acceder a ellas. Por ejemplo:
  • https://portafirmas.um.es
  • https://citaprevia.um.es
  • https://histclinic.um.es
  • https://televoto.um.es
Como puede verse todos los enlaces de las aplicaciones:
  • empiezan por https:// (se trata de una conexión segura)
  • tras https:// y hasta la siguiente barra (/) aparece el nombre de un servidor de la UMU (termina en um.es). Tras el nombre del servidor puede o no aparecer más texto, esto es variable (depende de la aplicación a la que se accede).
Nota: puede que en el momento de leer esta FAQ alguna de estas aplicaciones de ejemplo ya haya sido integrada en el Portal de Entrada de la UMU y ya no use un formulario de acceso propio, sino que se acceda a ellas a través de https://entrada.um.es.

Estos dos requisitos son necesarios pero no suficientes para garantizar que el enlace es auténtico e "inofensivo". Un atacante puede colocar sus propios formularios o código malicioso en una cuenta de hospedaje web de la UMU vulnerada (por ejemplo https://www.um.es/comite_pas/badform.cgi) o en cualquier otro servidor web de la UMU. Una vez más, sea muy cuidadoso con los mensajes de correo que incluyan enlaces web desconocidos o extraños y que soliciten que pinche en ellos.

Si aún así usted pincha en el enlace (hágalo sólo si está seguro de lo que hace) y accede a la página web a la que apunta (normalmente la dirección web o URL se visualizada en la casilla de arriba del navegador), puede añadir a estas mismas comprobaciones la siguiente:

Todos los servidores corporativos de la UMU (entrada.um.es, aulavirtual.um.es, suma.um.es, webmail.atica.um.es, listas.um.es, etc.) están respaldados por un certificado electrónico emitido por "Cybertrust Educational CA" o por "TERENA". El certificado garantiza la autenticidad del servidor web al que usted se conecta. En Firefox, por ejemplo, puede obtener información del certificado pinchando dos veces en el candado (el candado debe estar cerrado) que aparece en la barra de abajo; obtendremos una ventana en la que se nos da información de seguridad. Para obtener información específica del certificado pinche en el botón "Ver certificado", se muestra otra ventana con, entre otra, la siguiente información:
  • datos de solicitud (Emitido para): nombre del servidor, organización (Universidad de Murcia), ...
  • datos de la autoridad de certificación (Emitido por): nombre de la entidad (Cybertrust Educational CA o TERENA)
  • datos de validez: fecha de emisión y de expiración del certificado
Para saber más sobre certificados de servidor en general y sobre certificados de servidores de la UMU en particular pinche en el siguiente enlace: "FAQ Certificados de servidor de la UMU"

Una vez más,  este requisito (el certificado) es  necesario para garantizar la autenticidad del servidor corporativo de la UMU, pero no suficiente para garantizar que el enlace en sí es "inofensivo". Un atacante puede colocar sus propios formularios o código malicioso en una cuenta de hospedaje web de la UMU vulnerada (por ejemplo https://www.um.es/comite_pas/badform.cgi) o en cualquier otro servidor web de la UMU con un certificado correcto. Una vez más, sea muy cuidadoso con los mensajes de correo que incluyan enlaces web desconocidos o extraños (aunque el servidor sea uno conocido de la UMU) y que soliciten que pinche en ellos.


Última modificación ( 15.01.2013 )
 
Área de Tecnologías de la Información y las Comunicaciones Aplicadas
Volver al incio del documento Volver al inicio del documento
Área de Tecnologías de la Información y las Comunicaciones Aplicadas