El phishing, o fraude bancario, es el robo de identidad, e información confidencial relacionada a ella, con fines fraudulentos, esto a través de correspondencia y páginas web que tratan de imitar a las de reconocidas entidades financieras o relacionadas con medios de pago, o simplemente de empresas fantasmas. El phishing es spam, correo no solicitado, específicamente diseñado para robar información delicada, como claves, números y datos de tarjetas de crédito y cuentas bancarias.

Las empresas, sometidas a ataques de phishing sufren el riesgo de robo de información confidencial, reducción de la capacidad de su infraestructura informática debida a consumos no relacionados con la actividad de la organización y pérdidas de productividad de sus empleados que tienen que soportar modificaciones en sus sistemas y un aumento de la incertidumbre en su entorno laboral.

En cuanto a las personas igualmente esto atenta su seguridad financiera y laboral al perder informacion confidencial relacionada con sus cuentas bancarias y tarjetas de crédito y/o débito.

La táctica más habitual es la generación de un correo electrónico falso o engañoso que simula proceder de una entidad finaciera o medio de pago confiable, y que apunta a un sitio web que imita el aspecto del sitio original, incluso hasta su funcionalidad, con el que el usuario mantiene una relación. Si el receptor del correo efectivamente tiene esa relación con la entidad y cree que el correo procede de esta fuente, puede acabar introduciendo información delicada y confidencial en un formulario falso, de esta forma esa informacion, que puede incluir acceso con atributos a cuentas bancarias, tarjetas de crédito, datos corporativos, etc., irá a manos e intenciones desconocidas.

Básicamente funciona así: llega un supuesto email de una reconocida entidad finaciera, bancaria o de pagos electrónicos, el cual dice que necesitan que usted actualize sus datos y para ello le ofrecen un link el cual lo lleva a la página de esta supuesta entidad financiera, esta página contiene un formulario que le pide su información de tarjetas de crédito, fechas, números y claves de acceso, etc; una vez que envía la información solicitada ya puede considerarse efectuado el robo de datos vitales, poniendo en riesgo la integridad de sus recursos financieros o información delicada y confidencial.

Otras tácticas son:

• Ventana Javascript flotante sobre la barra de direcciones con el fin de confundir al usuario.

• Uso de nombres de compañías existentes.

• Tomar prestado el nombre de un empleado de la empresa para emitir el correo falso. De esta manera, si el receptor intenta confirmar la veracidad del correo llamando a la compañía, desde esta le podrán confirmar que la persona que dice hablar en nombre de la empresa trabaja en la misma.

El término phishing pudo haber nacido en el año 1996 por hackers que robaron las cuentas de Internet de usuarios de America On-Line que divulgaron sus contraseña de forma inadvertida. La primera mención registrada de phishing se dió en enero de 1996 en el grupo de noticias de hackers alt.2600, aunque fue utilizado previamente en la versión impresa del boletín de noticias de este grupo. En el año 1997, los resultados obtenidos a través del phishing se utilizaban como moneda de cambio en el gremio de hackers. Así por ejemplo, xx cuentas de AOL obtenidas mediante phishing se intercambiaban por herramientas de hacking u otros útiles.

El término original era fishing o pesca, procedente de capturar datos en el mar de Internet, pero los hackers tienen tendencia a sustituir la grafía “f” por “ph”. Así por ejemplo, en lugar de freaking, los hackers prefirieron utilizar phreaking para definir el arte de engañar al control de las redes telefónicas, recurriendo a la simulación de tonos o al uso de dispositivos como bluebox, todo esto para realizar llamadas gratuitas.

Los ataques de phishing han crecido y crecerán a nivel mundial. El phishing ha ocasionado pérdidas por un valor superior a 1500 millones de dólares en daños a los bancos y emisores de tarjetas de crédito.

Si bien el Phishing se encuentra por detrás de otras categorías de amenazas como virus y spam, el fraude bancario empieza a tener un papel relevante en la lista de preocupaciones de los navegantes.

Verifique la fuente de la información. No conteste a cualquier correo que solicite información personal o financiera. Si tiene dudas sobre si realmente esa entidad necesita el tipo de información que le solicita, basta con coger las páginas amarillas y telefonear a su contacto habitual para asegurarse de la fuente de la información.

Escriba usted mismo la dirección. En lugar de hacer clic en el hipervínculo proporcionado en el correo electrónico, escriba la dirección web (url) directamente en el navegación o utilice un marcador que haya creado con anterioridad. Incluso direcciones que aparentan ser correctas en los correos electrónicos pueden ocultar la ruta hacia un sitio web fraudulento.

Refuerce su seguridad. Aquellos usuarios que realizan transacciones a través de Internet deberían configurar su sistema con suites de seguridad capaces de bloquear estas amenazas, aplicar los últimos parches de seguridad facilitados por los fabricantes y asegurarse de que operan en modo seguro a través de certificados digitales o protocolos de comunicación seguros como https.

Revise periódicamente sus cuentas. Los extractos mensuales son especialmente útiles para detectar transferencias o transacciones irregulares, tanto operaciones que no haya realizado y se vean reflejadas en el extracto como operaciones realizadas online y que no aparezcan en el extracto.

Visite el sitio web del Anti-Phishing Working Group (APWG), www.antiphishing.org para conocer de primera mano la lista de ataques de phishing que se están produciendo en ese momento. La APWB a una potente asociación formada por los principales representantes de la industria de la seguridad IT, que tiene como objetivo combatir los fraudes realizados con la técnica del phishing.

Las alternativas tecnológicas para hacer frente al phishing son variadas y cada una muestra sus particularidades en función de la arquitectura escogida:

Programas anti-malware.

Filtrado de contenidos

Actualizaciones diarias y protección permanente para cada una de los elementos de la red: portátiles, estaciones, pasarelas y servidores de correo, servidores de navegación o cortafuegos corporativos.

Mecanismos de detección y desinfección, basados en firmas que permitan identificar y desinfectar aquellos correos fraudulentos reconocidos.