FAQ Phishing. Preguntas y respuestas sobre el Phishing.
Si desea profundizar sobre distintos aspectos del phishing puede acudir a la Wikipedia.
Una buena definición es la que ofrece la Wikipedia:
El término "phishing" deriva del inglés "fishing" (pesca). Podemos decir que el estafador (phisher, fisher o "pescador") se dedica a pescar en Internet a cualquier pececillo incauto que pique al responder un mensaje de phishing.
"Phishing es un termino informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas, SMS, o, cada vez más, haciendo uso de redes sociales (Twitter, Facebook, ...)"
El término "phishing" deriva del inglés "fishing" (pesca). Podemos decir que el estafador (phisher, fisher o "pescador") se dedica a pescar en Internet a cualquier pececillo incauto que pique al responder un mensaje de phishing.
Como ya se ha dicho, el método más frecuente de distribución del phishing es el correo electrónico. El phisher o estafador suele enviar un número considerable de mensajes de correo electrónico (SPAM) a un número grande de destinatarios. El estafador confecciona el mensaje con la pretensión de engañar a los destinatarios. Para ello incluye texto en el mismo idioma que el de los destinatarios del mensaje. Si el mensaje va dirigido a un colectivo específico (por ejemplo a los usuarios de correo de la UMU) incorpora direcciones de correo , enlaces, imágenes y texto de la organización a la que pertenece ese colectivo, para hacer parecer el mensaje como legítimo. En general un mensaje de phishing puede estar lo suficientemente bien hecho y puede resultar lo suficientemente convincente para engañar a un número considerable de usuarios si no se presta la atención adecuada
La mejor manera de protegerse del phishing es ser precavido. Si sigue estos cinco sencillos pasos podrá protegerse y preservar la privacidad de su información.
- Nunca responda a solicitudes de información personal a través de correo electrónico. Si tiene alguna duda, póngase en contacto con la entidad que supuestamente le ha enviado el mensaje
- Para visitar sitios web, introduzca la dirección web del sitio en la barra de direcciones de su navegador o seleccione la dirección de su listado de bookmarks (listado de direcciones web preferidas)
- Asegúrese de que el sitio web utiliza cifrado (la dirección web empieza por https:// y aparece un candado cerrado en el margen inferior (Firefox) o superior (Internet Explorer) de su navegador)
- Consulte frecuentemente los saldos bancarios y de sus tarjetas de crédito
- Comunique los posibles delitos relacionados con su información personal a las autoridades competentes
Dependiendo del empeño que haya puesto el estafador a la hora de confeccionar el mensaje de correo de phishing, nos puede resultar más o menos fácil colegir el carácter fraudulento de un mensaje de correo. En general:
- tire inmediatamente a la papelera mensajes de correo que provengan (o, mejor dicho, parezcan provenir) de organizaciones con las que usted no tiene ninguna relación y que le soliciten datos confidenciales, con toda probabilidad se trata de un mensaje de phishing
- si el mensaje proviene (o parece provenir) de una organización con la que usted tiene relación (por ejemplo la UMU, un banco, una empresa, ...), debe tener especial cuidado:
- desconfíe de los mensajes de correo que le soliciten cualquier información confidencial de manera explícita: contraseñas, información bancaria,etc. En particular tire inmediatamente a la papelera aquellos que aparezcan mal redactados o que incluyan términos mal traducidos o inconexos
- la mayoría de organizaciones "serias" (en especial bancos y otras entidades financieras) tienen una política clara respecto a los procedimientos usados para comunicarse con sus clientes. Por ejemplo: un banco nunca se pondrá en contacto con usted para solicitarle información confidencial, puesto que el banco ya dispone de ella. Acuda a la web del banco y compruebe si mantiene información relativa a prevención del phishing. Si tiene dudas llame por teléfono a su entidad u organización y pregunte por la veracidad del mensaje que acaba de recibir
- compruebe que la información que se proporciona en el mensaje: dirección de correo del remitente, direcciones de correo de respuesta o de contacto, enlaces a páginas web, etc. pertenecen realmente a la organización y son las direcciones de correo y los enlaces habitualmente usados por la organización para comunicarse con usted (ver más abajo)
Es muy fácil suplantar la identidad de una persona o entidad a la hora de enviar un mensaje de correo (para más información consulte la "FAQ Falsificación de la dirección de correo"). Esta facilidad es usada por los estafadores para enviar mensajes de phishing haciéndose pasar por una entidad bancaria, por una empresa o, por ejemplo, por alguna unidad o servicio de la UMU. Antes de responder a un mensaje del que sospeche, debe comprobar que el mensaje de respuesta va dirigido a una dirección de correo real y conocida de la organización que pretende comunicarse con usted. Compruebe que la dirección de correo a la que va a responder es una usada habitualmente por su organización y que tiene un dominio de correo de su organización. Por ejemplo los comunicados enviados por ATICA se envían con la dirección de correo atica@um.es, el dominio de correo de la UMU es @um.es. En ocasiones las direcciones de correo electrónico fraudulentas aparecen camufladas en enlaces web, de manera que aparentemente son direcciones válidas de la organización que pretenden representar pero en realidad son direcciones de correo fraudulentas. Por ejemplo, si pasa el ratón por esta dirección de correo: atica@um.es, observará (mire en el margen inferior izquierdo de su navegador) que en realidad "apunta" a estafador@criminal.org. Otro ejemplo: si pincha en el siguiente enlace: "Pinche aquí para enviar un mensaje a ATICA" observará que el mensaje en realidad se enviará a estafador@criminal.org. Tire inmediatamente a la papelera cualquier mensaje que contenga un enlace con una dirección de correo camuflada que no se corresponda con una dirección de correo de la organización emisora del mensaje
Es muy importante saber si un enlace web es fraudulento o no, pues la mayoría de ataques de phishing los contienen. Como bien define la Wikipedia, los ataques de phishing pueden efectuarse a través de distintos medios telemáticos: sms, correo electrónico, web, Twitter, Facebook, foros, etc. etc., por lo que reconocer un enlace web fraudulento es fundamental para manejarnos con seguridad en Internet. El procedimiento habitual de comprobación de enlaces es el siguiente:
Sitúe el puntero sobre el enlace y observe cuál es la dirección web real a la que apunta. En la mayoría de navegadores y programas de correo la dirección web real aparece abajo a la izquierda. En Firefox,
por ejemplo, también puede pinchar con el botón derecho del ratón sobre el enlace y seleccionar la opción "Propiedades". Antes de pinchar en el enlace, observe con atención la dirección web real, ésta debería cumplir los siguientes requisitos:
Sitúe el puntero sobre el enlace y observe cuál es la dirección web real a la que apunta. En la mayoría de navegadores y programas de correo la dirección web real aparece abajo a la izquierda. En Firefox,
por ejemplo, también puede pinchar con el botón derecho del ratón sobre el enlace y seleccionar la opción "Propiedades". Antes de pinchar en el enlace, observe con atención la dirección web real, ésta debería cumplir los siguientes requisitos:
- si la dirección web debe llevarle a un "sitio seguro", en el que se le solicitará información confidencial (contraseñas, PINs de acceso, códigos bancarios, etc.), esa dirección web debería empezar por https://. Desconfíe de cualquier dirección web que pretenda llevarle a un "sitio seguro" y no empiece por https://. No obstante, puede que la dirección web sea perfectamente legítima y no empiece por https:// (porque no pretende llevarle a un "sitio seguro")
- en cualquier caso compruebe que el nombre del servidor web (lo que queda entre https:// o http://) y la siguiente barra (/) es un servidor de la organización que se está comunicando con usted.
Ejemplos de enlaces válidos que empiezan por https:// (pase el puntero por encima y mire en el margen inferior izquierdo de su navegador para comprobarlo):
- Acceso para clientes de La Caixa (portal.lacaixa.es es un servidor de La Caixa)
- Acceso para clientes de Iberdrola (www.iberdrola.es es el servidor web de Iberdrola)
- Acceso a usuarios del webmail de la UMU (webmail.atica.um.es es el servidor de webmail de la UMU
Ejemplos de enlaces válidos que no empiezan por https//:
- FAQ de la UMU sobre phising (www.um.es es el servidor web de la UMU)
- Periódico El País (www.elpais.com es el servidor web del periódico El País)
- Iberdrola (www.iberdrola.es es el servidor web de Iberdrola)
- Google (www.google.com es el servidor web de Google)
Ejemplos de enlaces fraudulentos que empiezan por https:// :
- Acceso para clientes de La Caixa (www.sitioscuro.net no es un servidor de La Caixa)
- Acceso para clientes de Iberdrola (www.ibertrola.es no es un servidor de Iberdrola)
- Acceso a usuarios del webmail de la UMU (webmail.atica.yuyu.cn no es el servidor de webmail de la UMU)
Ejemplos de enlaces fraudulentos que no empiezan por https//:
- FAQ de la UMU sobre phising (www.chirigote.fr no es un servidor de la UMU)
- Periódico El País (www.anotherworld.org no es el servidor web del periódico El País)
- Iberdrola (www.iberttttrola.es no es el servidor web de Iberdrola)
- Google (www.goltevimeter.pt no es el servidor web de Google)
En el caso de la UMU, el acceso de sus usuarios se efectúa siempre a través del Portal Único de Acceso, por lo que:
Sólo debe introducir su clave de la UMU en los enlaces que empiecen por https://entrada.um.es
No obstante, todavía hay unas pocas aplicaciones web corporativas que muestran un formulario de autenticación propio para acceder a ellas. Por ejemplo:
Estos dos requisitos son necesarios pero no suficientes para garantizar que el enlace es auténtico e "inofensivo". Un atacante puede colocar sus propios formularios o código malicioso en una cuenta de hospedaje web de la UMU vulnerada (por ejemplo https://www.um.es/comite_pas/badform.cgi) o en cualquier otro servidor web de la UMU. Una vez más, sea muy cuidadoso con los mensajes de correo que incluyan enlaces web desconocidos o extraños y que soliciten que pinche en ellos.
Si aún así usted pincha en el enlace (hágalo sólo si está seguro de lo que hace) y accede a la página web a la que apunta (normalmente la dirección web o URL se visualizada en la casilla de arriba del navegador), puede añadir a estas mismas comprobaciones la siguiente:
Todos los servidores corporativos de la UMU (entrada.um.es, aulavirtual.um.es, suma.um.es, webmail.atica.um.es, listas.um.es, etc.) están respaldados por un certificado electrónico emitido por "Cybertrust Educational CA" o por "TERENA". El certificado garantiza la autenticidad del servidor web al que usted se conecta. En Firefox, por ejemplo, puede obtener información del certificado pinchando dos veces en el candado (el candado debe estar cerrado) que aparece en la barra de abajo; obtendremos una ventana en la que se nos da información de seguridad. Para obtener información específica del certificado pinche en el botón "Ver certificado", se muestra otra ventana con, entre otra, la siguiente información:
Una vez más, este requisito (el certificado) es necesario para garantizar la autenticidad del servidor corporativo de la UMU, pero no suficiente para garantizar que el enlace en sí es "inofensivo". Un atacante puede colocar sus propios formularios o código malicioso en una cuenta de hospedaje web de la UMU vulnerada (por ejemplo https://www.um.es/comite_pas/badform.cgi) o en cualquier otro servidor web de la UMU con un certificado correcto. Una vez más, sea muy cuidadoso con los mensajes de correo que incluyan enlaces web desconocidos o extraños (aunque el servidor sea uno conocido de la UMU) y que soliciten que pinche en ellos.
Sólo debe introducir su clave de la UMU en los enlaces que empiecen por https://entrada.um.es
No obstante, todavía hay unas pocas aplicaciones web corporativas que muestran un formulario de autenticación propio para acceder a ellas. Por ejemplo:
- https://portafirmas.um.es
- https://citaprevia.um.es
- https://histclinic.um.es
- https://televoto.um.es
- empiezan por https:// (se trata de una conexión segura)
- tras https:// y hasta la siguiente barra (/) aparece el nombre de un servidor de la UMU (termina en um.es). Tras el nombre del servidor puede o no aparecer más texto, esto es variable (depende de la aplicación a la que se accede).
Estos dos requisitos son necesarios pero no suficientes para garantizar que el enlace es auténtico e "inofensivo". Un atacante puede colocar sus propios formularios o código malicioso en una cuenta de hospedaje web de la UMU vulnerada (por ejemplo https://www.um.es/comite_pas/badform.cgi) o en cualquier otro servidor web de la UMU. Una vez más, sea muy cuidadoso con los mensajes de correo que incluyan enlaces web desconocidos o extraños y que soliciten que pinche en ellos.
Si aún así usted pincha en el enlace (hágalo sólo si está seguro de lo que hace) y accede a la página web a la que apunta (normalmente la dirección web o URL se visualizada en la casilla de arriba del navegador), puede añadir a estas mismas comprobaciones la siguiente:
Todos los servidores corporativos de la UMU (entrada.um.es, aulavirtual.um.es, suma.um.es, webmail.atica.um.es, listas.um.es, etc.) están respaldados por un certificado electrónico emitido por "Cybertrust Educational CA" o por "TERENA". El certificado garantiza la autenticidad del servidor web al que usted se conecta. En Firefox, por ejemplo, puede obtener información del certificado pinchando dos veces en el candado (el candado debe estar cerrado) que aparece en la barra de abajo; obtendremos una ventana en la que se nos da información de seguridad. Para obtener información específica del certificado pinche en el botón "Ver certificado", se muestra otra ventana con, entre otra, la siguiente información:
- datos de solicitud (Emitido para): nombre del servidor, organización (Universidad de Murcia), ...
- datos de la autoridad de certificación (Emitido por): nombre de la entidad (Cybertrust Educational CA o TERENA)
- datos de validez: fecha de emisión y de expiración del certificado
Una vez más, este requisito (el certificado) es necesario para garantizar la autenticidad del servidor corporativo de la UMU, pero no suficiente para garantizar que el enlace en sí es "inofensivo". Un atacante puede colocar sus propios formularios o código malicioso en una cuenta de hospedaje web de la UMU vulnerada (por ejemplo https://www.um.es/comite_pas/badform.cgi) o en cualquier otro servidor web de la UMU con un certificado correcto. Una vez más, sea muy cuidadoso con los mensajes de correo que incluyan enlaces web desconocidos o extraños (aunque el servidor sea uno conocido de la UMU) y que soliciten que pinche en ellos.