Todo el mundo piensa que tiene una especie de inmunidad frente al phishing hasta que es demasiado tarde. Algunas de las campañas organizadas cuentan con un nivel de detalle escalofriante, e incluso los usuarios más preparados terminan haciendo clic en el enlace equivocado. La gente de la compañía Jigsaw, actualmente bajo el ala de Google, publicó una prueba en línea para que cualquier interesado pueda comprobar qué tan bueno es detectando un intento de phishing…
Oficialmente conocido como «ataque de suplantación de identidad», el objetivo principal del phishing es obtener información sensible de todo tipo (empezando por usuarios, contraseñas, y datos de tarjetas), con un atacante que se hace pasar por una institución o un servicio de confianza. En esencia, una llamativa combinación de «ingeniería social» y «caballo de Troya» mucho más efectiva de lo que imaginamos, y que está causando millones de dólares al año en pérdidas y daños.
Las principales campañas de phishing se concentran en compañías de alto perfil, «peces gordos» con presupuestos millonarios que transfieren grandes sumas sin demasiados sobresaltos. Sin embargo, eso no significa que los usuarios individuales estén a salvo. El robo de una tarjeta de crédito, una credencial de home banking o una cuenta de PayPal se ubica a un clic de distancia, y la vía de distribución por excelencia es el correo electrónico. En un intento por prevenir y educar a los usuarios, la compañía Jigsaw de Google (previamente Google Ideas) publicó un excelente test de phishing:
Test de phishing: ¿Qué tan bueno eres separando lo falso de lo real?
El primer paso es inventar un nombre y un correo electrónico cualquiera para que la prueba sea un poco más verosímil. Cada uno de los ejercicios presenta diferentes condiciones que el usuario debe analizar de cerca antes de elegir una respuesta. Básicamente, el proceso se reduce a pasar el cursor por los enlaces para comprobar si hay algo mal en ellos. Nombres falsos, trucos con guiones, «ofuscadores» de URL y extracciones basadas en alertas legítimas son algunos de los recursos que utiliza esta prueba.
Los últimos dos o tres ejercicios son un poco más complicados de lo normal, pero no hay límite de tiempo aquí. En más de una ocasión, el usuario sabe exactamente cómo evitar caer en una campaña de phishing, sin embargo, un clic apresurado lo arruina todo. En lo personal, creo que la existencia de esta prueba es muy positiva. Si vamos a cometer un error, es preferible que sea aquí y no en un escenario real, pero si el puntaje no es perfecto, recomendamos tener un poco más de cuidado…
Sitio oficial: Haz clic aquí
En mi caso me llegan correos con tal nivel de sofisticación, que incluso la bandeja me muestra en la conversación los correos legítimos que he recibido del banco, solo se ve la estafa poniendo el puntero sobre los enlaces.
Me preocupa esa gente que no puede escribir en la barra de navegación: youtube.com o facebook.com, sino que necesita buscarlo en google.
Es mas seguro escribir youtube.com o facebook.com en google que escribirlo en la barra de direcciones.
Porque? Simplemente google corregirá cualquier error de tipeo, en cambio al escribirlo en la barra de direcciones, puedes ir a cualquier lado.
Por ejemplo:
Escribe youtuve.com en google
Y escribe youtuve.com en la barra de direcciones.