El pishing, suplantación de identidad en la red

Seguridad

Cada día, los estafadores buscan nuevas formas para apropiarse de información que les aporte un beneficio concreto, aprovechando el desconocimiento de las personas sobre este tipo de actividad fraudulenta. Estas prácticas suelen hacerse suplantando la identidad de empresas conocidas como pueden ser Netflix, Amazon, DHL, HBO, Correos, la Agencia Tributaria, la policía o en ocasiones, las de tu propio banco, solicitando una acción o el pago inmediato de una cantidad mínima a cambio de una compensación.

¿Qué es el pishing?

El pishing es un método por el cual un ente de dudosa reputación utiliza para engañar de forma premeditada a otras personas por medio de SMS, aplicaciones, páginas web o correos electrónicos a través de internet.

Esto sucede cuando un usuario identifica una entidad de confianza y proporciona a esta datos sensibles, o bien, realiza una acción que no debería de haber realizado en beneficio de esta entidad, en este caso, la de un pirata informático. Los datos pueden ser demográficos o personales; un correo electrónico, contraseñas, números de tarjetas de crédito, suscripciones a programas premium, confirmaciones de pedidos o pagos entre otros.

Cómo identificarlo

Una forma de identificar el pishing es por medio de los frecuentes fallos que cometen los estafadores por lo cual si prestamos atención, evitaremos ser estafados. Estos errores pueden ser de tipo gramatical, una interfaz pobre e imágenes de baja resolución o sobre la url del dominio que no coincide con la de la entidad suplantada.

Errores gramaticales

Está claro de que todos podemos cometer errores a la hora de escribir, las entidades suelen pasar por filtro sus comunicados y en ocasiones, existe una errata después de haber pasado por mil revisiones. Aún así, el pishing se identifica por estar mal escrito o por las recurrentes faltas ortográficas de un escrito.

Interfaz e imágenes pobres

Una suplantación de identidad no sería posible si el estafador no emulase la web o correo electrónico de la entidad suplantada. Es decir, recurrirá a utilizar documentos HTML y CSS extraídos gracias al inspector de página y así, confundir al usuario y hacerle creer que en efecto, se trata de su entidad de confianza. Pero no siempre sale bien, ya que las entidades originales suelen utilizar imágenes de alta resolución en comparación a los que suelen utilizar los estafadores. En cuanto a la interfaz de usuario, en ocasiones existen errores a la hora de abrir un elemento del menú o al visualizar el sitio desde un dispositivo móvil.

La url del dominio no coincide

Esta es una de las formas más recomendadas para identificar si estas siendo víctima de pishing ya que, solo puede haber un propietario de dominio y en efecto, ir creando subdominios según las necesidades de la entidad.

Veamos un ejemplo de dominio de una entidad real y que podemos identificar de que no se trata de pishing, según su url:

A diferencia de las url anteriores, veamos un posible pishing según la url:

  • Dominio: www.aceptarpedidoahora.com/amazon
  • Subdominio: amazon.aceptarpedidoahora.com/clientes
  • Email: [email protected]

Google manifiesta su preocupación

El gigante de internet a manifestado a través de su blog Threat Analysis Group (TAG) su preocupación por el aumento del número de alertas enviados por ataques de software malicioso en este 2021.

Según Google se trata de un aumento de casi un 33% en referencia al 2020, fundamentado por las labores de bloqueo sobre una campaña maliciosa por parte del grupo ruso de hackers conocido como Fancy Bear o APT28, «inusualmente grande».

Conclusión

El pishing es una práctica ilegal producido por grupos de hackers o entidades que tienen como objetivo lucrarse de forma mal intencionada y que supone perdidas millonarias cada año. El foco de estos delincuentes cibernéticos pueden ser tanto personas físicas como empresas, organismos y gobiernos, que se ven obligados a protegerse de estos ataques y a concienciarse para evitar ser víctimas de ello, aportando cada vez más información sobre los diferentes tipos de software malicioso.

NEWSLETTER

Suscribirte a Exploradata.com es recibir en tu bandeja de entrada los últimos artículos y novedades del blog, para que no te pierdas nada.