El phishing es una forma de ingeniería social en la cual un atacante intenta de forma fraudulenta adquirir información confidencial de una víctima haciéndose pasar por una persona de confianza. Este tipo de ataques se han convertido en una de las mayores amenazas externas.
Los riesgos derivados de estas técnicas son el robo de identidad y datos confidenciales, pérdida de productividad y consumo de recursos de las redes corporativas. Los métodos utilizados para la realización del phishing no se limitan exclusivamente al correo electrónico, sino que también utilizan SMS (smishing), telefonía IP (vishing), redes sociales, mensajería instantánea a través del móvil, etc. Para evitar estos riesgos es recomendable adoptar unas buenas prácticas principalmente en el uso del correo electrónico institucional:
- Se debe verificar la fuente de información de los correos electrónicos. Ante la más mínima duda, no facilitar ninguna información y contactar por otra vía para verificarla.
- Se debe prestar atención a la redacción y sospechar de los mensajes que tienen expresiones sin sentido y errores ortográficos o gramaticales.
- En vez de utilizar los enlaces incluidos en los correos electrónicos, es aconsejable escribir la dirección directamente en el navegador.
- Antes de introducir información confidencial en una página web, hay que comprobar que es segura, empieza con <<https://>> y tiene un candado cerrado en el navegador.
- Es recomendable estar siempre informado sobre las últimas noticias de seguridad, y aprender a identificar correctamente los correos electrónicos sospechosos de ser phishing, en general mensajes que solicitan información confidencial (contraseñas, datos bancarios, número de teléfono móvil, etc.)
- Hay que utilizar el sentido común al realizar transacción por internet, “si algo es demasiado bueno para ser cierto, es que no es cierto”.