Internet es un mar de información, diversión, comunicación y engaño. Para esto último la práctica más utilizada es el phishing, palabra que viene de fishing (pesca en inglés) y refiere al intento de hacer que el usuario se vea tentado o no tenga otra chance que morder el anzuelo.

La maniobra provoca pérdidas de casi 6.000 millones de dólares al año en el mundo, según una investigación publicada por la Agencia del Gobierno Electrónico (Agesic) con base en datos de 2013 de la firma de protección de datos EMC.

Esta habilidad que realizan miles de hackers en el mundo es en la que más caen los uruguayos. Tal es así que el 47% de los incidentes que detectó en 2014 el Centro de Respuestas a Ataques Informaticos (CERT) fue por esta causa. “Es la mayor tendencia de incidentes informáticos que nosotros venimos atendiendo”, afirmó Santiago Paz, director de Seguridad Informática de Agesic.

Los ataques más tradicionales son por medio de mails que piden datos de tarjetas de crédito, y luego roban dinero desde las cuentas de los usuarios.

Una situación típica es esa en la que el hacker simula ser un banco y anuncia una actualización del sistema de seguridad que, promete, “protegerá completamente la cuenta”. Para que el usuario pueda obtener la supuesta actualización del sistema de seguridad, lo invitan a entrar en una web y seguir “algunos pasos de activación”.

El usuario “muerde el anzuelo” y accede, sin saberlo, a la página de un atacante que es exactamente igual que la página del banco. Entonces, sin saberlo, introduce el número de su tarjeta de crédito, su nombre de usuario y contraseña. Así, en definitiva, cede el control de su cuenta y habilita el robo de su dinero.

Una modalidad similar llegó la semana pasada a las cuentas de correo electrónico de la Intendencia de Montevideo. Algunos jerarcas comenzaron a enviar, sin intención, mails en los que decían que había viajado a Chipre y allí les habían robado pasaporte, efectivo y tarjetas de crédito, por lo cual necesitaban dinero para volver; le solicitaban al destinatario del email que lo depositara en una cuenta específica.

Otra forma similar es la vinculada a la venta de pasajes online.“En 2014 vimos un gran número de estafas de phishing basado en sitios web que vendían billetes de avión”, contó Nadezhda Demidova, analista de Kaspersky, firma de seguridad informática.

En este caso, a las personas les llegaban promociones de aerolíneas a sus correos, tras lo cual los usuarios ingresaban en sitios falsos y habilitaban el débito de montos desde su tarjetas de crédito; pagaban por tiques inexistentes.

Existen algunas herramientas que Agesic recomienda para evitar morder el anzuelo. Una es analizar si la dirección del remitente se corresponde con la empresa que envía el correo.

En segundo lugar, recordar que empresas y bancos no suelen solicitar usuarios y contraseñas de clientes a través del correo electrónico. Si eventualmente piden esa información, hay que confirmar que el link sea correcto.

Por ejemplo, puede saberlo a través de la dirección del sitio que pide los datos; a veces tiene el nombre del original pero cambia “.com” por “.org” y eso la hace apócrifa. Lo otro es cerciorarse que la dirección tenga las 5 letras “https”; la “s” indica que se trata de un sitio seguro.

Por último, la agencia recomienda verificar si los correos contienen errores de redacción o faltas de ortografía y elegir una contraseña “segura”. Es decir, que no sea “1234”, sino que tenga números y letras, mayúsculas, minúsculas y signos.

TECNOLOGÍAJUAN PABLO DE MARCO