articulo ataques phising
TRANSCRIPT
5/11/2018 Articulo Ataques Phising - slidepdf.com
http://slidepdf.com/reader/full/articulo-ataques-phising 1/6
Ataques Phishing y Medidas Correctivas
Yolanda Hernández W.Universidad Tecnológica de Panamá
Resumen
Los ataques phishing son acciones que son ejecutadas por atacantes informáticos
para robar información confidencial de los usuarios inocentes. Esta información
puede ser recolectada via correo electrónico, página web, sms o otros diversos
medios. El phishing, del Inglés pescando, se basa en el envío por parte del
phisher o atacante de notificaciones que aparentan ser oficiales y legítimas con
formularios para que el usuario víctima introduzca su información sensitiva.
Las manejas mas seguras de mantenerse alejado de estos atacantes es norespondiendo a los campos que se preguntan en los correos electrónicos o
páginas web recibidos de dudosa procedencia.
Palabras clave: ataque informático, robo de información, phishing, correo electrónico, paginasfraudulentas.
1. Ataques Phishing
Con el pasar de los años, el uso más y más frecuente de la Internet para transacciones económicas y bancarias se volvió recurrente. Se creía que este tipo de transacciones iban a facilitar y mejorar la
seguridad, no solo para los clientes, sino también para las entidades bancarias y financieras. Pero los
amigos de lo ajeno no descansan nunca y, de un tiempo para acá, hemos sido acosados con ataques
informáticos que violan nuestra seguridad.
Entre estos ataques es común escuchar el “phishing”. Pero ¿qué es el phishing?. El phishing
es una modalidad de ataque informático que tiene como finalidad robar la identidad del usuario. Almencionar identidad aclaramos que se roban datos, claves y contraseñas, números de cuentas
bancarias, números de tarjetas de crédito, identidades, etc. La vía mas utilizada para el robo de estos
datos es mediante la ingeniería social, donde, por medio de engaños, se copia de modo fraudulento
la información de los usuarios. Para esto, se utilizan copias de páginas de confianza, mensajes de
correo electrónico o ventanas emergentes.
La palabra phishing nace a mediados de los años 90 gracias a los crackers. Éstos robabancuentas de AOL. Para hacerlo se presentaban como empelados de la compañía y enviaban mensajes
inmediatos a la potencial víctima. Dentro del mensaje enviado se pedía que se revelara contraseñas
5/11/2018 Articulo Ataques Phising - slidepdf.com
http://slidepdf.com/reader/full/articulo-ataques-phising 2/6
y datos del usuario, con excusas como la verificación de las cuentas o confirmación de la
información de la factura. Una vez que la víctima ingresó los datos, el atacante podría tener acceso
ilimitado a las cuentas de la víctima y utilizarlas con otros propósitos, como por ejemplo spamming .
El usuario atacante, mejor conocido como “phisher”, puede atacar de diversas formas, desdeun simple y sencillo mensaje sms vía telefonía celular, mediante llamadas telefónicas, a través de
una página web simulando una entidad, por ventanas emergentes ( pop-ups) y spams vía correo
electrónico. El phisher envía a usuarios incautos millones de mensajes falsos que parecieran ser
originales y de confianza. Sus mensajes parecen ser completamente originales, de esa forma se
ganan la confianza de la víctima y éstas responden a los campos pedidos en estos mensajes.
Normalmente, dentro del mensaje de phishing se encuentran enlaces que parecieran dirigir a los
sitios web legítimos; sin embargo, estos enlaces son de sitios falsos o llevan a ventanas emergentesque, en apariencia, lucen iguales a las originales. Estas páginas copias son denominadas “sitios web
piratas”. Una vez recolectada la información sensible, será utilizada para realizar compras, solicitar
nuevas tarjetas de crédito o simplemente robar la identidad de la víctima.
Formatos mas comunes de ataques phishing:
• SMS: los SMS o mensajes cortos son, aunque pocas veces, utilizados para este tipo de
fraudes. Dentro del contenido del SMS se solicitan datos personales.
• Llamadas telefónicas: el emisor de la llamada suplanta la identidad de funcionarios de
entidades ya sean públicas o privadas y le solicitan datos privados. Ejemplo de este tipo de
llamadas se han observado muy frecuentemente en los últimos años aquí en Panamá.
Personas inescrupulosas se hacen pasar por funcionarios con altos cargos de las empresas
telefónicas del país e intentan obtener información sensitiva de la víctima.
• Páginas web o ventanas emergentes ( pop-up): esta es la forma mas clásica del ataque
phishing. La técnica consiste en suplantar visualmente la imagen o logotipo de una entidad
oficial, empresa, compañía, etc. aparentando ser oficial. Las mas comunes son la
suplantación de paginas web de bancos, luciendo estas páginas casi idénticas mas no
oficiales.
5/11/2018 Articulo Ataques Phising - slidepdf.com
http://slidepdf.com/reader/full/articulo-ataques-phising 3/6
Figura 1. Ejemplo de correo phishing bajo el nombre de ebay.com.
• Correo electrónico: es el ataque mas utilizado y mas conocido por los usuarios. El usuario
recibe un correo electrónico donde simulan a la entidad u organismo a suplantar paraobtener los datos del usuario incauto. Este correo electrónico solicita la información del
usuario por supuestos motivos de seguridad. Es común que el correo contenga formularios,
enlaces falsos, textos originales, imágenes oficiales, etc. Todo esto apoya la idea de que el
correo electrónico es oficial y original. El phisher se aprovecha de las vulnerabilidades de
los navegadores y servidores de correo electrónico. Una vez ingresado los datos, estos son
enviados directamente al phisher.
5/11/2018 Articulo Ataques Phising - slidepdf.com
http://slidepdf.com/reader/full/articulo-ataques-phising 4/6
Figura 2. Ejemplo de un correo electrónico fraudulento tratando de obtener información.
2. Medidas Correctivas
Existen diversas formas que un usuario puede utilizar para no caer en el juego de los atacantes
informativos y evitar que su información sensitiva caiga en manos de gente inescrupulosa y amigos
de lo ajeno.
Para su mayor seguridad, tranquilidad y evitar las estafas nunca responda a ninguna solicitud
de información personal a través de correos electrónicos, llamadas telefónicas o mensajes SMS .
Normalmente las entidades u organismos no solicitan contraseñas, números de tarjetas de crédito o
cualquier información personal o sensitiva del cliente mediante los medios antes ya mencionados.
5/11/2018 Articulo Ataques Phising - slidepdf.com
http://slidepdf.com/reader/full/articulo-ataques-phising 5/6
Si piensa que el mensaje recibido puede ser legítimo contacte a la entidad pertinente para verificar y
confirmar la información solicitada.
Al momento de ingresar a las paginas web de las organizaciones, es recomendable que usted
escriba la dirección URL. Nunca le de acceso a las paginas mediante los enlaces que aparecendentro de los mensajes de dudosa procedencia o fraudulentos. Normalmente estos enlaces que
parecen ser legítimos, al acceder a ellos, el usuario es redirigido a paginas web piratas o falsas. Las
paginas web de las entidades bancarias poseen certificados de seguridad y cifrados seguros que
aseguran su uso mediante la Internet. Es recomendable que el usuario verifique regularmente sus
movimientos, saldos y transacciones bancarias vía online y este anuente a los datos que en estas
paginas aparecen. Así uno se resguarda de movimiento inusuales dentro de las cuentas bancarias y
evitar que el phisher provoque daños significativos.
Aun siguiendo estas recomendaciones, el usuario incauto todavía puede caer y ser víctima
de un phisher. Es recomendable que al momento de él creer que ha sido víctima de un ataque de
phishing lo reporte inmediatamente a la entidad pertinente. Existen bases de datos que almacenan
los correos que hayan sido reportados por ataques phishing. Una vez denunciados estos correos son
bloqueados. De haber sido robada la información del usuario, es necesario comunicarlo con la
entidad correspondiente para hacer un cambio en los campos posiblemente robados.
3. Conclusiones
Es importante que los usuarios se mantengan educados con respecto a los ataques informáticos enlos que pueden caer. El phishing por su parte es un ataque que puede acarrear consecuencias
perjudiciales para los usuarios como la perdida de su identidad y de sus bienes monetarios. Esnecesario que los usuarios traten de tener mantener una navegación segura dentro de la Internet y noden acceso a paginas de dudosa procedencia.
Referencias
[1] Artículo: “ How to spot phishing email like a pro”.http://www.stopbuyingcrap.com/how-to/howto-spot-phishing-email-like-a-pro/
[2] Artículo: “Virus, malwares, técnicas de robo, estafas y amigos”.http://kernelvc.com.ar/articulos/virusmalware.php
[3] Artículo: Aguilera, M., “ Phishing”.
http://www.monografias.com/trabajos23/phishing/phishing.shtml?monosearch#histor
5/11/2018 Articulo Ataques Phising - slidepdf.com
http://slidepdf.com/reader/full/articulo-ataques-phising 6/6
[4] Artículo: “ Phishing ”.http://www.segu-info.com.ar/malware/phishing.htm
[5] Artículo: “Qué es el phishing y cómo protegerse”.http://seguridad.internautas.org/html/451.html