
BleachBit: limpia la basura y libera espacio en el disco duro

Los peligros de los ataques de Cross-Site Scripting (XSS)

Cómo detectar software espía en un teléfono móvil

Diaspora: una alternativa de código abierto a Facebook

Herramientas de Accesibilidad
El phishing es una forma de estafa perpetrada mediante ingeniería social dirigido tanto a usuarios particulares como corporativos, con el objetivo de obtener acceso a contraseñas de diferentes servicios en línea u otra información confidencial.
Para ello, los villanos utilizan principalmente el correo electrónico, las redes sociales, llamadas telefónicas o cualquier otra forma de comunicación, como publicaciones en foros y videos de YouTube.
Pero también existen ataques de phishing personalizados dirigidos contra un individuo, o una organización en concreto.
Esto se logra realizando una pequeña investigación sobre los hábitos de la víctima, por ejemplo visitando sus redes sociales, o su perfil de LinkedIn, donde revela libremente su experiencia laboral.
También recopilando información de archivos o bases de datos públicas cuya consulta puede ser efectuada por cualquier persona.
Los datos obtenidos de portales web, víctimas del robo o las fugas de datos son otra fuente de información.
Al phishing personalizado y dirigido a una persona o entidad en concreto se le denomina Spear phishing.
Los mensajes de phishing, simulan proceder de una entidad legítima (compañía telefónica, red social, banco, institución pública, etc.) e intentan infundir al destinatario una sensación de urgencia para no darle tiempo a reflexionar.
Para ello, utilizan todo tipo de argumentos relacionados con la seguridad de la entidad o la necesidad de hacer algún trámite administrativo urgente, para justificar la necesidad de que la víctima facilite sus datos personales.
Anteriormente, este tipo de mensajes, eran bastante cutres, muy mal redactados, y repletos de errores ortográficos y gramaticales.
Si la persona entra en pánico y pulsa en el enlace, será redirigido a una página que simula la del servicio genuino, y el ciberdelincuente se hará con sus credenciales.
Como ocurre con el spam, este tipo de correos electrónicos de phishing también pueden tener como objetivo que la víctima infecte su dispositivo con malware.
Por ejemplo, los delincuentes pueden adjuntar un archivo al mensaje de correo electrónico, que al ser abierto, inyecta código malicioso en el dispositivo de usuario.
Los modernos kits de phishing se venden como paquetes listos para usar tanto en la web oscura como en foros de delincuentes.
Cuentan con sofisticados sistemas de evasión de detección y filtrado de tráfico para garantizar que las soluciones de seguridad no los marquen como una amenaza.
También proporcionan logotipos de marcas, páginas de inicio de sesión realistas, e incluso páginas web dinámicas ensambladas a partir de un conjunto de elementos básicos.
Una de las señales que nos indican que un mensaje puede ser un intento de estafa es su contenido genérico: en vez de mencionar nuestro nombre completo, nos llaman cosas como estimado cliente o similares.
Algunos incluso incluyen un número de referencia escrito al azar para darle mayor credibilidad al invento.
Ninguna empresa, tendría la poca profesionalidad y la descortesía de tratar a un cliente como un número y no llamarle por su nombre.
Un banco, red social o cualquier corporación, nunca usará un correo gratuito, como Hotmail, Gmail o similares, para ponerse en contacto con un cliente.
Otra forma que tienen los ciberdelincuentes de engañar a sus víctimas simular un correo corporativo, usando nombres de dominio similares, normalmente gratuitos y registrados para la ocasión.
Por ejemplo: clientes @banco.tk, cuando en este caso la dirección real del remitente sería: clientes @banco.com.
Los mensajes recibidos a través de servicios como WhatsApp, Twitter o Facebook, en los que ofrecen cupones de descuento o premios rellenando un formulario con datos personales, son otra manera de estafa.
Para ello utilizan un sistema de respuesta de voz fraudulento para recrear una copia legítima de un sistema de IVR (sistema telefónico capaz de recibir una llamada e interactuar con el humano a través de grabaciones de voz) de un banco u otra institución.
Otras veces, son los propios estafadores quienes se ponen en contacto directamente con la víctima, haciéndose pasar por el servicio de atención al cliente del banco u otro servicio.
Otra táctica común es dejar mensajes de voz amenazantes instando al destinatario a que devuelva a llamada de inmediato, bajo pena de ser arrestado, cerrarle la cuenta bancaria, etc.
Uno de los errores más frecuentes que podemos cometer es entrar en pánico y no reflexionar.
Si, por ejemplo, recibimos un correo, mensaje o llamada en la que nos dicen que nuestra cuenta bancaria ha sido bloqueada y que para restaurarla hay que realizar alguna acción urgente, el siguiente paso lógico debería ser ponernos en contacto con nuestro banco o acceder directamente a la cuenta, para comprobar si existe o no algún problema.
En caso de poder operar con normalidad, estaríamos ante un caso de intento de estafa.
Lo mismo puede aplicarse a cualquier otro servicio como por ejemplo Facebook, Twitter, nuestro proveedor de internet o las empresas de suministros como el agua o la electricidad.
También tenemos que tener muy claro que tanto nuestro banco, como otros servicios, nunca nos van a solicitar nuestro nombre de usuario y contraseña mediante correo electrónico, teléfono u otro tipo de forma de comunicación.
Las notificaciones de multas, pago de impuestos y otros temas administrativos, se hacen mediante correo certificado.
La policía, tampoco va a comunicarse con nosotros mediante correo electrónico o ventanas emergentes que aparecen de repente mientras navegamos por internet, exigiéndonos el pago de una multa mediante Bitcoins.
Si hemos cometido un delito telemático, seguramente sufriremos la desagradable y traumática experiencia de ver como revientan la puerta de nuestro domicilio, para confiscarnos el ordenador y todos los medios de almacenamiento externos, con una orden judicial en la mano.
Otra cosa a tener en cuenta es que un dominio de Internet, es un nombre único e irrepetible que se le da a un sitio web para qué las marcas (propietarias de dichas páginas) sean identificadas de manera cómoda y sencilla por los usuarios y sus clientes.
Al considerarse como exclusivo, solo habrá una empresa, compañía, organización o persona con dicho nombre.
Para asegurar esto, existen organizaciones como IANA e ICANN.
En caso de duda, siempre podemos intentar verificar si una página web es quien dice ser, introduciendo su URL en estos servicios.
En phishbank.org, también se puede comprobar si nuestra solución de seguridad bloquea las páginas de phishing.
Se puede detectar un vínculo sospechoso si la dirección de destino no coincide con el contexto del resto del correo electrónico.
Por ejemplo, si recibimos un correo electrónico de Netflix, lo más lógico es que el enlace nos dirija a una dirección que comience con «netflix.com».
Desafortunadamente, muchos correos electrónicos, tanto falsos como legítimos, ocultan la dirección de destino en un botón, por lo que no se puede saber de inmediato a dónde dirige el enlace.
Afortunadamente, es sencillo saberlo:
En caso de haber sido víctima de un fraude de tipo phishing, intenta recopilar toda la información que te sea posible: correos electrónicos, registro de llamadas, documentación enviada, etc.
Para los casos de phishing bancario, contacta con tu oficina para informarles de lo sucedido.
También puedes cancelar la tarjeta de crédito cuyos datos hayas proporcionado, llamar al INCIBE al 017 o informar del posible delito a las unidades tecnológicas de Policía Nacional o Guardia Civil.
Adicionalmente, modifica la contraseña de todos aquellos servicios en los que utilices la misma clave de acceso comprometida.
Emplear la misma contraseña para todos los servicios en línea puede parecer muy cómodo, pero es una pésima idea.
Si un pirata informático se hace con ella, podrá acceder a todas tus cuentas.