Spear Fishing no es un deporte

Introducción

La última novedad del phishing es el "spear phishing". No, no se trata de un deporte, pesca submarina, si no de una estafa y nosotros somos el blanco. El llamado spear phishing consiste en crear un correo electrónico que aparenta ser de una persona o empresa conocida. Pero no lo es. Es un mensaje que proviene de los mismos hackers criminales que quieren sus números de tarjeta de crédito y cuentas bancarias, sus contraseñas y la información financiera almacenada en nuestro ordenador.

Correo electrónico de un "amigo"

El fraude online phisher se vale de la familiaridad. Conocen nuestro nombre y nuestra dirección de correo electrónico, y tienen un mínimo de información acerca de nosotros obtenido de internet (redes sociales). Por lo general, el saludo del mensaje de correo electrónico es personalizado: "Hola, Juan", en lugar de "Estimado señor". Es posible que el correo electrónico haga referencia a un "amigo en común". También puede referirse a alguna compra online reciente. Dado que el correo electrónico parece provenir de alguien conocido, es posible que estemos menos atentos y proporcionemos la información que nos solicitan. Y cuando se trata de una empresa que conocemos y solicita que actuemos con urgencia, seguramente lo haremos sin pensarlo.

Usar nuestra presencia en la Web en nuestra contra

¿Cómo nos convertimos en el blanco de ataques de spear phishing? A partir de la información que publicamos en Internet desde nuestro portátil o nuestro smartphone. Por ejemplo, pueden analizar sitios de redes sociales, encontrar nuestra página, nuestra dirección de correo electrónico, nuestra lista de amigos y una publicación reciente en la que comentemos lo estupenda que es la nueva cámara que se compramos en Amazon, por ejemplo. Con esa información, un atacante de spear phishing puede simular ser amigo nuestros, enviarnos un correo electrónico y solicitarnos la contraseña de nuestra página de fotos. Si le damos la contraseña, el atacante la usará, junto con otras variantes, para intentar acceder a nuestra cuenta de Amazon que mencionamos. Si la descubren, la usarán y nos dejarán una deuda importante. También puede suceder que el atacante use esa misma información para hacerse pasar por alguien de Amazon y solicitar que restablezcamos la contraseña o que volvamos a verificar el número de tarjeta de crédito. Si respondemos, el daño financiero puede ser enorme.

Mantener en secreto nuestros secretos

Nuestro nivel de seguridad y el de la información que compartimos depende, en parte, de ser cuidadoso. Debemos revisar nuestra presencia online. ¿Cuánta información acerca de nosotros hay publicada que podría combinarse para estafarnos? ¿Nombre? ¿Dirección de correo electrónico? ¿Nombres de amigos? ¿Nuestras direcciones de correo electrónico? ¿Tenemos un perfil, por ejemplo, en algún sitio conocido de redes sociales? Examinar las publicaciones. ¿Hay algo allí que no queremos que caiga en manos de un estafador? ¿Publicamos algún dato en la página de un amigo que podría resultar muy revelador?

Contraseñas que funcionan

Pensemos en nuestras contraseñas. ¿Utilizamos solamente una o variantes fáciles de descubrir de una sola? Si ponemos en práctica alguna de las dos opciones, deberíamos dejar de hacerlo, porque facilitamos a los estafadores el acceso a nuestra información financiera. Cada contraseña para cada sitio que visitemos debe ser diferente, totalmente diferente. Las combinaciones aleatorias de letras, números son la mejor opción y signos de puntuación. Cambiarlas con frecuencia. El software de red online y el sistema operativo pueden sernos útil para realizar un seguimiento de las contraseñas.

Parches, actualizaciones y software de red

Cuando recibamos avisos de los distribuidores de software para actualizar el  software, hagamoslo. La mayoría de las actualizaciones de los navegadores y los sistemas operativos incluyen parches de seguridad. Nuestro nombre y nuestra  dirección de correo electrónico pueden ser datos suficientes para que un hacker entre en nuestro sistema por una fallo de seguridad. 

Ser inteligente

• Si un "amigo" nos envía un correo electrónico y nos solicita una contraseña u otro dato, llamésmole o escribámosle (en otro mensaje de correo electrónico) para verificar que en efecto fue él quien nos envío el mensaje. 
• Lo mismo se aplica a los bancos y las empresas. En primer lugar, las empresas legítimas no envían correos electrónicos para solicitar contraseñas ni números de cuentas. Si pensemos que el mensaje puede ser real, con llamar al banco o a la empresa y preguntar, evitamos riesgos innecesarios. También podemos visitar el sitio web oficial. La mayoría de los bancos tiene una dirección de correo electrónico a donde es posible reenviar los mensajes sospechosos para su verificación.

Y recordar siempre: no proporcionar demasiada información personal en Internet porque nunca sabemos quién puede usarla en nuestra contra. Ni cómo.