En las últimas semanas el tema de la inseguridad en línea ha estado en los titulares de todos los medios del mundo. A los millones de virus y programas malévolos (malware) que se distribuyeron el año pasado y que rompieron todos los récords históricos – el 90% de los nuevos virus están escritos para atacar equipos con Android (acá le decimos como mantenerlo protegido) – se suma (1) una cantidad importante de vulnerabilidades en herramientas de uso diario encontradas recientemente (como Heartbleed que afecta Servidores, PCs, Router, Firewalls y Dispositivos Móviles), (2) el fin del soporte a Windows XP aunque cerca del 24% de los equipos de los computadores tradicionales aún utilizan ese sistema operativo y (3) el incremento de los ataques informáticos, por medio de los cuales el robo de identidades en lo que va corrido del 2014 se ha disparado.
El panorama es complejo y preocupante, al nivel de escuchar gente diciendo que “lo mejor es desconectarse” o “volver al papel“. Sin embargo, ni los virus ni los malwares se instalan solos, ni las vulnerabilidades pueden ser explotadas sin un poco de “ayuda” de parte del usuario final. Por eso, decidí hablar un poco de la manera más común en que le roban su identidad en línea: el Phishing.
El Phishing y el Fishing (de pescar, en inglés) son cosas diferentes, y sin embargo son más parecidas de lo parece. En ambos casos hay un pescador (el hacker), un pescado (usted, yo, la víctima) y un anzuelo. En el caso del phishing ese anzuelo se encarna en diferentes formas:
- Archivos ejecutables que viene como adjuntos de correos electrónicos, mensajes de texto e incluso mensajes a través de redes sociales,
- Links que llevan a páginas falsas en las cuales se piden los datos de acceso del usuario (el ejemplo más común es la proliferación de páginas de bancos que son falsas)
- Aplicaciones que se descargan y ejecutan desde sitios no verificados
En los 3 casos, el usuario tiene que realizar un proceso: ejecutar el archivo, ingresar sus datos o descargar y permitir la ejecución de un aplicación. No importa el sistema operativo, en todos los casos se necesita que el usuario de al menos un Ok.
Hace un par de años oí una estadística que me dejó perplejo: en Colombia el 48% de los usuarios que son víctimas de ataques de phishing – esos correos que dicen “hola soy tu banco por ingresa a este link y digital tu login y tu clave para validar x o y” – cae, es decir que sigue el link y digita sus datos o descarga la aplicación y permite su ejecución. Esto a pesar que el mensaje recurrente de los bancos es que nunca le pedirán su clave y que ud. no debe seguir link alguno sino digital directamente la dirección de la página web de su entidad.
Este tipo de campañas de alerta ha hecho que los usuarios seamos menos bobos y menos confiados, por lo que los maleantes han comenzado a sofisticar sus ataques con lo que se conoce Social Phishing o Social Engineering, que no es más que personalizar sus ataques. Un ejemplo o de Social Phishing es el siguiente: el hacker determina una persona a la que quiere robarle su identidad, sus claves o su información (o todas las anteriores). Busca información de esa persona en línea: Google, Facebook, Twitter, Foursquare, etc. Con esa información logra determinar que el “cliente” es aficionado a un equipo de fútbol. Envía al “cliente” un correo con una promoción de artículos relacionados con dicho equipo, boletas preferenciales, eventos vip y demás que llamen la atención del usuario y que lo lleven a darle click al archivo o link que viene adjunto. Ese archivo se descarga y comienza a correr en su computador, tablet o smartphone y comienza a recopilar (y enviar) información de las páginas que la persona frecuenta, los logins y claves e incluso las teclas que presiona en todo momento el usuario.
Que puede, entonces, hacer el usuario? La respuesta es tan sencilla que parece ilógica:
- No abra correos de personas que no conoce
- Valide siempre la dirección de las personas que envían los correos (puede que diga “Samir Estefan” pero que la dirección sea [email protected])
- Si ya abrió el correo (cosa que no debió haber hecho) por ninguna razón de click sobre los archivos adjuntos
- Intente no utilizar los links que vienen dentro de los correos electrónicos promocionales o de destinatarios desconocidos
- Si usa Windows o Android tenga actualizado su Antivirus y córralo antes de ejecutar cualquier programa o aplicación
- Cuando vaya a descargar una aplicación intente usar una tienda de aplicaciones reconocida o asegúrese que la página web que está usando sea legal
- y haga lo que haga nunca envíe su información personal como Tarjeta de Crédito, logins o passwords por correo electrónico, Whatsapp o SMS