Phishing

Éste es un ejemplo de un intento de phishing. Haciéndose pasar por un correo electrónico oficial, trata de
engañar a los clientes del banco para que den información acerca de su cuenta con un enlace a la página
del phisher.

Phishing o suplantación de identidad es un término informático que denomina un modelo de

abuso informático y que se comete mediante el uso de un tipo de ingeniería social, caracterizado por
intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña,
información detallada sobre tarjetas de crédito u otra información bancaria). El cibercriminal,
conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente
comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería
instantánea o incluso utilizando también llamadas telefónicas.1
Dado el creciente número de denuncias de incidentes relacionados con el phishing o pharming, se
requieren métodos adicionales de protección. Se han realizado intentos con leyes que castigan la
práctica y campañas para prevenir a los usuarios con la aplicación de medidas técnicas a los
programas. Se considera pishing también, la lectura por parte de terceras personas, de las letras y
números que se marcan en el teclado de un ordenador o computadora.

Índice
  [ocultar] 

 1Historia del phishing
o 1.1Origen del término
o 1.2Phishing en AOL
 2Intentos recientes de phishing
 3Técnicas de phishing
o 3.1Addline "Pishing"
 3.1.1Modus operandi del Addline Pishing
o 3.2Lavado de dinero producto del phishing
 3.2.1Fases
 4Daños causados por el  phishing
 5Anti-phishing
o 5.1Respuestas organizativas
o 5.2Respuestas técnicas
o 5.3Respuestas legislativas y judiciales
 6El phishing como delito
o 6.1General
o 6.2Argentina
 o 6.3Chile
o 6.4Estados Unidos
 7Véase también
 8Referencias
 9Enlaces externos
o 9.1Información sobre  phishing
o 9.2Legislación

Historia del phishing[editar]
Origen del término[editar]
El término phishing proviene de la palabra inglesa "fishing" (pesca), haciendo alusión al intento de
hacer que los usuarios "muerdan el anzuelo".2 A quien lo practica se le llama phisher.3 También se
dice que el término phishing es la contracción de password harvesting fishing (cosecha y pesca
de contraseñas), aunque esto probablemente es un acrónimo retroactivo, dado que la
escritura ph es comúnmente utilizada por hackers para sustituir la f, como raíz de la antigua forma
de hacking telefónico conocida como phreaking.4
La primera mención del término phishing data de enero de 1996. Se dio en el grupo de
noticias de hackers alt.2600,5 aunque es posible que el término ya hubiera aparecido anteriormente
en la edición impresa del boletín de noticias hacker 2600 Magazine.6 El término phishing fue
adoptado por quienes intentaban "pescar" cuentas de miembros de AOL.
Phishing en AOL[editar]
Quienes comenzaron a hacer phishing en AOL durante los años 1990 solían obtener cuentas para
usar los servicios de esa compañía a través de números de tarjetas de crédito válidos, generados
utilizando algoritmos para tal efecto. Estas cuentas de acceso a AOL podían durar semanas e
incluso meses. En 1995 AOL tomó medidas para prevenir este uso fraudulento de sus servicios, de
modo que los crackers recurrieron al phishing para obtener cuentas legítimas en AOL.
El phishing en AOL estaba estrechamente relacionado con la comunidad de warez que
intercambiaba software falsificado. Un cracker se hacía pasar como un empleado de AOL y enviaba
un mensaje instantáneo a una víctima potencial. Para poder engañar a la víctima de modo que diera
información confidencial,7 el mensaje podía contener textos como "verificando cuenta" o
"confirmando información de factura". Una vez el usuario enviaba su contraseña, el atacante podía
tener acceso a la cuenta de la víctima y utilizarla para varios propósitos criminales, incluyendo
el spam. Tanto el phishing como el warezing en AOL requerían generalmente el uso de programas
escritos por crackers, como el AOLHell.
En 1997 AOL reforzó su política respecto al phishing y los warez fueron terminantemente
expulsados de los servidores de AOL. Durante ese tiempo el phishing era tan frecuente en AOL que
decidieron añadir en su sistema de mensajería instantánea, una línea de texto que indicaba: «no
one working at AOL will ask for your password or billing information» («nadie que trabaje en AOL le
pedirá a usted su contraseña o información de facturación»). Simultáneamente AOL desarrolló un
sistema que desactivaba de forma automática una cuenta involucrada en phishing, normalmente
antes de que la víctima pudiera responder. Los phishers se trasladaron de forma temporal al sistema
de mensajería instantáneo de AOL (AIM), debido a que no podían ser expulsados del servidor de
AIM. El cierre obligado de la escena de warez en AOL causó que muchos phishers dejaran el
servicio, y en consecuencia la práctica.8

Intentos recientes de phishing[editar]

Los intentos más recientes de phishing han tomado como objetivo a clientes de bancos y servicios
de pago en línea. Aunque el ejemplo que se muestra en la primera imagen es enviado
por phishers de forma indiscriminada con la esperanza de encontrar a un cliente de dicho banco o
servicio, estudios recientes muestran que los phishers en un principio son capaces de establecer
con qué banco una posible víctima tiene relación, y de ese modo enviar un correo electrónico,
falseado apropiadamente, a la posible víctima.9 En términos generales, esta variante hacia objetivos
específicos en el phishing se ha denominado spear phishing (literalmente pesca con arpón). Los
sitios de Internet con fines sociales también se han convertido en objetivos para los phishers, dado
que mucha de la información provista en estos sitios puede ser utilizada en el robo de identidad.10
Algunos experimentos han otorgado una tasa de éxito de un 90% en ataques phishing en redes
sociales.11 A finales de 2006 un gusano informático se apropió de algunas páginas del sitio
web MySpace logrando redireccionar los enlaces de modo que apuntaran a una página web
diseñada para robar información de ingreso de los usuarios. 12

Técnicas de phishing[editar]

La mayoría de los métodos de phishing utilizan la manipulación en el diseño del correo

electrónico para lograr que un enlace parezca una ruta legítima de la organización por la cual se
hace pasar el impostor. URLs manipuladas, o el uso de subdominios, son trucos comúnmente
usados por phishers; por ejemplo en esta URL: http://www.nombredetubanco.com/ejemplo, en
la cual el texto mostrado en la pantalla no corresponde con la dirección real a la cual conduce. Otro
ejemplo para disfrazar enlaces es el de utilizar direcciones que contengan el carácter arroba: @,
para posteriormente preguntar el nombre de usuario y contraseña (contrario a los estándares 13). Por
ejemplo, el enlace http://[email protected]/ puede engañar a un
observador casual y hacerlo creer que el enlace va a abrir en la página de www.google.com,
cuando realmente el enlace envía al navegador a la página de members.tripod.com (y al intentar
entrar con el nombre de usuario de www.google.com, si no existe tal usuario, la página abrirá
normalmente). Este método ha sido erradicado desde entonces en los navegadores de Mozilla14
e Internet Explorer.15 Otros intentos de phishing utilizan comandos en JavaScripts para alterar la
barra de direcciones. Esto se hace poniendo una imagen de la URL de la entidad legítima sobre la
barra de direcciones, o cerrando la barra de direcciones original y abriendo una nueva que contiene
la URL ilegítima.
En otro método popular de phishing, el atacante utiliza contra la víctima el propio código de
programa del banco o servicio por el cual se hace pasar. Este tipo de ataque resulta particularmente
problemático, ya que dirige al usuario a iniciar sesión en la propia página del banco o servicio, donde
la URL y los certificados de seguridadparecen correctos. En este método de ataque (conocido
como Cross Site Scripting) los usuarios reciben un mensaje diciendo que tienen que "verificar" sus
cuentas, seguido por un enlace que parece la página web auténtica; en realidad, el enlace está
modificado para realizar este ataque, además es muy difícil de detectar si no se tienen los
conocimientos necesarios.
Otro problema con las URL es el relacionado con el manejo de Nombre de dominio
internacionalizado (IDN) en los navegadores, puesto que puede ser que direcciones que resulten
idénticas a la vista puedan conducir a diferentes sitios (por ejemplo dominio.com se ve similar
a dοminiο.com, aunque en el segundo las letras "o" hayan sido reemplazadas por la correspondiente
letra griega ómicron, "ο"). Al usar esta técnica es posible dirigir a los usuarios a páginas web con
malas intenciones. A pesar de la publicidad que se ha dado acerca de este defecto, conocido
como IDN spoofing o ataques homógrafos, ningún ataque conocido de phishing lo ha utilizado.

Addline "Pishing"[editar]
El Addline Pishing hace referencia a una doble suplantación de identidad, donde el victimario es
capaz de acceder de forma fraudulenta al computador o dispositivo móvil de la víctima, y robar
información de más de una cuenta personal. Esta técnica se ha hecho famosa alrededor del año
2013 en los Estados Unidos, desde la implantacion masiva de servicios gratuitos de Wi-Fi. El
atacante usualmente roba de tres a cuatro cuentas que estén disponibles dentro del ordenador al
que accedió. Una vez obtenida la información de varias personas (correos, PayPal, Amazon, Bitcoin,
cuentas bancarias) , entonces realiza operaciones fraudulentas a nombre de otra persona a la que
se le ha robado la cuenta. Estas estafas son bastantes sencillas y comunes por varias razones:
 Es sencillo el hackeo de ordenadores conectados a redes públicas (plazas, parques, hoteles,
restaurantes)
 Es casi imposible de rastrear ya que las operaciones fraudulentas se realizan desde cuentas
con permisos y usualmente utilizan aplicaciones para ocultar la dirección o redireccionar a la
computadora hackeada desde un inicio.
 Debido al modus operandi el responsable puede no ser acusado de robo de ser encontrado.
 Las víctimas suelen asumir que los culpables son los dueños de las cuentas robadas. Esta
acción normalmente detiene las investigaciones pertinentes.
 Los montos de dinero obtenidos por el Addline Pishing suelen ser bajos (menores a $50.000)
por lo que los bancos dedican poca atención y respaldo a la víctima.
Modus operandi del Addline Pishing[editar]
Según un estudio de la Universidad de Nueva York, el 74% de las víctimas del Addline Pishing son
turistas conectados a redes WiFi de hoteles, al conectarse el computador a la red WiFi, entonces los
victimarios accesan al computador de la víctima, esperando que la misma utilice sus cuentas de
correo y demás cuentas personales. Si más de una persona utilizan el mismo computador entonces
reunirán información de todas las cuentas usadas dentro del computador. La mayoría de las estafas
se realizan a través de cuentas de Amazon.com, realizando compras desde una de las cuentas
robadas, pero a nombre de un correo de otra cuenta robada del mismo computador. Este tipo de
acciones despista a la víctima y dirige la culpabilidad de la estafa a un conocido de la víctima.
Usualmente se realizan compras de bajo valor de esta manera evitan el bloqueo por movimientos
inusuales por parte del banco. Si el victimario quisiera robar un alto valor de dinero utilizaria el medio
de tarjetas de regalo o giftcards. Este procedimiento usualmente se realiza a través de otra de las
cuentas robadas. Él victimario por lo general no realiza cambios de contraseña o cambios en las
configuraciones de las cuentas afectadas para no alertar a la víctima y evitar sospechas de los sitios
web. Él dinero robado usualmente se almacena en una misma cuenta de la víctima a la que el
victimario tenga acceso de esta manera de ser descubierto la estafa, el victimario no podrá ser
acusado de robo ante las leyes federales de los Estados Unidos, sino únicamente por "incorrecto
uso de tarjetas de credito" lo que conlleva a multas desde 50$ hasta 1000$
Lavado de dinero producto del phishing[editar]
Actualmente empresas ficticias intentan reclutar teletrabajadores por medio de correo
electrónicos, chats, irc y otros medios, ofreciéndoles no sólo trabajar desde casa sino también otros
jugosos beneficios. Aquellas personas que aceptan la oferta se convierten automáticamente
en víctimas que incurren en un grave delito sin saberlo: el blanqueo de dinero obtenido a través del
acto fraudulento de phishing.
Para que una persona pueda darse de alta con esta clase de «empresas» debe rellenar
un formulario en el cual indicará, entre otros datos, su número de cuenta bancaria. Esto tiene la
finalidad de ingresar en la cuenta del trabajador-víctima el dinero procedente de estafas bancarias
realizadas por el método de phishing. Una vez contratada, la víctima se convierte automáticamente
en lo que se conoce vulgarmente como mulero.
Con cada acto fraudulento de phishing la víctima recibe el cuantioso ingreso en su cuenta bancaria y
la empresa le notifica del hecho. Una vez recibido este ingreso, la víctima se quedará un porcentaje
del dinero total, pudiendo rondar el 10%-20%, como comisión de trabajo y el resto lo reenviará a
través de sistemas de envío de dinero a cuentas indicadas por la seudo-empresa.
Dado el desconocimiento de la víctima (muchas veces motivado por la necesidad económica) ésta
se ve involucrada en un acto de estafa importante, pudiendo ser requerido por la justicia previa
denuncia de los bancos. Estas denuncias se suelen resolver con la imposición de devolver todo el
dinero sustraído a la víctima, obviando que este únicamente recibió una comisión.
Fases[editar]

 En la primera fase, la red de estafadores se nutre de usuarios de chat, foros o correos

electrónicos, a través de mensajes de ofertas de empleo con una gran rentabilidad o disposición
de dinero (hoax o scam). En el caso de que caigan en la trampa, los presuntos intermediarios de
 la estafa, deben rellenar determinados campos, tales como: Datos personales y número de
cuenta bancaria.
 Se comete el phishing, ya sea el envío global de millones de correos electrónicos bajo la
apariencia de entidades bancarias, solicitando las claves de la cuenta bancaria (phishing) o con
ataques específicos.
 El tercer paso consiste en que los estafadores comienzan a retirar sumas importantes de
dinero, las cuales son transmitidas a las cuentas de los intermediarios (muleros).
 Los intermediarios realizan el traspaso a las cuentas de los estafadores, llevándose éstos las
cantidades de dinero y aquéllos —los intermediarios— el porcentaje de la comisión.

Daños causados por el phishing[editar]

Una gráfica muestra el incremento en los reportes de phishing desde octubre de 2004 hasta junio de 2005.

Los daños causados por el phishing oscilan entre la pérdida del acceso al correo electrónico a
pérdidas económicas sustanciales. Este tipo de robo de identidad se está haciendo cada vez más
popular por la facilidad con que personas confiadas normalmente revelan información personal a
los phishers, incluyendo números de tarjetas de crédito y números de seguridad social. Una vez esta
información es adquirida, los phishers pueden usar datos personales para crear cuentas falsas
utilizando el nombre de la víctima, gastar el crédito de la víctima, o incluso impedir a las víctimas
acceder a sus propias cuentas.
Se estima que entre mayo de 2004 y mayo de 2005, aproximadamente 1,2 millones de usuarios de
computadoras en los Estados Unidos tuvieron pérdidas a causa del phishing, lo que suma a
aproximadamente $929 millones de dólares estadounidenses.18 Los negocios en los Estados Unidos
perdieron cerca de 2000 millones de dólares al año mientras sus clientes eran víctimas. 19 El Reino
Unido también sufrió el alto incremento en la práctica del phishing. En marzo del 2005, la cantidad
de dinero reportado que perdió el Reino Unido a causa de esta práctica fue de aproximadamente
£12 millones de libras esterlinas.20

Anti-phishing[editar]
Existen varias técnicas diferentes para combatir el phishing, incluyendo la legislación y la creación
de tecnologías específicas que tienen como objetivo evitarlo.
Respuestas organizativas[editar]
Una estrategia para combatir el phishing adoptada por algunas empresas es la de entrenar a los
empleados de modo que puedan reconocer posibles ataques. Una nueva táctica de phishing donde
se envían correos electrónicos de tipo phishing a una compañía determinada, conocido como spear
phishing, ha motivado al entrenamiento de usuarios en varias localidades, incluyendo la Academia
Militar de West Point en los Estados Unidos. En un experimento realizado
en junio del 2004 con spear phishing, el 80% de los 500 cadetes de West Point a los que se les
envió un correo electrónico falso fueron engañados y procedieron a dar información personal. 21
Un usuario al que se le contacta mediante un mensaje electrónico y se le hace mención sobre la
necesidad de "verificar" una cuenta electrónica puede o bien contactar con la compañía que
supuestamente le envía el mensaje, o puede escribir la dirección web de un sitio web seguro en la
barra de direcciones de su navegador para evitar usar el enlace que aparece en el mensaje
sospechoso de phishing. Muchas compañías, incluyendo eBay y PayPal, siempre se dirigen a sus
clientes por su nombre de usuario en los correos electrónicos, de manera que si un correo
electrónico se dirige al usuario de una manera genérica como («Querido miembro de eBay») es
probable que se trate de un intento de phishing.
Respuestas técnicas[editar]

Alerta del navegador Firefox antes de acceder a páginas sospechosas de phishing.

Hay varios programas informáticos anti-phishing disponibles. La mayoría de estos programas

trabajan identificando contenidos phishing en sitios web y correos electrónicos; algunos
software anti-phishing pueden por ejemplo, integrarse con los navegadores web y clientes de correo
electrónico como una barra de herramientas que muestra el dominio real del sitio visitado. Los filtros
de spam también ayudan a proteger a los usuarios de los phishers, ya que reducen el número de
correos electrónicos relacionados con el phishing recibidos por el usuario.
Muchas organizaciones han introducido la característica denominada «pregunta secreta», en la que
se pregunta información que sólo debe ser conocida por el usuario y la organización. Las páginas de
Internet también han añadido herramientas de verificación que permite a los usuarios ver imágenes
secretas que los usuarios seleccionan por adelantado; sí estas imágenes no aparecen, entonces el
sitio no es legítimo.22 Estas y otras formas de autentificación mutua continúan siendo susceptibles de
ataques, como el sufrido por el banco escandinavo Nordea a finales de 2005.23
Muchas compañías ofrecen a bancos y otras entidades que sufren de ataques de phishing, servicios
de monitoreo continuos, analizando y utilizando medios legales para cerrar páginas con
contenido phishing. También han surgido soluciones que utilizan el teléfono móvil 24 (smartphone)
como un segundo canal de verificación y autorización de transacciones bancarias.
El [www.apwg.org/ Anti-Phishing Working Group}, industria y asociación que aplica la ley contra las
prácticas de phishing, ha sugerido que las técnicas convencionales de phishing podrían ser
obsoletas en un futuro a medida que la gente se oriente sobre los métodos de ingeniería
social utilizadas por los phishers.25 Ellos suponen que en un futuro cercano, el pharming y otros usos
de malware se van a convertir en herramientas más comunes para el robo de información.
Respuestas legislativas y judiciales[editar]
El 26 de enero de 2004, la FTC (Federal Trade Commission, la Comisión Federal de Comercio) de
Estados Unidos llevó a juicio el primer caso contra un phishersospechoso. El acusado,
un adolescente de California, supuestamente creó y utilizó una página web con un diseño que
aparentaba ser la página de America Online para poder robar números de tarjetas de crédito. 26
Tanto Europa como Brasil siguieron la práctica de los Estados Unidos, rastreando y arrestando a
presuntos phishers. A finales de marzo de 2005, un hombre estonio de 24 años fue arrestado
utilizando una backdoor, a partir de que las víctimas visitaron su sitio web falso, en el que incluía
un keylogger que le permitía monitorear lo que los usuarios tecleaban. 27 Del mismo modo, las
autoridades arrestaron al denominado phisher kingpin, Valdir Paulo de Almeida, líder de una de las
más grandes redes de phishing que en dos años había robado entre $18 a $37 millones de dólares
estadounidenses.28 En junio del 2005 las autoridades del Reino Unido arrestaron a dos hombres por
la práctica del phishing,29 en un caso conectado a la denominada «Operation Firewall» del Servicio
Secreto de los Estados Unidos, que buscaba sitios web notorios que practicaban el phishing.30
La compañía Microsoft también se ha unido al esfuerzo de combatir el phishing. El 31 de
marzo del 2005, Microsoft llevó a la Corte del Distrito de Washington 117 pleitos federales. En
algunos de ellos se acusó al denominado phisher "John Doe" por utilizar varios métodos para
obtener contraseñas e información confidencial. Microsoft espera desenmascarar con estos casos a
varios operadores de phishing de gran envergadura. En marzo del 2005 también se consideró la
asociación entre Microsoft y el gobierno de Australia para educar sobre mejoras a la ley que
permitirían combatir varios crímenes cibernéticos, incluyendo el phishing.31

El phishing como delito[editar]
General[editar]
Diversos países se han ocupado de los temas del fraude y las estafas a través de Internet. Uno de
ellos es el Convenio de Cibercriminalidad de Budapest pero además otros países han dedicado
esfuerzos legislativos para castigar estas acciones.
Algunos países ya han incluido el phishing como delito en sus legislaciones, mientras que en otros
aún están trabajando en ello.
Argentina[editar]
En Argentina, el 19 de septiembre de 2011 fue presentado un proyecto para sancionar el Phishing, 32
bajo el Nº de Expediente S-2257/11, Proyecto de Ley para tipificar el Phishing o Captación Ilegítima
de Datos en el Senado de la Nación. Mediante este proyecto se busca combatir las diferentes
técnicas de obtención ilegítima de información personal.
Chile[editar]
En Chile, no existe un tipo penal en el Código Penal que sancione el phishing, sin embargo, los
tribunales recurren a la figura de la estafa tradicional para castigar estas conductas. 33
Estados Unidos[editar]
En los Estados Unidos, el senador Patrick Leahy introdujo el Ley Anti-Phishing de 2005 el 1 de
marzo de 2005. Esta ley federal de anti-phishing establecía que aquellos criminales que crearan
páginas web falsas o enviaran spam a cuentas de correo electrónico con la intención de estafar a los
usuarios podrían recibir una multa de hasta $250,000 USD y penas de cárcel por un término de
hasta cinco años.34
Algunos estados tienen leyes que tratan las prácticas fraudulentas o engañosas o el robo de
identidad y que también podría aplicarse a los delitos de phishing. 35
¿Qué es el Phishing, cómo funciona y cómo evitarlo?

Los fraudes son algunos de los

peligros con los que debemos lidiar al navegar en Internet, el Phishing es uno de ellos y
por esta razón, debemos saber qué es el phishing, cómo funciona y cómo evitarlos.
¿Recibís correos electrónicos con contenido dudoso?Prestá atención.
 
¿Qué es el Phishing?
 
El Phishing es un fraude común en Internet y consiste en el envío de correos electrónicos
que simulan ser de empresas importantes como bancos, financieras, negocios donde se
realizan pagos y compras en línea, etc. Estos correos incluyen supuestas promociones o
beneficios en nombre de una empresa con el fin de cometer delitos como robo de
identidad, extracción de dinero, entre otros.

¿Cómo funciona el Phishing?

 
El usuario, creyendo que el correo proviene de un negocio que conoce, ingresa al enlace
que lo redirecciona a un sitio falso, similar al sitio web original, el usuario, creyendo que
es el sitio web original del banco, financiera, etc, introduce sus datos personales como
nombre, usuario, contraseña o clave secreta,  número de cédula de identidad. Estos
datos son capturados por el sitio web y van a parar en manos de los delincuentes.  Esta
modalidad comúnmente se utiliza en sitios web que involucren transacciones
económicas, realización de pagos, giros, etc.
 
¿Cómo evitar el Phishing?

*   El sitio web de PandaSecurity.com ofrece algunas recomendaciones a fin de no ser

víctimas del Phishing, algunos de los consejos son:

*   Verifique la fuente de información. No conteste automáticamente a ningún correo que

solicite información personal o financiera.

*   Escriba la dirección en su navegador de Internet en lugar de hacer clic en el enlace

proporcionado en el correo electrónico.
*   Compruebe que la página web en la que ha entrado es una dirección segura. Para ello,
ha de empezar con https:// y un pequeño candado cerrado debe aparecer en la barra de
estado de nuestro navegador. (lea el uso y la importancia del protocolo https en
Facebook y Twitter )

*   Revise periódicamente sus cuentas para detectar transferencias o transacciones

irregulares.

*   No olvide que las entidades bancarias no solicitan información confidencial a través
de canales no seguros, como el correo electrónico.

*   Uso un filtro anti-spam.

*   Haga un análisis gratuito de su equipo y compruebe si está libre de phishing.

Como ya sabréis, el phishing es una técnica que consiste en engañar

al usuario para robarle información confidencial, claves de acceso,
etc., haciéndole creer que está en un sitio de total confianza.

Hasta ahora los hackers han utilizado los correos electrónicos para

lanzar este tipo de ataques, pero con el uso masivo de redes
sociales y smartphones con conexión a Internet, las vías de ataque
se están multiplicando.

Estos correos electrónicos o mensajes incluyen un enlace que lleva al

usuario a un sitio web en teoría conocido, pero que es una copia del
original donde se solicita información confidencial.

De esta manera, usuarios demasiado confiados y que no dispongan de

una protección antivirus adecuada, podrían verse involucrados en
este tipo de ataques que tienen como principal objetivo el robo de
datos personales.

Con la crisis económica, han proliferando ataques de phishing que

tienen como gancho la promesa de un gran empleo o una vía sencilla
de conseguir dinero.

La pregunta es…¿Cómo podemos prevenir este tipo de ataques de

phishing?

10 consejos para prevenir ataques de Phishing

1. APRENDE A IDENTIFICAR CLARAMENTE LOS CORREOS ELECTRÓNICOS
SOSPECHOSOS DE SER PHISHING
Existen algunos aspectos que inequívocamente, identifican este tipo
de ataques a través de correo electrónico:

 Utilizan nombres y adoptan la imagen de empresas reales

 Llevan como remitente el nombre de la empresa o el de un empleado
real de la empresa
 Incluyen webs que visualmente son iguales a las de empresas reales
 Como gancho utilizan regalos o la perdida de la propia cuenta existente

2. VERIFICA LA FUENTE DE INFORMACIÓN DE TUS CORREOS ENTRANTES

Tu banco nunca te pedirá que le envíes tus claves o datos personales
por correo. Nunca respondas a este tipo de preguntas y si tienes una
mínima duda, llama directamente a tu banco para aclararlo.

3. NUNCA ENTRES EN LA WEB DE TU BANCO PULSANDO EN LINKS

INCLUIDOS EN CORREOS ELECTRÓNICOS
No hagas clic en los hipervínculos o enlaces que te adjunten en el
correo, ya que de forma oculta te podrían dirigir a una web fraudulenta.

Teclea directamente la dirección web en tu navegador o utiliza

marcadores/favoritos si quieres ir más rápido.

4. REFUERZA LA SEGURIDAD DE TU ORDENADOR

El sentido común y la prudencia es tan indispensable como mantener
tu equipo protegido con un buen antivirus que bloquee este tipo de
ataques. Además, siempre debes tener actualizado tu sistema
operativo y navegadores web.

5. INTRODUCE TUS DATOS CONFIDENCIALES ÚNICAMENTE EN WEBS

SEGURAS
Las webs seguras han de empezar por ‘https://’ y debe aparecer en tu
navegador el icono de un pequeño candado cerrado.

6. REVISA PERIÓDICAMENTE TUS CUENTAS

Nunca está de más revisar tus cuentas bancarias de forma periódica,
para estar al tanto de cualquier irregularidad en tus transacciones
online.

7. NO SÓLO DE BANCA ONLINE VIVE EL PHISHING

La mayor parte de ataques de phishing van contra entidades
bancarias, pero en realidad pueden utilizar cualquier otra web popular
del momento como gancho para robar datos personales: eBay,
Facebook, Pay Pal, etc.

8. EL PHISHING SABE IDIOMAS

El phishing no conoce fronteras y pueden llegarte ataques en cualquier
idioma. Por norma general están mal escritos o traducidos, así que
este puede ser otro indicador de que algo no va bien.

Si nunca entras a la web en inglés de tu banco, ¿Por qué ahora debe

llegarte un comunicado suyo en este idioma?

9. ANTE LA MÍNIMA DUDA SE PRUDENTE Y NO TE ARRIESGUES

La mejor forma de acertar siempre es rechazar de forma sistemática
cualquier correo electrónico o comunicado que incida en que facilites
datos confidenciales.

Elimina este tipo de correos y llama a tu entidad bancaria para aclarar

cualquier duda.

10. INFÓRMATE PERIÓDICAMENTE SOBRE LA EVOLUCIÓN DEL MALWARE

Si quieres mantenerte al día de los últimos ataques de malware,
recomendaciones o consejos para evitar cualquier peligro en la red,
etc., siempre puedes leernos este blog o seguirnos en Twitter y
Facebook. ¡Estaremos encantados de contestar cualquier duda que
tengas!

Consejos para prevenir el Phishing

 Comentarios (0)

Conoce cuales son los puntos a tener en cuenta para evitar convertirte en víctima de
un ataque de una red de Phishing, y prevenir los inconvenientes que pueden surgir
de que un delincuente pueda utilizar tu información personal para cometer estafas. 

En función de la gravedad que puede implicar el hecho de ser víctimas de un ataque

de Phishing, y debido a la cada vez mayor proliferación de este delito, la Federal Trade
Commission publicó un informe en el que se detallan los factores a tener en cuenta
para evitar convertirnos en víctimas.
A continuación te detallamos algunas recomendaciones interesantes al respecto, que
es bueno siempre tener presente al navegar por Internet o al revisar nuestro correo
electrónico: 

En principio, siempre que recibamos un email o un mensaje a través de un Pop-up en

el cual se nos solicite información personal financiera o de cualquier índole, es
importante que jamás respondamos, pero además tampoco debemos clickear en los
enlaces que puedan aparecer en el mensaje. 

Es muy importante destacar que todas las empresas y organizaciones que trabajan

dentro del marco legal jamás solicitan este tipo de datos de sus clientes o miembros a
través de correos electrónicos o Pop-up. 

Pero además, no debemos copiar y pegar el enlace tampoco, ya que tengamos en

cuenta que las redes de phishing operan generando sitios webs falsos, que poseen
una apariencia similar a las páginas oficiales de las organización, precisamente para
engañarnos. 

Si el mensaje que recibimos nos alerta sobre algún posible problema con nuestra
cuenta, y nos queda la duda de que está sucediendo algo extraño con la actividad de la
misma, lo que debemos hacer es comunicarnos con la compañía, a través de la forma
en que solemos hacerlo y no por intermedio de dicho mensaje. 

- Protégete con un Antivirus y un Firewall

Uno de los aspectos que pueden protegernos en Internet es la utilización permanente
de aplicaciones antivirus y firewall, los cuales además deben ser siempre
actualizados.Aquí encontrarás varios Antivirus Gratis para descargar. 

Tengamos en cuenta que no sólo nos pueden robar información por nuestra
ingenuidad, sino que además algunos mensajes de este tipo incluyen software
malicioso, el cual funciona dañando nuestra computadora, e incluso rastreando las
actividades que solemos realizar mientras nos encontramos conectados a la red de
redes, y sin que nosotros lo sepamos. 

Allí es precisamente donde actúan los programas antivirus y firewall, protegiéndonos y

evitando que el sistema de correo electrónico que solemos utilizar acepte de manera
automática este tipo de archivos indeseados, ya que dichas herramientas filtran las
comunicaciones entrantes buscando código malware. 

El antivirus elegido debe ser capaz de reconocer cualquier tipo de virus actual, como así
también antiguo, mientras que el firewall nos permitirá permanecer invisibles
mientras navegamos por Internet, y al mismo tiempo bloqueando aquellas
comunicaciones provenientes de fuentes no autorizadas.

- Ninguna información sensible por mail

Siempre, siempre, pero siempre, se deberá evitar el envío de información financiera o

cualquier tipo de dato personal por intermedio del correo electrónico.

Hay que tener presente que el email, si bien nos facilita la comunicación, lo cierto es
que no se trata de un método seguro para transmitir información personal, más allá
que pensemos que el que nos solicita dichos datos es un contacto conocido. 

En el caso en que nos encontremos en medio del inicio de algún tipo de transacción
con alguna organización a través de su página web, y debemos enviar información
personal, es fundamental que comprobemos la existencia de indicadores de
seguridad. 

Entre ellos uno de los más utilizados es el icono del candado, llamado "Lock", que se
encuentra en la barra de estado del navegador. También podemos asegurarnos de la
veracidad del sitio, comprobando que la URL de la web comience con "https", ya que
la letra "s" es la inicial utilizada para señalar que se trata de un sitio seguro. 

No obstante es preferible evitar el envío de información por este tipo de medios, ya

que en la actualidad algunos desarrolladores de métodos de Phishing han logrado
falsificar incluso los iconos más frecuentes de seguridad. 

- Cuidado con los resúmenes.

Otro de los factores importantes a tener en cuenta para evitar ser atrapados por una
red de Phishing es realizar un análisis de los distintos resúmenes de nuestras cuentas
bancarias y tarjetas de crédito apenas hayamos recibido el mensaje del tipo
Phishing,es decir para verificar, autorizar o brindar información.

En el caso en que comprobemos que el resumen de nuestra cuenta se demora más de

dos días, es conveniente comunicarse con el banco o con la compañía de tarjeta de
crédito, con el objetivo de confirmar el domicilio de facturación y los saldos de
nuestras cuentas. 

Debemos ser realmente cuidadosos siempre que tengamos que descargar o abrir
archivos adjuntos a los correos electrónicos que hayamos recibido, más allá del
remitente que figure en el email, ya que como dijimos el ataque de Phishing puede
estar enmascarado en el nombre de un conocido o una organización que nos resulte
familiar. 

Tengamos en cuenta que este tipo de documentos adjuntos pueden contener virus o

códigos maliciosos que afecten la seguridad de nuestra PC y de nuestros datos y
actividades a través de Internet. 

En el caso en que recibamos un email de una empresa u organización de la que somos

clientes o miembros, es importante que reenviemos el correo recibido sospechoso de
Phishing reportando lo ocurrido, ya que la mayoría de las compañías suelen efectuar
análisis sobre los mismos para evitar que se continúen propagando. 

Anti Phishing
Que el Phishing?, Phishing es un término utilizado en informática con el cual se denomina el uso
de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma
fraudulenta, como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra
información bancaria. El estafador, mejor conocido como phisher se hace pasar por una persona o
empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo
electrónico o algún sistema de mensajería instantánea.
La mayoría gran mayoría de Phishing utiliza fallos en el Internet Explorer, por eso es recomendable
que

Use Firefox con la barra Google la cual incorpora una herramienta anti phishing totalmente gratis, o
bien puedes usar cualquiera del software anti phishing que pongo a tu disposición en la siguiente
lista.
FireTrust
Descarga
Compete
Descarga
FraudEliminator Toolbar
Descarga
Netcraft Toolbar
Descarga
PhishGuard
Descarga
SpoofGuard Toolbar
Descarga
TrustWatch Toolbar
Descarga
SpoofStick Toolbar/button para FireFox
Descarga
SpoofStick Toolbar/button para IE
Descarga
PhishGuard for Internet Explorer
Descarga
PhishGuard for Mozilla Firefox 
Descarga
Google Safe Browsing for Firefox 
Descarga
Los anteriores enlaces te ayudan a evitar ser víctima del phishing, también te permiten mirar si un
portal es un sitio de phishing, la mayoría de los programas son aplicaciones que se instalan en tu
navegador, y son totalmente gratuitos.

Phishing
El phishing consiste en el empleo de mensajes de
correo electrónico que aparentemente provienen
de fuentes fiables para llevar a cabo prácticas
delictivas.

¿Qué es Phishing?

El "phishing" consiste en el envío de correos electrónicos que, aparentando

provenir de fuentes fiables (por ejemplo, entidades bancarias), intentan
obtener datos confidenciales del usuario, que posteriormente son utilizados
para la realización de algún tipo de fraude.
Para ello, suelen incluir un enlace que, al ser pulsado, lleva a páginas web
falsificadas. De esta manera, el usuario, creyendo estar en un sitio de toda
confianza, introduce la información solicitada que, en realidad, va a parar a
manos del estafador.
La siguiente imagen es un típico ejemplo de phishing:
 Los principales daños provocados por el phishing son:
 Robo de identidad y datos confidenciales de los usuarios. Esto puede
conllevar pérdidas económicas para los usuarios o incluso impedirles el acceso a
sus propias cuentas.
 Pérdida de productividad.
 Consumo de recursos de las redes corporativas (ancho de banda, saturación del
correo, etc.).
Una de las modalidades más peligrosas del phishing es el pharming. Esta
técnica consiste en modificar el sistema de resolución de nombres de
dominio (DNS) para conducir al usuario a una página web falsa.
Cuando un usuario teclea una dirección en su navegador, esta debe ser
convertida a una dirección IP numérica. Este proceso es lo que se llama
resolución de nombres, y de ello se encargan los servidores DNS.
Sin embargo, existen ejemplares de malware diseñados para modificar el
sistema de resolución de nombres local, ubicado en un fichero denominado
HOSTS.
Este fichero permite almacenar de forma local esa resolución de nombres
asociadas a direcciones IP. De esta manera, aunque el usuario introduzca en
el navegador el nombre de una página web legítima, el ordenador primero
consultará a ese fichero HOSTS si existe una dirección IP asociada a ese
nombre. En caso de no encontrarla, lo consultará con el servidor DNS de su
proveedor.
 Esta técnica conocida como pharming es utilizada normalmente para
realizar ataques de phishing, redirigiendo el nombre de dominio de una
entidad de confianza a una página web, en apariencia idéntica, pero que en
realidad ha sido creada por el atacante para obtener los datos privados del
usuario, generalmente datos bancarios.
A diferencia del phishing, el pharming no se lleva a cabo en un momento
concreto, ya que la modificación del fichero HOSTS permanece en un
ordenador, a la espera de que el usuario acceda a su servicio bancario.

¿Cómo llega?

El mecanismo más empleado habitualmente es la generación de un correo

electrónico falso que simule proceder de una determinada compañía, a cuyos
clientes se pretende engañar. Dicho mensaje contendrá enlaces que apuntan
a una o varias páginas web que imitan en todo o en parte el aspecto y
funcionalidad de la empresa, de la que se espera que el receptor mantenga
una relación comercial.
Respecto a la relación entre spam y phishing, parece claro que este tipo de
mensajes de distribución masiva puede ser una eficiente forma de captación
utilizada por los ciberdelincuentes. De hecho, uno de los métodos más
habituales de contacto para la comisión de delitos informáticos es el correo
electrónico.
Sin embargo, el canal de contacto para llevar a cabo estos delitos no se
limita exclusivamente al correo electrónico, sino que también es posible
realizar ataques de phishing a través de SMS, conocido como smishing, o de
telefonía IP, conocido como vishing.
En el smishing el usuario recibe un mensaje de texto intentando convencerle
de que visite un enlace fraudulento. En el vishing el usuario recibe una
llamada telefónica que simula proceder de una entidad bancaria solicitándole
que verifique una serie de datos.

¿Cómo protegernos?

Para protegernos es básico tener un programa antivirus instalado y

actualizado con filtro anti-spam. Cualquiera de las soluciones de Panda
Security mantendrá limpia de phishing su bandeja de entrada. La siguiente
animación también le ayudará a protegerse contra el phishing:

Además, a continuación proporcionamos una serie de consejos que pueden

ayudarle a reducir el riesgo de sufrir un ataque de phishing:
 Verifique la fuente de información. No conteste automáticamente a ningún correo
que solicite información personal o financiera.
 Escriba la dirección en su navegador de Internet en lugar de hacer clic en el
enlace proporcionado en el correo electrónico.
  Compruebe que la página web en la que ha entrado es una dirección segura.
Para ello, ha de empezar con https:// y un pequeño candado cerrado debe aparecer en
la barra de estado de nuestro navegador.
 Revise periódicamente sus cuentas para detectar transferencias o transacciones
irregulares.
 No olvide que las entidades bancarias no solicitan información confidencial a
través de canales no seguros, como el correo electrónico.
 Haga un análisis gratuito de su equipo y compruebe si está libre de phishing.

Lo que debes saber sobre el Phishing

6 de abril de 2017

· ¿Has escuchado el término Phishing? Has de saber que se trata de uno de los ciberriesgos más
comunes en la actualidad. Descubre cómo puedes cuidar tus datos.

 COMPARTIR ESTE ARTÍCULO

 Mail
  Linkedin
  Facebook
  Pinterest
  Xing
  Twitter
  Google+

“Phishing” se refiere a un método de ciber ataque donde el atacante o “phisher” se hace pasar por
una empresa de confianza, como puede ser una entidad bancaria, para obtener información
confidencial de una persona, por ejemplo su número de cuenta, datos de tarjetas de crédito, débito,
etcétera. El término es derivado del inglés y combina la palabra “fishing” (pescando) con el “ph”, la
manera en que los hackers sustituyen la letra f. Hace alusión a que el atacante “está pescando a
una víctima” para robar su información. Casi todos los casos de Phishing acaban en fraude, así
que te ayudamos a que sepas cómo detectarlo y evitarlo para que tus datos no estén nunca en
riesgo.

¿En qué consiste el Phishing?

A pesar de que esta acción puede llevarse a cabo de muchas maneras (envío de sms, redes sociales,
llamada telefónica, etc), el uso del correo electrónico es el más común. La víctima recibe un falso
email de su entidad bancaria donde se le solicita una “actualización de información” que usualmente,
viene acompañado de un link de la supuesta entidad oficial.
La víctima, al creer que se trata de una fuente fiable, hace clic y entra en la falsa web de la empresa,
facilita sus datos confidenciales y de esta manera, el “phisher” logra pescar a su víctima.

¿El phishing solo ocurre por correo electrónico?

Lamentablemente no. Al igual que los “phishers” falsifican las webs de entidades bancarias, también lo
hacen con otras herramientas que utilizas en tu día a día. En los últimos meses se han detectado casos
de Phishing en Facebook, Gmail y otras empresas de servicios de correo electrónico, así que siempre
has de estar atento a las páginas que visitas y la información que te piden.

Tipos de Phishing

 Smishing: Se hace por medio de sms o Whatsapp. A la víctima le llegan mensajes donde se
hacen pasar por grandes marcas de ropa, supermercados y otras empresas, ofreciendo vales por
100 o 200 euros.
 Vishing: es la modalidad que se hace por medio de una llamada telefónica. Un supuesto agente
de banco o de tu operadora de teléfono te hace una llamada invitándote a que realices una
encuesta donde pide todos tus datos bancarios.
 Spear phishing: utiliza el mismo método del correo electrónico fraudulento pero a grupos
reducidos o una organización determinada.

Ejemplo de Phishing: el caso de Pedro

En esta infografía te mostramos un ejemplo de Phishing:
Pedro está caminando por la calle y recibe un mail de su banco que dice lo siguiente:
“Estimado usuario, del banco XXXX
Por favor lea atentamente este aviso de seguridad.
Su cuenta ha sido seleccionada para verificación, necesitamos confirmar que Ud. es el verdadero dueño
de esta cuenta.
Por favor, tenga en cuenta que si no confirma sus datos en 24 horas, su cuenta será bloqueada.”

Muy confiado, Pedro hace clic en la url fradulenta y es dirigido a la aparentemente “web oficial” de su
banco y rellena el formulario solicitado.
Un par de días después, su cuenta bancaria ha quedado vacía.

¿Cómo protegerse ante el Phishing?

 No responder ninguna solicitud a través de correo electrónico, llamada telefónica o sms. Los
bancos jamás pedirán contraseñas, números de tarjeta u otra información personal por ninguna
vía, así que nunca facilites esos datos.
 Si has recibido una notificación bancaria, has de ver la dirección del sitio web que visitas. Debes
asegurarte que empiece por https:// y si no lo hace, definitivamente es un fraude cibernético.
 Cuando visites la web de tu banco, evita usar los buscadores de Internet y escribe directamente
en la barra de direcciones.

Recuerda que para estar seguro en Internet es muy recomendable contar con la mejor
protección. Pack Protección Online de Zurich Seguros, Telefónica y Lazarus Tecnology es una
herramienta de ciberseguridad que garantiza tu tranquilidad mientras gestionas tus datos en
Internet.
Phishing
Enviado por aguileram

1. Objetivos y Alcances
2. Definición
3. Historia
4.
5. Procedimiento para la protección
6. Links de Interés
7. Conclusiones
8. Bibliografía

Objetivos y Alcances
El objetivo de este trabajo es conocer una técnica llamada Phishing, la cual trata de vulnerar la seguridad informática,
conociendo lo que es el phishing vamos a poder ser capaces de evitar que esta técnica maliciosa nos ataque y
vamos a saber como prevenirnos de ella.
Entre los alcances, en este trabajo nos interesa puntualmente saber en que consiste esta técnica llamada phishing,
sus orígenes y además conocer algunos procedimientos para protegernos de estos ataques.
Phishing – Definición

Es la capacidad de duplicar una página web para hacer creer al visitante que se encuentra en la página original en
lugar de la copiada. Normalmente se utiliza con fines delictivos duplicando páginas web de bancos conocidos y
enviando indiscriminadamente correos para que se acceda a esta página a actualizar los datos de acceso al banco.
En ocasiones, el término "phishing" se dice que es la contracción de "password harvesting fishing" (cosecha
y pesca de contraseñas), aunque esto probablemente es un acrónimo retroactivo.
De forma más general, el nombre phishing también se aplica al acto de adquirir, de forma fraudulenta y a través de
engaño, información personal como contraseñas o detalles de una tarjeta de crédito, haciéndose pasar por alguien
digno de confianza con una necesidad verdadera de tal información en un e-mail parecido al oficial, un mensaje
instantáneo o cualquier otra forma de comunicación. Es una forma de ataque de laingeniería social.
Phishing – Historia
El término phishing fue creado a mediados de los años 90 por los crackers que procuraban robar las cuentas de
AOL. Un atacante se presentaría como empleado de AOL y enviaría un mensaje inmediato a una víctima potencial.
El mensaje pediría que la víctima revelara su contraseña, con variadas excusas como la verificación de la cuenta o
confirmación de la información de la facturación. Una vez que la víctima entregara la contraseña, el atacante podría
tener acceso a la cuenta de la víctima y utilizarla para cualquier otro propósito, tales como Spamming.
Hay también una red irlandesa del IRC llamada Phishy, aunque más antigua del uso de ese término para cualquier
cosa ilegal
Phishing – Funcionamiento
En esta modalidad de fraude, el usuario malintencionado envía millones de mensajes falsos que parecen provenir de
sitios Web reconocidos o de su confianza, como su banco o la empresa de su tarjeta de crédito.
Dado que los mensajes y los sitios Web que envían estos usuarios parecen oficiales, logran engañar a muchas
personas haciéndoles creer que son legítimos. La gente confiada normalmente responde a estas solicitudes de
correo electrónico con sus números de tarjeta de crédito, contraseñas, información de cuentas u otros datos
personales.
Para que estos mensajes parezcan aun más reales, el estafador suele incluir un vínculo falso que parece dirigir al
sitio Web legítimo, pero en realidad lleva a un sitio falso o incluso a una ventana emergente que tiene exactamente el
mismo aspecto que el sitio Web oficial. Estas copias se denominan "sitios Web piratas". Una vez que el usuario está
en uno de estos sitios Web, introduce información personal sin saber que se transmitirá directamente al delincuente,
que la utilizará para realizar compras, solicitar una nueva tarjeta de crédito o robar su identidad.
Phishing – Procedimiento para la protección
Al igual que en el mundo físico, los estafadores continúan desarrollando nuevas y más siniestras formas de engañar
a través de Internet. Si sigue estos cinco sencillos pasos podrá protegerse y preservar la privacidad de su
información.
1. Nunca responda a solicitudes de información personal a través de correo electrónico. Si tiene alguna duda,
póngase en contacto con la entidad que supuestamente le ha enviado el mensaje.
2. Para visitar sitios Web, introduzca la dirección URL en la barra de direcciones.
3. Asegúrese de que el sitio Web utiliza cifrado.
4. Consulte frecuentemente los saldos bancarios y de sus tarjetas de crédito.
5. Comunique los posibles delitos relacionados con su información personal a las autoridades competentes.
Paso 1: nunca responda a solicitudes de información personal a través de correo electrónico
Las empresas de prestigio nunca solicitan contraseñas, números de tarjeta de crédito u otro tipo de información
personal por correo electrónico. Si recibe un mensaje que le solicita este tipo de información, no responda.
Si piensa que el mensaje es legítimo, comuníquese con la empresa por teléfono o a través de su sitio Web para
confirmar la información recibida. Consulte el Paso 2 para obtener información sobre las prácticas más adecuadas
para acceder a un sitio Web si cree que ha sido víctima de una maniobra de "phishing".
Para obtener una lista de ejemplos de correo electrónico de "phishing" recibidos por algunos usuarios, consulte
el Archivo del grupo antiphishing.
Paso 2: para visitar sitios Web, introduzca la dirección URL en la barra de direcciones
Si sospecha de la legitimidad de un mensaje de correo electrónico de la empresa de su tarjeta de crédito, banco
o servicio de pagos electrónicos, no siga los enlaces que lo llevarán al sitio Web desde el que se envió el mensaje.
Estos enlaces pueden conducirlo a un sitio falso que enviará toda la información ingresada al estafador que lo ha
creado.
Aunque la barra de direcciones muestre la dirección correcta, no se arriesgue a que lo engañen. Los piratas conocen
muchas formas para mostrar una dirección URL falsa en la barra de direcciones del navegador. Las nuevas
versiones de los navegadores hacen más difícil falsificar la barra de direcciones. Para obtener más información,
consulte la información que se ofrece en el sitio Proteja su equipo.
Paso 3: asegúrese de que el sitio Web utiliza cifrado

Si no se puede confiar en un sitio Web por su barra de direcciones, ¿cómo se sabe que será seguro? Existen varias
formas: En primer lugar, antes de ingresar cualquier tipo de información personal, compruebe si el sitio Web utiliza
cifrado para transmitir la información personal. En los navegadores puede comprobarlo con el icono de color amarillo
situado en la barra de estado, tal como se muestra en la figura 1.
Para ver el gráfico seleccione la opción "Descargar" del menú superior
Figura 1. Icono de candado de sitio seguro. Si el candado está cerrado, el sitio utiliza cifrado.
Este símbolo significa que el sitio Web utiliza cifrado para proteger la información personal que introduzca: números
de tarjetas de crédito, número de la seguridad social o detalles de pagos.
Haga doble clic sobre el icono del candado para ver el certificado de seguridad del sitio. El nombre que aparece a
continuación de Enviado a debe coincidir con el del sitio en el que se encuentra.
Si el nombre es diferente, puede que se encuentre en un sitio falso. Si no está seguro de la legitimidad de un
certificado, no introduzca ninguna información personal. Sea prudente y abandone el sitio Web.
Existen otras formas de determinar si un sitio es seguro, como por ejemplo ver si la página posee un certificado de
seguridad de algunas de las empresas proveedoras del mismo como por ejemplo Verisign.

Paso 4: consulte frecuentemente los saldos bancarios y de sus tarjetas de crédito

Incluso si sigue los tres pasos anteriores, puede convertirse en víctima de las usurpaciones de identidad. Si consulta
sus saldos bancarios y de sus tarjetas de crédito al menos una vez al mes, podrá sorprender al estafador y detenerlo
antes de que provoque daños significativos.
Paso 5: comunique los posibles delitos relacionados con su información personal a las autoridades
competentes
Si cree que ha sido víctima de "phishing", proceda del siguiente modo:
Informe inmediatamente del fraude a la empresa afectada. Si no está seguro de cómo comunicarse con la empresa,
visite su sitio Web para obtener la información de contacto adecuada. Algunas empresas tienen una dirección de
correo electrónico especial para informar de este tipo de delitos.
Recuerde que no debe seguir ningún vínculo que se ofrezca en el correo electrónico recibido. Debe introducir la
dirección del sitio Web conocida de la compañía directamente en la barra de direcciones del navegador de Internet.
Proporcione los detalles del estafador, como los mensajes recibidos, a la autoridad competente a través del Centro
de denuncias de fraude en Internet. Este centro trabaja en todo el mundo en colaboración con las autoridades legales
para clausurar con celeridad los sitios Web fraudulentos e identificar a los responsables del fraude.
Si cree que su información personal ha sido robada o puesta en peligro, también debe comunicarlo a la FTC y visitar
el sitio Web de robo de identidades de la FTC para saber cómo minimizar los daños.
Phishing – Links de Interés

A continuación se detallan algunos links de interés relacionados al tema.

http://www.ifccfbi.gov/index.asp
En esta dirección nos encontramos con una organización que se dedica a recibir todos los reportes de delitos
informáticos llevados a cabo a alguna persona, la victima lo único que tiene que hacer es denunciar que ha sido
víctima de un delito y ellos lo registran en sus archivos.
http://www.antiphishing.org/
Aquí podemos encontrar un grupo de trabajo dedicado a controlar y llevar estadísticas del phishing, para así proteger
el e-commerce, y otras actividades relacionadas con las transacciones monetarias en Internet.

 En este gráfico podemos encontrar una estadística con la cantidad de sitios que han sido reportados realizando
phishing, esta estadística es semanal, y va desde Diciembre del 2004 hasta Marzo del 2005.
Conclusiones
Una vez que ya hemos conocido lo que es el phishing, a parte de saber su existencia y significado, también gracias a
este trabajo pudimos conocer un procedimiento para protegernos de caer en esta trampa, que sabemos que puede
traer consecuencias muy negativas, como la entrega de datos personales, números de tarjetas de créditos con
demasiadas consecuencias negativas para el propietario y además la pérdida de privacidad.
Bibliografía:

Internet:
http://es.wikipedia.org
http://www.microsoft.com/latam/seguridad/hogar/spam/phishing.mspx
 

Leer más: http://www.monografias.com/trabajos23/phishing/phishing.shtml?news#ixzz4tb4HcsVo