He recibido un par de mensajes en apenas 72 horas, procedentes de dos amables lectores de este humilde blog, en los que se me ha solicitado un poco de información adicional sobre la técnica maliciosa de moda: el phishing.
En vez de hacer lo que hago habitualmente cuando me llega alguna nota de contacto, que es responder personalizadamente por correo, voy a dejaros una serie de enlaces sobre esta técnica, la cual cada día es más preocupante por sus posibles efectos. Titularé esta entrada como «Definición de phishing» para que los robots de buscadores la indexen con el criterio de búsqueda más empleado en este blog para saber más sobre la técnica descrita, es decir, la definición de la misma.
La pregunta, por tanto, es simple. ¿Qué es el phishing?
Entendemos por phishing el conjunto de técnicas que pretenden, sin conocimiento de la víctima, la consecución de datos especialmente sensibles (sobre todo bancarios) captándolos de un modo ilícito a través de falsos formularios o simulaciones de la página web de la empresa a la que se falsea. Las simulaciones de phishing se reciben principalmente vía mensajes de correo HTML cuya apariencia es la de nuestro proveedor de servicios habitual: banca, compra venta online, etc. No hay que descartar recibir enlaces a páginas duplicadas por otros medios telemáticos, como mensajería móvil, fax o mensajería instantánea. Cualquier medio es factible.
En esencia, se trata de que el usuario víctima visite un sitio web aparentemente perteneciente a la empresa a la que se falsea, atraído por un mensaje que le invita a ello, y que de algún modo convincente, se induzca a los visitantes engañados a proporcionar a la falsa página, alojada en servidores ajenos a la empresa simulada y bajo tutela de los estafadores, aquellos datos sensibles, como PINs, números de cuenta, de tarjeta de crédito, etc. que permitan posteriormente su aprovechamiento de un modo malicioso por parte de los estafadores responsables de la duplicación.
Jurídicamente el phishing podría seguramente ser considerado como un delito de estafa. Que me perdonen los versados en la materia si esta información es incorrecta, pero yo entiendo que el objetivo es estafar a las personas, engañándolas, para hacernos con sus datos con el único fin de aprovecharse de ellos después.
Las páginas más abundantes susceptibles de phishing son las que duplican a entidades bancarias y en ellas se simula ser el banco, solicitando al cliente datos que jamás su banco le pediría a través de una web, como por ejemplo, número de tarjeta de crédito, PIN, claves secretas de acceso telefónico, etc. Hay casos documentados sobre phishing en entornos de compraventa, como el constante caso de Ebay
Definiciones de phishing hay muchas: yo os he ofrecido mi punto de vista, pero seguramente querráis saber qué definición se da en la Wikipedia, o quizás leer artículos consultivos como los publicados por Hispasec Sistemas al respecto. Incluso os invito a que consultéis los resultados de búsqueda del término phishing en este mismo blog.
Os recomiendo leer los contenidos de http://www.antiphishing.org/, la página del AntiPhishing Working Group, donde podéis documentaros con casos reales, consejos para evitar caer en las trampas de duplicación descritas, y un largo número de resursos documentales sobre la técnica. Una lectura casi obligatoria.
Otra lectura, ya que hablamos de seguridad, de carácter más general y básico, indicada sobre todo a usuarios mas noveles (y a los que tienen experiencia, por qué no), es esta traducción del artículo original del gran Bruce Schneier, publicada en Kriptópolis: Informática personal segura. No dejéis de leer este excelente artículo.
Un saludo :)
Un pensamiento en “Definición de phishing”
Comentarios cerrados.