Información sobre seguridad McAfee

Las mejores prácticas para luchar contra el phishing o robo de identidad

Justo cuando se pensaba que era seguro navegar por las aguas del comercio electrónico de hoy día, surge el phishing o robo de identidad, una de las estafas más peligrosas del mundo.

El phishing vincula la distribución de mensajes de correo electrónico con direcciones de retorno, enlaces y arte gráfico que dota a estos correos de una apariencia legítima, como si hubieran sido creados por instituciones financieras para sus clientes.

Por desgracia, el objetivo principal de estos correos es engañar a receptores confiados para que divulguen su cuenta bancaria personal, tarjeta de crédito y otra información confidencial. Una vez que el consumidor ha compartido esta información, los suplantadores pueden fácilmente robar su identidad y realizar transacciones fraudulentas utilizando la información robada.

Los estafadores también roban información confidencial de los usuarios convenciéndoles para que visiten una página web fraudulenta e instalando programas espía en el ordenador de un usuario para así poder robar esa información cuando un individuo visita una página legítima.

Un estafador que puede afectar a todos por igual

Hoy día nadie está seguro de las intenciones maliciosas de los estafadores. Clientes de grandes multinacionales, instituciones financieras, agentes de seguros, así como instituciones crediticias y de préstamos han sido víctimas de expediciones de phishing.

Los estafadores eligen empresas muy conocidas porque la mayoría de los correos electrónicos se distribuyen al azar. Las empresas de prestigio se jactan de poseer más clientes, por lo que aumentan las posibilidades de que un correo fraudulento sea recibido por un cliente de estas empresas.

De hecho, se han detectado mensajes de correo electrónico fraudulentos en buzones de todo el mundo procedentes supuestamente de la Federal Deposit Insurance Corp. y de la Asociación de Banca Americana. Incluso el FBI puede contarse entre las víctimas del phishing.

La amenaza del phishing no muestra signos de remitir. Según un informe del Anti-Phishing Working Group, una asociación industrial que lucha contra el robo de identidad y el fraude, sólo en junio de 2004 se informó de 176 nuevos ataques de phishing, lo que supone una media de 5,7 nuevos ataques por día. Para junio de 2004, esta cifra había aumentado de manera alarmante a 1.422 nuevos ataques de phishing.

Los analistas estiman que hasta el 5 por ciento de las peticiones fraudulentas por correo electrónico logran obtener datos confidenciales de los destinatarios. Pero los consumidores no son los únicos afectados por una amenaza de phishing. Uno de los 20 bancos más importantes en América recibió recientemente hasta 90.000 llamadas telefónicas en una hora tras un ataque de phishing en febrero, paralizando el banco durante cinco horas.

Y lo que es más, las empresas que caen víctimas de ataques de phishing se arriesgan a perder la confianza de sus clientes en línea. Por ejemplo, un banco se convierte en el objetivo de un estafador, en cuyo caso es probable que sus clientes se frenen a la hora de realizar transacciones bancarias en línea.

No muerda el anzuelo

Hoy día los suplantadores de identidades utilizan tácticas cada vez más sofisticadas, como el uso de ventanas emergentes y símbolos de candados falsos para engañar a los internautas inadvertidos. Pero hay formas de evitar morder el anzuelo de los estafadores. McAfee recomienda a las empresas que creen (y comuniquen) políticas de seguridad corporativas para los contenidos de los correos para evitar la confusión entre el correo legítimo y el phishing.

Una política de este tipo consiste en que una empresa no pida nunca a sus clientes que rellenen impresos incorporados en un correo electrónico. De esta forma, si un cliente recibe un correo electrónico con un impreso, el mensaje pueda identificarse inmediatamente como un ataque de phishing.

En segundo lugar, las empresas deben crear siempre un método para que los consumidores validen que un mensaje de correo es legítimo y no proviene de un estafador. Con este fin, las empresas deben establecer una política para incluir información de autentificación en cada correo electrónico que se envíe a sus clientes.

Por ejemplo, algunas empresas piden a sus clientes que seleccionen un gráfico personalizado para incluirlo en un correo electrónico, con lo que se dificulta a los estafadores la simulación de los mensajes de correo electrónico de la empresa.

Las empresas deben evitar la incorporación de enlaces que se abren con un clic en correo electrónico con código HTML. Y dado que la tarea de los usurpadores de identidades es conseguir contraseñas, las empresas no deben tampoco pedir a sus clientes que introduzcan información confidencial cuando se conecten a una página web. De hecho, las tarjetas inteligentes y otros dispositivos son métodos de autentificación mucho más sofisticados que las contraseñas y los números de Seguridad Social.

Los clientes actuarán con inteligencia si ajustan la seguridad de su navegador web al nivel más alto posible y configuran sus navegadores para que muestren advertencias de http para que detecten si están visitando o no un sitio seguro.

Las actividades de los usurpadores de identidades pueden detenerse si las empresas controlan de manera activa Internet en busca de sitios web phishing potenciales, que a menudo aparecen antes del lanzamiento de los correos electrónicos de phishing.

Y por último, es siempre muy aconsejable que las empresas implementen soluciones de gestión de contenidos seguros de alta calidad, herramientas que las empresas ofrecen a menudo a sus clientes como servicios comerciales. Por ejemplo, McAfee ofrece soluciones antispam que pueden identificar las actividades de phishing en el gateway, soluciones antivirus para ordenadores personales que atrapan registradores de eventos claves, y herramientas para protección contra intrusiones para sitios web. Al instalar este tipo de protección puede tener la confianza de que todo su tráfico de mensajería entrante y saliente estará asegurado antes de que un contenido no deseado pueda infectar su red, o afectar a sus usuarios.