Riesgos Financieros

Gregorio Belaunde

Phishing: Cuidado con Algunas Variantes Posibles

A todos nos has pasado el recibir un mensaje que se supone es de nuestro banco o de algún otro proveedor de servicios invitándonos a hacer click sobre un link, para supuestamente evitar un cierre de los accesos internet, o para poner ciertas informaciones al día, etc. Pero resulta que son mensajes falsos y si hacemos el click que nos piden, nos puede pasar de todo, por ejemplo, el que puedan acceder a nuestras cuentas bancarias. La mayor parte de ustedes habrán escuchado o leído la palabra “phishing”, para designar estos actos de cibercriminalidad.

 Se encuentran muchas definiciones del phishing: una de las mejores que he visto, es la del sitio web INFO SPYWARE, en un excelente artículo, que dice lo siguiente:

 “El término Phishing es utilizado para referirse a uno de los métodos más utilizados por delincuentes cibernéticos para estafar y obtener información confidencial de forma fraudulenta como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria de la víctima.

 El estafador, conocido como phisher, se vale de técnicas de ingeniería social, haciéndose pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo general un correo electrónico, o algún sistema de mensajería instantánea, redes sociales SMS/MMS, a raíz de un malware o incluso utilizando también llamadas telefónicas.”

 Esta definición me lleva a dos reflexiones, a raíz de dos incidentes recientes que he experimentado (sin caer en la trampa).

 Se supone en general que los estafadores están usando una falsa dirección de correo electrónico de la empresa reconocida para hacerle caer en la trampa. Pero estas no son muy difíciles de reconocer si uno conoce muy bien las direcciones email con las que la empresa suele escribirle. El problema se complica cuando el correo sospechoso le está llegando…de una dirección electrónica que usted conoce muy bien, porque es legítima, una que el banco u otra entidad usa en sus comunicaciones con usted frecuentemente. Aquí, salvo de que se trate de una clonación de la dirección de correo electrónico legítima, lo que ya en sí es más peligroso para el cliente, puede estar pasando algo aún más grave:

. o la empresa proveedora ha sido hackeada desde el exterior y uno de sus correos institucionales verdaderos está siendo usado para tenderle trampas a los clientes de dicha empresa; si es un correo que el cliente ya conoce, desconfiará menos y tenderá más fácilmente a hacer el click fatal…

. o lo que está sucediendo es que empleados deshonestos de la misma empresa (una variante de fraude interno) están usando la información de la que disponen sobre ciertos clientes para tratar de hacerles caer en la trampa con correos electrónicos que parecen muy plausibles; por supuesto eso también puede hacer “bajar la guardia”, usted ya conoce el correo y además le escriben algo que está muy relacionado con su perfil de cliente.

 Si los correos sospechosos vienen de una dirección electrónica “legítima”, no basta con evitar hacer click: aconsejo alertar a su empresa proveedora (banco u otra) inmediatamente, para que pueda tomar acción inmediatamente; sus servicios de seguridad informática se lo agradecerán, y se podrá parar el ataque más rápido, limitando el número de victimas.

 

La segunda reflexión viene con lo que nos recuerda acertadamente la definición mencionada: que puede ser por teléfono. Imagínese que súbitamente lo llame alguien, que por el ruido de fondo, parece estar llamando de un call center muy atareado, diciendo ser alguien de la empresa proveedora de su sistema operativo favorito (el que está en su computadora), y que le diga algo así, en inglés o en castellano: “está habiendo un problema muy serio con un aplicativo de otra empresa, está llegando con toda una invasión de malware, troyanos, etc., por favor haga inmediatamente la maniobra tal con las teclas X e Y, para solucionar el problema, esto es urgente”; y el tono es muy apremiante, diciendo que hay un gran peligro para su computadora.

 

En ese caso hay una buena razón para desconfiar: los proveedores de sistemas operativos, cuando se encuentran con un problema serio de seguridad, suelen arreglar el problema con alguna actualización del software que le llega a su máquina por la vía habitual.

 

Una llamada así sólo podría ser genuina si estuviera sucediéndole algo grave a la empresa: que la hayan hackeado de tal manera que le es imposible enviar las actualizaciones necesarias y que esté desesperadamente, como medida alternativa, tratando de limitar los daños con llamadas telefónicas masivas. ¿Pero cómo saber? La empresa en cuestión tratará en general de ocultar lo que le está pasando (¿recuerdan el tiempo que le tomó a Yahoo reconocer el robo de información de cientos de millones de cuentas que había sufrido?). Entretanto cada vez más usuarios de Yahoo iban volviéndose sin saberlo en vector de todo tipo de propagandas de lo más insólitas enviadas a todos sus contactos supuestamente por usted: oficina de trading on-line de monedas, servicios de sepelio u otros ligados a la muerte, productos de todo tipo para la piel para lucir más joven, o para adelgazar más rápido, o tratamientos mágicos para una mejor vida sexual y hasta propaganda francamente pornográfica y contactos colindantes con la prostitución…

Entonces, lo único que queda es no hacer lo que le piden, no dar información sobre usted de ninguna manera, y asegurarse de que tiene los mejores firewalls y anti-virus del mercado para enfrentar lo mejor posible la supuesta amenaza, por si fuese cierta. No vaya a ser que esas llamadas estén destinadas no sólo a robar información confidencial, sino también a introducir “ransomware” (bloqueándole el acceso sus datos, y con desbloqueo ofrecido únicamente a cambio de un pago en bitcoins), o a borrarle completamente su sistema operativo y toda su data.

  

He querido darles aquí algunas variantes especialmente perturbadoras de phishing.

Hay que ser tanto más vigilantes ahora, no sólo con los correos y SMS que reciba, sino también con las llamadas de desconocidos que reciba.

COMENTARIOS

No hay comentarios.

DEJE SU COMENTARIO

La finalidad de este servicio es sumar valor a las noticias y establecer un contacto más fluido con nuestros lectores. Los comentarios deben acotarse al tema de discusión. Se apreciará la brevedad y claridad.


No se lee? Cambie el texto.


TODOS los blogs


Portafolio Global

BlackRock

Menos face más book

Rafael Zavala Batlle

Visiones para el desarrollo

CAF –Banco de Desarrollo de América Latina

Te lo cuento fácil

Alumnos de la Universidad del Pacífico

Más allá del efectivo

Felipe Rincón

Mujer, ejecutiva y trasgresora

Zendy Manzaneda Cipriani

Revolución digital

Pablo Bermudez

Economía desde el campus

Grupo Económica

Síntesis legislativa

José Ignacio Beteta Bazán

La parábola del mudo

Javier Dávila Quevedo

Arturo Goga

Arturo Goga

Sumando Valores

Superintendencia del Mercado de Valores

@infraestructura

Rosselló Abogados

Minería 2021

Instituto de Ingenieros de Minas del Perú (IIMP)

Conciencia Corporativa

Silvia Noriega

Agenda Legal

Estudio Echecopar

Perspectiva Forestal

Comité Forestal SNI y Comité de Madera e Industria de la Madera ADEX

Pensando laboralmente

César Puntriano

Auditoria del Siglo 21

Karla Barreto

Economía conductual

Bertrand Regader

Cultura financiera

Walter Eyzaguirre

Triple enfoque

Cecilia

Gestiona tus Finanzas

Giovanna Prialé Reyes

Corrupción bajo la lupa

Eduardo Herrera Velarde

Pablo O'Brien

Pablo O'Brien

El cine es un espejo

Raúl Ortiz Mory

Ruarte's - Washington Capital

R. Washington Lopez

Atalaya Económica

Manuel Romero Caro

Terapia de Pareja

Luciana Olivares

Próspero Perú

Gladys Triveño

Herejías Económicas

Germán Alarco

Inversión e Infraestructura

Director FRI-ESAN Sergio Bravo Orellana

Blog Universitario

Blog Universitario

Juegomaniáticos

Juan Pablo Robles

Gestión del Talento

Ricardo Alania Vera

Tacos Fuertes

Ana Romero

Millennials

Pamela Romero Wilson

Reglas de Juego

PIERINO STUCCHI

Humor S.A.

Jaime Herrera

Bitácora bursátil.

Equipo de Análisis de Intéligo SAB

Vivir Seguro

Asociación Peruana de Empresas de Seguros

El deporte de hacer negocios

Luis Carrillo Pinto

Zona de Intercambio

Julio Guadalupe

Innovar o ser cambiado

Andy Garcia Peña

Economía aplicada

Juan Mendoza

El Vino de la Semana

José Bracamonte

Carpeta Gerencial

IE Business School

Desafíos para el progreso

Banco Interamericano de Desarrollo

Innovación y Emprendimiento Tecnológico

Franklin Marcelo, CEO de Interfono

Diálogo a fondo

Fondo Monetario Internacional

Predio legal

Martín Mejorada

e-strategia

José Kusunoki Gutiérrez

Vinos, piscos y mucho más

Sommelier Giovanni Bisso

Evidencia para la gestión

Videnza Consultores

Palabra de Gestión

Julio Lira Segura

Impacto ambiental

Lorenzo de la Puente

Inversiones Globales

Carlos Palomino Selem

Moda Inc.

Daniel Trelles

Divina Ejecutiva

Fiorella

Menú Legal

Oscar Sumar

Analizando tus inversiones

Diego Alonso Ruiz

Reformas incompletas

Instituto Peruano de Economía

Empresa&Familia

Pablo Domínguez

Hoy sí atiendo provincias

Félix Villanueva - Aurum Consultoría y Mercado

Smart money

Luis Ramírez

Consumer Psyco

Cristina Quiñones

Gestión de servicios

Otto Regalado Pezúa

Marketing 20/20

Michael Penny

Mercados&Retail

Percy Vigil Vidal

CAFÉ TAIPÁ

Milton Vela

Anuncias, luego existes

Alexander Chiu Werner

Marcas & Mentes

Lizardo Vargas Bianchi

Riesgos Financieros

Gregorio Belaunde

Economía para todos

Carlos Parodi

De regreso a lo básico

Paúl Lira Briceño