Tras los inminentes avances de la Inteligencia Artificial en el mundo, la Coordinación de Emergencia en Redes Teleinformáticas de la Administración Pública Argentina (ArCERT) viene incrementando las alertas sobre el crecimiento de incidentes relacionados al “Phishing”.
Se trata de un modo de engaño, mediante el cual los atacantes envían un mensaje a una o a varias personas, con el propósito de convencerlas de que revelen sus datos personales.
Generalmente, esta información se utiliza luego para realizar acciones fraudulentas como transferencias de fondos desde una cuenta bancaria, compras con las tarjetas de crédito u otros comportamientos delictivos que requieren el empleo de los datos privados.
En esa línea, el organismo señala que el medio más utilizado por los atacantes para realizar esta práctica es el correo electrónico y que los mensajes que por ahí se envían suelen ser muy convincentes (muchos de ellos escritos con Inteligencia Artificial), ya que simulan haber sido enviados por una entidad conocida y confiable para el usuario con la cual éste opera habitualmente, por ejemplo, un banco o una empresa con la que realiza transacciones comerciales a través de Internet.
“En el mensaje se alegan motivos diversos, como problemas técnicos, actualización o revisión de los datos de una cuenta. A continuación, para –supuestamente- verificar o modificar sus datos personales, se le solicita que ingrese a un determinado sitio web: su nombre completo, DNI, claves de acceso, entre otros”, explica un artículo relacionado al “Phishing”, de la Universidad Nacional de La Plata (UNLP).
Dicha página web es, en realidad, un sitio falsificado que simula ser el de la entidad en cuestión, pero como su diseño suele ser muy similar al de la organización de cuya identidad se han apropiado el usuario no puede percatarse del engaño.
En otros casos, la base del engaño se basa en el parecido entre las direcciones web del sitio auténtico y el apócrifo. En muchas ocasiones incluso, el texto del enlace escrito en el correo electrónico se corresponde con la dirección real del sitio web y si el usuario hace clic en dicho enlace, se lo redirige a una página falsa, controlada por los atacantes.
¿Cómo evitar el phishing?
La UNLP ofrece, en base a las pautas que compartió la ArCERT, nueve consejos para evitar ser víctima de casos de “phishing” y los nuevos modos en que aparece, en base a los avances de la Inteligencia Artificial.
1. No responder correos electrónicos que piden información personal
En primer lugar, los organismos aconsejan no responder a los correos electrónicos que piden información personal o financiera. Si el mensaje invita a acceder a un sitio web a través de un enlace incluido en su contenido, se recomienda evitar.
“(El usuario) debe saber que las organizaciones que trabajan seriamente ya están al tanto de este tipo de fraude y por consiguiente, no solicitan información por este medio. Tampoco contactan telefónicamente, ni a través de mensajes SMS o de fax”, señalan.
Al mismo tiempo indican que si al usuario le preocupa el estado de la cuenta que posee en la organización que dice haber enviado el correo o que lo ha contactado, la mejor alternativa es comunicarse directamente con ella, recurriendo al número telefónico conocido y provisto por la entidad a través de medios confiables, como por ejemplo, el último resumen de cuenta.
2. No enviar información personal por correo electrónico
El correo electrónico, si no se utilizan técnicas de cifrado y/o firma digital, no es un medio seguro para enviar información personal o confidencial.
3.No acceder a la web desde lugares públicos
En la medida de lo posible, se debe evitar ingresar al sitio web de una entidad financiera o de comercio electrónico desde un locutorio u otro lugar público.
Las PCs instaladas en estos lugares podrían contener software o hardware malicioso, destinados a capturar datos personales.
En caso de utilizar dicho ambiente, la mayoría de las instituciones bancarias brindan la posibilidad de utilizar un teclado sobre la pantalla.
4.Verificar los indicadores de seguridad del sitio web
Al momento de ingresar información personal en un sitio web, es preciso buscar los indicadores de seguridad del sitio. Al hacerlo, se podrá notar que la dirección web comienza con https://, donde la s indica que la transmisión de información es segura.
Se debe verificar también en la parte inferior del navegador que aparezca un candado cerrado. Al hacer clic sobre éste, se podrá comprobar la validez del certificado digital y obtener información sobre la identidad del sitio al que está accediendo.
5. Mantener actualizado el software de la PC.
Es importante instalar las actualizaciones de seguridad del sistema operativo y las aplicaciones que utiliza de manera cotidiana, especialmente las del producto antivirus, el cliente web y correo electrónico.
La mayoría de los sistemas actuales permiten configurar estas actualizaciones en forma automática.
6. Revisar resúmenes bancarios y de tarjeta de crédito
Otro de los consejos tiene que ver con revisar resúmenes bancarios y tarjeta de crédito tan pronto como los reciba. Si se detectan cargos u operaciones no autorizadas, el usuario se debe comunicar de inmediato con la organización emisora. También lo debe hacer si se produce una demora inusual en la recepción del resumen.
7. No descargar ni abrir archivos de fuentes no confiables
Esta pauta tiene que ver con que esos archivos pueden contener virus o software malicioso que podrían permitir a un atacante acceder a la computadora y por lo tanto, a toda la información que un usuario almacene o introduzca en ella.
8.No contestar ningún mensaje que resulte sospechoso
Ambos organismos señalan que si una comunicación avisa a determinado usuario sobre un evento adverso vinculado a su cuenta bancaria y le solicita que llame a un teléfono gratuito, no lo haga.
“Si recibe un correo electrónico que le pide lo mismo, desista. Si del mismo modo, le envían un SMS de bienvenida a un servicio que no ha contratado, bórrelo y olvídese. Las mencionadas prácticas no son sino diversas modalidades que persiguen el mismo fin: obtener sus datos personales para cometer una defraudación”, aseguran.
9. Prestar atención permanente
La última pauta tiene que ver con una advertencia: que el usuario permanezca siempre atento para evitar el acceso indebido a su información personal.
“Observamos que, día a día, aparecen nuevas estrategias de engaño. Su desconfianza y el cuidado con que analice los sitios web en los que vuelque sus datos de identidad, son su mejor protección”, cierran ambos organismos.
ADEMÁS EN NEA HOY:
Formosa contra los ciberdelitos: busca frenar los delitos informáticos más comunes