Web Analytics
Conecta con nosotros

Noticias

Google te pone a prueba: ¿sabes detectar un ataque de phishing?

Raro es el día que no recibimos, como mínimo, uno o dos correos que emplean el phishing para robar nuestros datos. ¿Sabes cómo detectar este tipo de amenaza?

Publicado el
Phishing: lobos con piel de cordero

Una de las expresiones que más me llamaban la atención era eso de lobos con piel de cordero. Siendo todavía un niño la interpretaba de manera literal, algo así como la imagen superior. Con los años, desgraciadamente, fui conociendo a algunas personas que me hicieron entender la metáfora que subyace en el concepto. Con el cambio de siglo, descubrí una nueva aplicación práctica de este concepto: el phishing.

Por aquellos tiempos, eso sí, los ataques eran bastante menos sofisticados que hoy en día. Y sí, menos sofisticados es un eufemismo que en realidad quiere decir que eran bastante chapuceros y lamentables. Aún recuerdo uno, en el que se me informaba de que mi «Membresia del Bank de Espana Madrid Inc. habia fallecido» (véase todo con un enorme SIC), y me urgía a facilitar determinados datos para solucionar tan acuciante problema. Eran buenos tiempos: si sabías un poco de haches y tildes, estabas protegido).

Lamentablemente, pero también lógicamente, el phishing ha evolucionado mucho en todos estos años, y a día de hoy es bastante sencillo caer en un ataque de este tipo. Y esto supone un serio problema tanto para quienes son víctimas directas de dichos ataques, como para las empresas y entidades que ven cómo sus usuarios y clientes se ven amenazados, e incluso pueden llegar a dejar de operar sus servicios online. Y no hay que olvidar, además, que el phishing puede ser solo el punto de entrada para ataques de mayor escala.

Aunque la persecución de los delincuentes es muy importante, un factor clave para mitigar sus riesgos es que los usuarios sean conscientes de su existencia, así como de identificar determinados elementos que sirven de alerta para discernir si un mensaje es legítimo o, por el contrario, se trata de un ataque basado en la suplantación de identidad. Recientemente, Google ha publicado este mensaje en su perfil oficial de Twitter:

 

Al hacer click en el enlace del tweet, se accede a una página web en la que Google propone al usuario enfrentarse a un total de ocho mensajes de correo electrónico, todos aparentemente legítimos, para que intente averiguar si son confiables o, por el contrario, forman parte de un ataque de suplantación de identidad a través del email.

 

¿Cómo se identifica el phishing?

Lo de la suplantación de identidad en el correo electrónico no es una guerra «nueva» para Google. Como ejemplo, hace ya la friolera de 12 años te contábamos los planes de la tecnológica para luchar contra el phishing en Gmail. Pero, desgraciadamente, no basta con medidas tomadas desde el lado del suplantado, o de la herramienta empleada para la difusión y lectura de esos correos, el usuario es un elemento clave en esa cadena de seguridad.

La estrategia implica a todas las partes. De un tiempo a esta parte ya hemos visto cómo muchas empresas informan periódicamente a sus clientes de los riesgos del phishing y, por ejemplo, les recuerdan que nunca les pedirán sus claves a través de correo electrónico. El usuario debe tomar buena nota de estas indicaciones y, ante la más mínima sospecha, ponerlo en cuarentena.

Con el test que te propone Google en la página del tweet, podrás ver no solo unos mensajes que podrían ser phishing o no, también sabrás dónde y qué tienes que mirar para hacer tus propias pesquisas. Enlaces, direcciones «raras», nombres parecidos pero no iguales… la verdad es que, según cómo lo mires, tiene hasta un punto lúdico: «Sherlock Holmes contra el suplantador del email«. Bueno, bromas aparte, sí que es muy, muy recomendable aprender a identificar este tipo de mensajes.

¿Recibes muchos correos con phishing? ¿Alguna vez han logrado engañarte? ¿Cuál es tu técnica para identificarlo? Y, si ya has hecho el test de Google, una duda personal… ¿qué opinas del octavo y último supuesto? Y para que se vea que no es por presumir, ya te adelanto que yo en esa… ¡he fallado!

Si me dieran una cana por cada contenido que he escrito relacionado con la tecnología... pues sí, tendría las canas que tengo. Por lo demás, música, fotografía, café, un eReader a reventar y una isla desierta. ¿Te vienes?

6 comentarios
  • Random57

    Muy bueno, me ha gustado mucho.

    He acertado 6 de 8… Y sí, he fallado en esa última xD

  • Invitado

    Me preocupa eso de cuentas sin foto de perfil… ¿Desde cuándo es obligatorio? ¿Acaso los robots no pueden poner una foto? No tener una foto o imagen en el perfil no puede ser indicio de ser un robot… Es más, hasta pienso yo que es más probable que le pongan alguna para aparentar.

    Vamos, que ahora por comentar como invitado ni siquiera puedo poner una foto o imagen (Además de que me quedo sin comentar en algunos sitios como MuyLinux).

    Estas cosas me ponen a pensar sobre como gradualmente la mayoría de los sitios web pasaron de aconsejar no compartir información personal a exigirla y me refiero a cosas tan sencillas como el nombre y el apellido que eran opcionales (o inclusive ni siquiera las pedían) ahora es obligatorio en prácticamente todas partes.

  • Goo Ball

    La última la he fallado, no recuerdo el nombre de la aplicación que solicitaba el acceso a «mis datos», pero entre el nombre de la aplicación y los enlaces que aparecían había una diferencia de I/L y sin pensármelo dos veces le he dado a que era fraudulento.

  • Leonmafioso

    TripIt, yo obtuve 8 de 8.

  • Ahí estaba la trampa. Los enlaces de las condiciones del servicio y políticas de privacidad se referían a las del servicio de terceros (TripIt), no a las de Google.

  • Goo Ball

    Efectivamente, en los enlaces inferiores se hacía referencia a tripit, no a triplt. La i mayúscula parece una L, de ahí que sin conocer la aplicación desconfie si en el cuerpo del mensaje veo una I y en los enlaces una i.

Lo más leído