¿Qué es el phising y cómo evitarlo?

Hace un par de meses se dio un caso de phising por parte de BBVA y también hace unos días, un usuario nos comentaba un nuevo caso por parte de Banco Sabadell (Phising al Sabadell). Muchas veces el término phising nos puede sonar a chino, pero es un concepto que hemos de tener muy claro, saber qué es y cómo podemos evitarlo. 

¿Qué es el phising?

El phising o usurpación de la identidad, es un tipo de estafa que consiste en el robo de la identidad de los usuarios de internet. Lo más habitual son casos de phising en cuentas bancarias, donde estos hackers cogen los datos personales y después intentan utilizarlo de manera fraudulenta, sobre todo para retirar el dinero de las cuentas. 

La forma más normal de encontrarnos estos casos es en páginas webs donde se realizan pagos o en los bancos. Suelen hacer copias exactas de las webs de los bancos online, por lo que habrá que fijarse siempre en que la url tenga la señal de que el lugar está protegido. Son idénticas, por lo que es muy difícil darse cuenta, por eso hay que estar muy atento siempre. Lo más recomendable es fijarse en que la URL tenga el candado indicando que es un sitio protegido, las webs seguras empiezan por https://...

También puede haber otras formas de phising, como por ejemplo que te manden un correo solicitando unos datos personales por internet, una carta... 

¿Cómo evitar el phising?

Aunque es complicado darse cuenta de que estamos sufriendo un ataque de phising, podemos seguir algunas recomendaciones para intentar evitarlo:

• No utilizar siempre la misma contraseña, es recomendable ir cambiándola. 
   
• Tener un control de nuestras cuentas por si apareciese alguna anomalía.
   
• Si recibimos un correo electrónico solicitando datos personales no contestarlo nunca, sobre todo si nos pide un número de cuenta o datos similares. Además, verificar siempre de donde viene el correo. El banco nunca va a pedir claves o datos por correo electrónico.
   
• Al entrar en la web del banco, lo mejor es hacerlo introduciendo directamente la url, ya que al clickar en la uno de los resultados que aparecen puede llevarnos a una web fraudulenta. 
   
• Al ser posible, no entrar en este tipo de webs desde redes públicas. 
   
• Tener el ordenador protegido, es decir, disponer de un antivirus que detecte estos ataques. 

¿Alguna vez habéis sufrido el phising?

No está nada mal las recomendaciones pero me centraría en una. Por supuesto doy por sabido no navegar por sitios extraños, ni instalar crackers o programas para fines no muy legales.

- No tocar un link desde un correo recibido en ningun momento

Te pueden enviar a una web falsa o te pueden redirigir a un sitio donde te infecte el PC (pese a estar protegido).

Mira que llevo tiempo y soy desconfiado pero a veces casi me la cuelan, siempre hay alguien más espabilado que tu que monta una situación real veraz que hace bajar tus defensas ydebes responder en ese momento... hay que recapacitar sin pulsar a lo loco. meterse en tu banco por el camino normal o llamar. Mejor pecar de precavido y no solo con bancos, cuidado con los supuestos correos de FB o Twitter... incluso correos de conocidos, hay veces que secuestran una cuenta y envian correos chungos a todos sus contactos.

No guardeis en marcadores/favoritos las urls de los bancos ya que pueden cambiarlas.
Un link en pantalla no es mas que una cadena de texto que te puede llevar a otra direccion distinta a lo que lees... conviene pasar el raton por encima de ella para ver a donde nos quiere dirigir.

Contraviniendo la logica suelo acceder por google pero jamas desde un anuncio patrocinado. Confio en el algoritmo de posicionamiento de google y que este en primer lugar... Si, los anuncios estan por encima pero se identifican... hace poco el sabadell sufrio algo parecido, aquellos que pulsaran el anuncio fueron redirigidos a un sitio poco recomendable que parecía ser el propio banco pero se dedico a recopilar claves de usuarios.

Una cosa que leo siempre es el tema del https, que lo tenga solo significa que el servidor web destino esta encriptado, pero si monto una web para pescar pardillos haciendo phising puedo poner los certificados de encriptacion y seria https dandonos una falsa sensacion de seguridad. el tema del https solo significa que la informacion viaja encriptada por la red, bajo http podrian fisgar nuestro trafico sin muchos problemas, que lo hagan mientras visito elmundo.es o un foro me da igual que sea en http, pero al meter las contraseñas en algunos foros mejor que sea bajo https:

Mientras caiga un % adecuado les da para vivir tampoco será necesario que hagan algo mas complejo con un mayor esfuerzo para hacer picar a la gente, A veces las grandes ideas no requieren una gran infraestructura y son simples de realizar... Ingenieria social aplicada al malware lo llaman.

Pero ahora normalmente cuando realizas una operación te suele llegar un mensaje al móvil, con un código para confirmar la operación, o necesitas la tarjeta de coordenadas. Pero nunca está de más conocer estos consejos.

¡Gracias! Siempre está bien tener en cuenta estas cosas. A mí nunca me ha pasado y ojalá que no me pase nunca.

Hola a tod@s,

Lo mismo digo Tanitani, siempre es bueno tomar precauciones. Aunque nunca nos haya ocurrido una cosa de estas, nadie está libre de ello, y más en estos tiempos en que quieren hacerlo todo por internet, hasta pedir citas para todo. Como me han dicho siempre, un aprevenido vale por dos.
un saludo.