Aunque están próximas las vacaciones de verano, en el campo de la seguridad informática no hay descanso. Es más, los ataques se incrementan en los períodos festivos, ya que los usuarios estamos más relajados y no contamos con el apoyo habitual de nuestros informáticos.
El phishing es un viejo conocido en este campo: un mensaje de correo electrónico simula ser de una organización legítima (un banco, la universidad, etc.) y contiene un enlace a una página falsa que suplanta a la auténtica. En la UPV, desgraciada e inevitablemente, hemos sufrido algún ataque de este tipo.
Los dos aspectos fundamentales del phishing son la suplantación (el hacerse pasar por otro) y la ‘pesca’ del incauto (normalmente la obtención de su usuario y contraseña).
Y nos podemos encontrar con distintos tipos de ataques que, manteniendo estas dos características, intentarán engañarnos para capturar nuestras credenciales:
-
El Wi-phishing (Wi-Fi + phishing) es una modalidad en auge y más frecuente de lo que pudiera pensarse. Se trata de redes inalámbricas falsas que quieren ‘atraparnos’ para escuchar nuestras comunicaciones. Antes de conectarte en un aeropuerto, en un hotel… ¡o en tu propia casa! a una red inalámbrica que no conoces, piensa si es gratuita por algún motivo en especial.
-
SMiShing (SMS + phishing) es la variante que suplanta mensajes de móvil. Al igual que en el correo electrónico, los SMS no garantizan que el número que aparece en el móvil sea el número que realmente ha enviado el mensaje. Suelen contener enlaces que descargan malware para infectar los teléfonos.
-
El Vishing (voice + phishing) emplea sistemas de voz automatizados similares a los del servicio que suplantan (aunque también se dan casos de trato personal). Puede empezar a partir de un SMS o de una llamada de voz, simulando, en ambos casos, que el número llamante es el del servicio suplantado. El engaño funciona muy bien, ya que tendemos a confiar plenamente en las llamadas telefónicas.
-
Spear phishing es una de las modalidades más peligrosas actualmente. Se trata de un phishing especialmente dirigido a una persona o a un grupo de personas relacionadas. Son mensajes de correo electrónico redactados con mucho cuidado y que no despiertan sospechas sobre su legitimidad. Habitualmente contienen ficheros infectados de tipo PDF, Excel, etc.
Como usuarios no debemos fiarnos, sin más, de cualquier mensaje de correo electrónico. Y, en todo caso, siempre es aconsejable acudir directamente a la web del servicio en cuestión, antes que seguir los enlaces que aparecen en los correos.
La UPV, para ayudar a combatir estas amenazas, tiene en marcha el mecanismo CFD, que permite comprobar fácilmente si un correo es legítimo (es decir, ha sido enviado por los servicios de la UPV) o no. Se basa en la firma digital de los mensajes y en la consulta a través de la Intranet de los mismos.
Recuerda: depende de ti que veas la engañifa o que piques el anzuelo…