Navegación segura (I): El phishing

Navegación segura (I): El phishing

Se denomina phishing a una técnica de captación de credenciales intentando engañar al usuario, haciéndole creer que escribe sus datos de acceso en una página auténtica, cuando en realidad lo está haciendo en una página falsa, controlada por el ciberatacante.

Phishing proviene del inglés “fishing” (pescar). Una vieja tradición informática hace que la f en numerosas ocasiones se escriba como ph. Y en definitiva, se trata de eso. De “pescar” credenciales utilizando un anzuelo.

¿Cómo defendernos de un ataque de phishing. Conociendo un truco muy sencillo. Lo puedes ver en el siguiente tutorial que hemos preparado para ti.

 

Esta es la principal forma de phishing. Existe no obstante otra, más avanzada, a través de los que se conoce cross-site scripting (XSS), que consiste en lo siguiente.

Existen determinadas páginas por las que podemos navegar sin loguearnos (loguear, es un horrible neologismo que significa ingresar, identificarse en una web, pero como es más específico, lo vamos a utilizar), gracias a javascript. Esas páginas, cuando realizamos alguna actividad que necesita login, nos remite a una página de logueo y luego nos lleva atrás a la página en la que estábamos, pero ya logueados. Pues bien, si cogemos el código que nos lleva a la página de login, lo pegamos en un correo electrónico, convenientemente modificado, cuando abramos ese correo electrónico veremos que la dirección que aparece es la que nosotros queremos, aunque seguida de mucho código.  Si ese enlace fue modificado adecuadamente, podrá remitir al atacante nuestros datos personales. ¿Cual es el truco entonces para ver si efectivamente existe o no phishing? Pues que en la dirección real, la que nos envía el enlace, aparecerá algo como “http://www.bancosantander.com/publico/file.php?file=34432324&action=login” Este es un ejemplo, no aparecerá eso textualmente, pero sí algo de características similares, es decir, una dirección más larga de lo normal, con bastante información después del nombre de dominio. Si  ya deberíamos desconfiar de un correo pidiéndonos información, mucho más en este caso.

Comparte este artículo