Definición de phishing
El término phishing se emplea en el terreno de la informática para aludir a un delito que se lleva a cabo a partir de la sustitución de la identidad de un usuario. Mediante una acción fraudulenta, un delincuente consigue datos confidenciales que explota en su beneficio.
El phishing puede derivar en que el criminal acceda a números de cuentas bancarias o tarjetas de crédito, por ejemplo. Con esos datos en su poder, está en condiciones de robar dinero de las cuentas o de utilizar esos montos para realizar compras sin que el legítimo propietario de los recursos lo advierta.
Muchas veces el phishing se realiza mediante un correo electrónico que aparenta provenir de una fuente de confianza (una empresa, una oficina gubernamental, un amigo íntimo de la víctima, etc.), cuando en realidad se trata de un mensaje falso. Estos emails suelen contener un enlace hacia un sitio donde el destinatario, engañado, introduce su información personal y se la facilita, sin saberlo, al delincuente.
Otra posibilidad es que el individuo llegue a un sitio web fraudulento por otra vía, como una comunicación de mensajería instantánea o incluso un buscador. En apariencia, el sitio parece pertenecer a una compañía o agencia de gobierno, pero no es más que una fachada para el robo de los datos.
Dado que por lo general el phishing se lleva a cabo usando un nombre e incluso una imagen de confianza (como ser el logotipo de una empresa), además de poner en el remitente los datos reales de la persona por la que se están haciendo pasar (el nombre de un empleado o una dirección de Internet demasiado parecida a la original, por ejemplo), es muy difícil detectar este tipo de ataques a simple vista. Sin embargo, existen ciertos detalles que los delatan en la mayoría de los casos.
Para evitar el phishing, por lo tanto, hay que tener en cuenta estos detalles cada vez que nos decidimos a leer un mensaje de correo electrónico o a cliquear en un enlace. El primero que podemos mencionar es que las empresas no solicitan información personal vía email, en especial los bancos o aquellas entidades en las que nuestro dinero está en juego. Por eso nunca deberíamos responder mensajes que no hayamos solicitado específicamente ni hacer clic en sus enlaces.
¿En qué casos podríamos solicitar un mensaje con un enlace? Por ejemplo, cuando deseamos recuperar o cambiar nuestra contraseña: lo normal es recibir un enlace que nos dirige a un formulario donde podemos ingresar una nueva contraseña. Algo similar ocurre cuando nos damos de alta en un sitio que nos exige la confirmación de nuestra dirección de correo electrónico. Pero salvando estas dos situaciones y alguna similar muy excepcional, deberíamos desconfiar de cualquier mensaje que nos obligue a interactuar con sus elementos.
Otra práctica recomendada para evitar el phishing es desconfiar de los archivos adjuntos que nos llegan sin que los pidamos o sin que el remitente nos haya adelantado que nos los enviarían. Si un compañero de trabajo nos dice que recibiremos un documento escaneado por correo electrónico a lo largo del día, no deberíamos sospechar; pero si espontáneamente nos llega un mensaje de este tipo sin previo aviso, lo mejor que podemos hacer es contactar al remitente y pedirle que nos confirme que realmente nos lo haya mandado. Claro que no deberíamos usar la función «responder», sino redactar un mensaje nuevo e independiente, o bien aprovechar otro programa de mensajería.
Quienes hayan sido víctimas del phishing saben que en ocasiones los delincuentes intentan apelar a nuestra sensibilidad haciendo uso de historias tristes o bien prometiéndonos recompensas si seguimos sus instrucciones. También pueden intentar hacernos creer que nuestra seguridad está en peligro.