¿Qué es el phishing o usurpación de identidad en la web?

El vocablo 'Phishing' que se pronuncia en inglés 'fishing' con un poco más de énfasis en la letra f, es un nuevo término acuñado por los especialista de seguridad en la red, que engloba a todas aquellas técnicas utilizadas por los 'phishers' para tratar precisamente de 'pescar' usuarios incautos en la red y usurpar su identidad electrónica con el fin de hacerse de su dinero o utilizar sus bienes electrónicos para efectuar compras en su nombre. En realidad este tipo de estafa electrónica es lo que se conoce como 'suplantación de identidad electrónica en la web'

¿Cómo actúa el phishing?
En el 75% de los casos el 'phishing' se basa en el envío de e-mails en los que supuestamente una entidad bancaria seria a la que confiamos nuestros ahorros, solicita por alguna razón que volvamos a ingresar nuestros datos personales de control (contraseña, nombre de usuario y otros importantes) mediante la pulsación de un enlace que nos llevará a una copia muy bien elaborada de la verdadera página de la entidad, en la que se solicitarán nuestros datos, para luego proceder a cometer el delito disponiendo de los mismos para ganar acceso al sistema y 'usurpar nuestra identidad'.

También en versiones más elaboradas de 'phishing' que pueden llevarnos a la página real de la entidad pero abriendo una ventana flotante (pop-up) que no es de dicha entidad, en la que también se soliciten nuestros datos. Otra versión y la más peligrosa es aquella que coloca en nuestro sistema un 'Keylogger' (rastreador de teclas pulsadas) que envía al phisher la información de los datos que hemos pulsado en la sesión de banca electrónica. Otra técnica muy temida es la de insertar una dirección falsa en el archivo "hosts" de su equipo cuyo fin es hacerle ir a una página falsa de la entidad bancaria aunque haya usted colocado la dirección correctamente en el navegador, indicándole a su equipo que tal dirección corresponde a un número IP en el que se encuentra la página del "Phisher".

¿Cómo prevenir el 'Phishing'?
Si bien existen varios sistemas que pueden ayudarle a controlar los intentos de phishing, estos en su mayoría se apoyan primordialmente en USTED, por lo que resultan inútiles si no se les presta la atención necesaria. Internet Explorer 7 y Firefox 2.0 tienen los denominados filtros anti-phishing, que le indicarán cuando una página ha sido reportada como 'falsa' por otro usuario. Sin embargo en países como el nuestro estas ayudas llegan a veces tarde por lo que el hecho de que estos filtros no indiquen a una página como falsa no necesariamente significa que no lo sea.

A continuación explicaré las normas esenciales que debe seguir antes de caer en una 'trampa de phishing'.

1. NO ENTRE EN PÁNICO
   Normalmente los e-mail enviados por los practicantes de este tipo de estafa electrónica, tratan de urgirle a proceder de inmediato en la supuesta acción que le llevará a ser estafado. Para empezar, por norma general no hay forma de que una entidad bancaria le solicite a usted datos que ya tiene, y menos por e-mail. No se angustie, recuerde que aunque el comunicado le indique que si no procede a ingresar sus datos en las próximas 24 horas perderá su dinero, una llamada a la entidad será mucho más eficiente a la hora de resolver un problema supuestamente tan grave. Recuerde que lo que quiere el atacante es precisamente que usted no piense.
   
2. NO CREA EN LOS ENLACES EN EL E-MAIL
   Un banco jamás le enviará un enlace sin antes usted haberlo solicitado, y aunque lo haya solicitado por algún procedimiento (recuperación de password por ejemplo), siempre procederá a llamarle primero o a esperar su llamada. Por otra parte, los enlaces en el e-mail pudieran simplemente engañarle. Cuidado: ¡No se crea demasiado inteligente! Usted podría inclusive pasar por encima del enlace con el ratón y ver el mismo enlace en el texto de apoyo que aparece en una ventanita.
   
3. VERIFIQUE LA IDENTIDAD DEL SITIO
   Todas las entidades bancarias están en la obligación de proveer una 'conexión segura' lo que significa que toda dirección de banca electrónica de un banco debe empezar por las letras 'https' a diferencia de los sitios web tradicionales que empiezan con 'http' (sin la s). No confunda las páginas informativas del banco con las páginas de banca electrónica, las primeras no necesitan conexión segura, pero en cambio cualquier página en la que usted deba introducir datos importantes debería tener este tipo de conexión. A modo de dato adicional, todos los navegadores web (Firefox, Internet Explorer, Opera etc.) le mostrarán la imagen de un candado en alguna parte de su interfaz aclarándole que la conexión es segura (https), sin embargo si usted hace doble clic en dicho candado, podrá ver quién es el propietario del certificado de seguridad del sitio en el que usted está navegando.
   
4. INSTALE Y ACTUALICE REGULARMENTE UN BUEN SISTEMA ANTIVIRUS
   Para el caso específico de los conocidos como 'Keyloggers' o capturadores de pulsaciones de teclado, es necesario mantener su antivirus actualizado. También existen los troyanos que modifican los DNS a los que su máquina solicita información por defecto, y aquellos que directamente modifican el archivo "hosts". Inclusive los hay que hacen todo esto y más en uno solo.
   
   Estos programas malignos pueden llegar a nuestro sistema en forma de 'troyanos' que se instalan al ejecutar una aplicación, descargar un componente "Activex" en una página web y otras acciones no muy fáciles de prevenir.
   
   Actualmente los sistemas de banca electrónica avanzados utilizan los denominados 'teclados virtuales', o teclados de pantalla en los que es obligatorio usar el ratón y que modifican la posición de los números cada vez que usted los utiliza. También los hay que esconden a la vista los números y otras teclas cuando se pasa por encima de ellos con el ratón, esto es para evitar que se tomen las coordenadas de la pulsación. En muchas diferentes versiones estos teclados eliminan de alguna u otra forma la posibilidad de que su clave sea interceptada. Los hay más o menos sofisticados pero cada uno a su manera son de gran ayuda. Claro no todos son perfectos y a medida que pasa el tiempo los hackers consiguen formas de imitarlos y violarlos, por lo que es mejor confiar en un buen antivirus. No use una aplicación de banca electrónica que no disponga de algún tipo de sistema de seguridad como los mencionados.
   
5. ANTE CUALQUIER DUDA LLAME AL BANCO
   Todos los bancos que en la actualidad ofrecen servicios de banca electrónica (por lo menos así debería ser) tienen personal dispuesto a ayudarle, y en la mayoría de los casos disponen de una unidad específica preparada para atender estos casos.
   
6. EVITE COLOCAR INFORMACIÓN PERSONAL EN LA WEB
   Los hackers conocen y estudian a sus víctimas, para descifrar sus claves y otros detalles de seguridad muchas veces basta con conocer sus gustos y aficiones. Trate de no publicar información que pudiera comprometer sus accesos en portales como FaceBook o MySpace ya que si usted coloca que por ejemplo le gusta la musica de Evanescence, no sería muy extraño que su clave fuera el título de alguno de los éxitos de dicho grupo. Lo mismo sucede con su fecha de naciemiento y otros detalles que se suelen agregar en los "perfiles" de las mencionadas comunidades virtuales.

Y para finalizar recuerde:
De nada sirven las ayudas y controles si Usted no toma las medidas necesarias en lo referente a seguridad electrónica para proteger su identidad.