Phishing es una técnica empleada para cometer un fraude suplantando la identidad de una entidad con el fin de obtener datos confidenciales, por ejemplo datos de tarjeta de crédito o contraseñas para acceder a distintos servicios.

La metodología para cometer este fraude inicia con la recepción de un correo con formato y características de la entidad que nos presta un servicio (financiero, correo, etc.), solicitandonos datos confidenciales, un ejemplo sería un correo de nuestro proveedor de email solicitando la contraseña de nuestra cuenta. Después de recibir el correo el usuario, pensando que es el proveedor quien le solicita la información, es dirigido a un sitio diferente desde su buzón para proporcionar sus datos, y al hacerlo, quien esta cometiendo esta suplantación de identidad, obtiene esta valiosa información.

Algunos “phishers” (personas que hacen phishing) complementan la solicitud amenazando con dar de baja la cuenta si no se proporciona el dato.

Las víctimas de phishing suministran datos valiosos que pueden ser utilizados para manejar cuentas de correo, llegando incluso a perderlas, o bien datos de tarjetas de crédito con los cuales se realizan cargos no autorizados.


Algunas recomendaciones para evitar ser víctimas de este tipo de ataques:

  • En la medida de lo posible evitar proporcionar datos confidenciales en cualquier tipo de portales no autorizados o que no contengan certificados de seguridad fiables.
  • Cuando se realizan operaciones de cambio de contraseñas, o envío de datos personales, es muy importante asegurarnos que la dirección escrita en la barra de direcciones de nuestro navegador contenga el nombre de dominio correcto del portal en el que estamos realizando la operación. Por ejemplo si vamos a cambiar nuestra contraseña de correo electrónico de gmail, la dirección en la barra de direcciones debe contener en alguna parte el nombre de dominio: google.com, en caso de que no aparezca o este alterado, no debemos realizar ninguna operación.
  • Si se trata de algún cambio de datos en una institución financiera, o cualquier otro organismo formalmente establecido, antes de hacerlo hay que confirmar con la institución que realmente nos está solicitando esta información.

¿Dónde puedo reportar un sitio phishing?
Para reportar un sitio fraudulento que intenta hacer phishing, puedes hacerlo ingresando a la página: http://www.google.com/safebrowsing/report_phish/


¿Qué hacer en caso de ser víctima de phishing?
Esta práctica está tipificada como delito en muchos países y en los últimos años varios “phishers” han sido llevados a juicio en distintos lugares. En la legislación estadounidense las prácticas de phishing generan multas de $250,000 USD y penas de cárcel por un término de hasta cinco años. En América Latina, Brasil tiene leyes similares al respecto y en México el phishing es definido como un delito denominado “fraude cibernético” y existe una dependencia adscrita a la Policía Federal encargada de proporcionar a los juzgados los elementos necesarios para identificar a los responsables y llevarlos a juicio. Se puede pedir información sobre cómo proceder si se ha sido víctima de este delito al teléfono +52 (55) 11 03 61 65 EXT 22022 o bien al correo electrónico: delitocibernetico_pf@ssp.gob.mx.

read more

La seguridad en los sitios web es hoy en día posiblemente el aspecto al que menos se le presta atención al momento de asegurar una empresa y debería ser una prioridad en tu organización.

Los Hackers están contentrando sus esfuerzos en aplicaciones basadas en web -sitios de comercio electrónico, carritos de compra, formas, páginas de autenticación (login), contenido dinámico, etc. Las aplicaciones web son accesibles las 24 horas del día los 7 días de la semana y controlan datos valiosos ya que frecuentemente acceden directamente a datos administrativos como bases de datos de clientes.

Los Firewalls, los sistemas de SSL y los servidores bloqueados son inútiles contra el pirateo de aplicaciones web.

Cualquier defensa en el nivel de seguridad de la red no proveerá defensa alguna contra ataques de aplicaciones web, ya que son lanzados en el puerto 80 -que necesita permanecer abierto-. Adicionalmente, las aplicaciones web son hechas a la medida, por lo tanto están menos probadas que otras aplicaciones pre-programadas, y son más propensas a tener vulnerabilidades no descubiertas. Nuestro servicio, usando Acunetix WVS,  software líder en el mercado de detección de vulnerabilidades web y auditorías, automáticamente revisa las aplicaciones web para encontrar vulnerabilidades de Inyecciones de SQL (SQL injections), Cross-Site Scripting (XSS) y otras.

Lo invitamos a contactarnos para conocer más sobre este servicio.

read more