Denominamos phishing o suplantación de identidad al método que utilizan muchos ciberdelincuentes para conseguir datos confidenciales (usuarios, contraseñas, datos bancarios, etc…) a través de un engaño. El canal habitual de la estafa es el correo electrónico, aunque también puede darse a través de la mensajería instantánea (WhatsApp), del SMS o una página web aparentemente de confianza.

El caso más común: el phisher (estafador) te envía un email haciéndose pasar por una entidad bancaria, imitando exactamente la misma imagen de la empresa (logotipos, tipo de letra…), y te solicita que, por motivos de seguridad, accedas a la página web del banco con tus claves personales a través de un enlace que te dirige a una web fraudulenta que parece la oficial. Si lo haces, el estafador habrá conseguido su objetivo: conocer tu usuario y contraseña para entrar en tus cuentas bancarias desde la web legítima de la entidad.

Para no ser objeto de phishing, toma estas medidas básicas:

  • No responder mensajes no solicitados (email, mensaje instantáneo…)
  • No abrir archivos adjuntos de emails no solicitados.
  • Nunca facilitar contraseñas a desconocidos (incluso a estamentos oficiales).
  • Revisar siempre las direcciones web (www.pagina.com) sospechosas y que la dirección del email del remitente tenga un dominio oficial (por ejemplo, @xbyorange.com).
  • Mantener actualizado el sistema operativo de tu ordenador (p.e. Windows) el navegador (p.e. Explorer, Chrome, Firefox…) y los programas antivirus.

Pero lo anterior no es suficiente, algunos ciberdelincuentes aprovechan las vulnerabilidades de los sistemas de gestión de contenidos (programas informáticos que permiten crear y gestionar páginas web), los servidores web y el hosting (lugar donde se alojan las páginas web) para introducir archivos maliciosos y generar ataques de phishing. Como ejemplo, este caso de phishing en una web que explican en INCIBE.

Estas son las recomendaciones para evitarlo:

  • Mantener actualizado el software del servidor web.
  • Dar permisos solo a usuarios de confianza.
  • Usar un hosting seguro.
  • Modificar las claves de acceso periódicamente (p.e. cada dos meses).
  • Realizar copias de seguridad de forma regular.