Una de las amenazas de ciberseguridad más frecuentes en las pymes es el phishing. El término phishing viene del inglés fishing, que se pronuncia igual, y que significa pescar. En este caso no se pescan peces, sino datos personales como nombres de usuario, contraseñas o datos de cuentas bancarias.
Este incidente tiene dos caras:
- Nosotros o empleados de una organización, podemos recibir un email, una llamada telefónica o un mensaje SMS, que en realidad es un timo, con el que intentarán robarnos los datos personales, es decir, seremos los «pescados»;
- Nuestra web puede ser atacada para suplantar a otra y enviar correos de phishing con los que robar datos personales de clientes de la entidad suplantada, es decir seremos «la caña del pescador».
Es decir, con este nombre se conoce por una parte a la estafa que podemos sufrir, generalmente a través de un mensaje fraudulento de correo electrónico, con el que el ciberdelincuente pretende capturar de forma ilícita nuestros datos personales: como contraseñas de acceso a nuestros sistemas o datos de nuestras cuentas bancarias.
Y también se denomina así al ataque que sufrimos en nuestra web por el que cambian su aspecto para suplantar a una entidad a la que redirigen a los que caen en los mensajes fraudulentos que envían masivamente y que podrían ser enviados desde la página falsa de la entidad suplantada.
El objetivo del PHISHING es robar cuentas, contraseñas y otros datos.
Para prevenir ser víctima de Phishing se recomienda realizar lo siguiente:
- Instalar un antivirus con antiphishing para correo y páginas web, mentenerlo actualizado con las firmas al dìa y activado.
- Actualizar los navegadores de internet, conforme vayan publicandose actualizaciones.
- Permanecer atento para reconocer este tipo de atauqes, si el mensaje demuestra prisa, te dulan o te amenazan, se debe desconfiar.
- Ante la duda de la veracidad de la procedencia, se debe contar por otro medio con el remitente.
- No hacer clic en URL para luego introducir datos, sin ates pasar el raton sobre el enlace para comprobar si el enlace es legítimo.
- Desconfiar de las direcciones URL acortadas, ya que no se puede comprobar si el destino es legítimos o no. Lo sitios oficiales no las utilizaran para solicitar datos.
- Antes de hacer login en una web, se debe comprobar la identidad del sitio, mediante la consulta de datos del certificado del sitio web, en el candado de la barra de navegación. Se debe verificar que usa https://
- Antes de introducir el email, y otros datos sensibles, en una web o en un formulario se debe leer y comprender la polìtica de privacidad y el aviso legal para evitar dar consentimiento a que cedad esos datos a terceros y terminen en manos de ciberdelincuentes.
- Al descargar un fichero no se debe hacer clic en «habilitar contenido» salvo que se confie en la fuente de donde procede.
- Ante la menor sospecha, borrar el mensaje o colgar la llamada.
En cuanto al código .penal Boliviano ,no se cuenta con un artículo aplicable al delito de efectuar phishing.