SEGURIDAD Y IT Qué es Phising y Cómo Detectarlo By Ronald Flores, PRINEWS | 3/16/2007 10:21:26 PM, @10:21:26 PM En PuertoRico Internet News, uno de nuestros objetivos principales es mantenerle informado y al tanto de los riesgos que pueden surgir al utilizar el Internet. Sabemos que la red es un medio poderoso y muy versátil, pero es necesario estar informado sobre qué cosas pueden afectar nuestra seguridad al momento de navegar los millones de websites que existen en la red. El primer tema en este respecto que queremos tocar es cómo usted puede protegerse y estar alerta en contra del “phising”. QUE ES PHISING “Phising” es el nombre en la jeringonza del ínter nauta que se refiere a la creciente práctica de personas inescrupulosas que tratan de robar información personal utilizando artimañas altamente sofisticadas y diseñadas para enmascarar programas y páginas en la red falsas, pero que visualmente y hasta programáticamente pueden parecer idénticas a las originales. Esta práctica se está haciendo muy común en estos días y estan siendo usadas para robar miles de contraseñas de diferentes sitios engañando a los usuarios haciéndoles pensar que están visitando una página auténtica. Existen varios métodos donde usted puede ser víctima de un “phising”. En este artículo queremos resaltar la mas utilizada en los últimos meses: “E-Mail Phising”. EMAIL PHISING En la práctica de e-mail “phising”, usted es posible que reciba un e-mail de alguna compañía pidiendole re-entrar los valores de su contraseña o datos personales como seguro social y dirección. Note que de primera vista, las personas que intentan robarle su información han tomado cada diminuto detalle para hacerle pensar que la solicitud es genuina. Para detectar cualquier intento de “phising”, siga estos consejos: 1. Verifique usted reconoce o pertenece a la compañía que le solicita información. Debido a que los “phishers” solo quieren robar sus datos, no les interesa si usted tiene cuenta con ellos o no. Usualmente piden que usted entre información confidencial para “evitar represalias legales” o algún tipo de cuento que le llame la atención. El primer paso es de forma importante, si usted no pertenece a la empresa que pide la información o usted no tiene cuenta con ellos, NO ENVIE LA MISMA. Es posible que sea un ataque de “phising”. Por ejemplo, si usted no tiene cuenta con el Banco Popular y le llega un mensaje pidiendo que verifique su número de cuenta y su numero de PIN, pues obviamente es un mensaje fraudulento. 2. Verifique el lenguaje. Ninguna compañía genuina le pedirá que re-entre su contraseña o información personal por e-mail o llenando algún formulario. Así que sea astuto. Si el mensaje alega que necesita entrar información confidencial, primero llame al banco para verificar y haga toda transacción que envuelva información confidencial personalmente en su banco. 3. Verifique la dirección a que le redirije el mensaje. Si se encuentra en duda, usualmente los mensajes de phising le redirigirán a otro website. Los “phishers” se han tomado la molestia de asegurarse de que usted piense de cualquier forma de que el mensaje es genuino. Esto puede incluir de que el sitio a ser redirigido parezca lo más posible a un sitio genuino. Por ejemplo, en la imagen abajo, vemos un mensaje dudoso y tal como se ve, parece un mensaje completamente genuino (vea que tiene inclusive logos de la empresa, y el enlace a hacer clic parece benigno). En el ejemplo de la gráfica, el link dice textualmente: http://www.usbank.com/ebanking-services-id077333143/client.cfg ¿Nada malo con este enlace, no? No obstante, si movemos nuestro cursor sobre el enlace por unos segundos, nos aparece el enlace real al cual seremos redirigidos: http://www.usbank.com.ebanking-services-id6571919489.hktech.hk/client.cfm ¿Qué tiene de diferencia? Esta parte es MUY IMPORTANTE así que nos detendremos aquí. Aprenda algo: en la red, los dominios tienen presedencia de derecha a izquierda. Por ejemplo, www.yahoo.com, el controlador de dominio .com, luego el dominio es yahoo, luego el servidor es www. Así de simple. En el enlace arriba, ellos quieren que usted piense que usbank.com es el enlace principal. Pero fíjese que si vemos de DERECHA a IZQUIERDA, usando los puntos para demarcar los parámetros del dominio, el controlador del dominio es .hk, luego el dominio es hktech, y el resto a la izquierda es un nombre que ya ha sido programado en ese servidor para responder correctamente a la página pedida. En otras palabras, usted estaba pensando que estaba dirigiéndose a una pagina oficial de usbank.com cuando en realidad le estaba llevando a una página llamad ahktech.hk que Dios sabe que tiene y quien la administra (ciertamente, NO ES USBANK). Es bien importante que usted siempre esté al tanto de esto porque es muy fácil hacerle pensar de que la página es genuina. De esta forma usted puede detectar de antemano si le estan tratando de robar información. Recuerde, NUNCA, NUNCA de su información personal o confidencial a personas por el Internet a menos que usted esté seguro de donde surge la solicitud. Como recomendación básica, nunca de información como contraseñas (“passwords”), numero de seguro social, números de tarjetas de crédito, etc. a menos que sean empresas confiables y que usted esté seguro de que está proveyendo la información a un lugar confiable. En un próximo artículo estaremos hablando sobre como protegerse mejor de “Phising” con herramientas en la red. Hasta la próxima.

Artículos Relacionados

Tecnología | Productos Nuevos

Internet | Comunicaciones y Telefonía

Tecnología | Celulares y Equipos Móviles

Internet | Aplicaciones y Software

Internet | Sitios Nuevos