CLCERT-CN04-014

Evitando ataques de phishing y de ingeniería social

No le entregue información sensible a nadie, a menos que estes seguro de que es quien dice ser, y que es quien debe tener acceso a ella.

¿Qué son los ataques de ingeniería social?

Para lanzar ataques de ingeniería social, un atacante usa interacción humana (habilidades sociales) para obtener información de una organización o sus sistemas computacionales. Un atacante podría parecer respetable e inocente, posiblemente indicando que es un nuevo empleado, una persona del servicio técnico, o un investigador, inclusive puede ofrecer credenciales que avalen su identidad. Así, haciendo preguntas simples, una persona podría recabar suficiente información para infiltrar la red de una organización. Si un atacante no puede obtener información de una fuente, podría contactar a otra persona dentro de la misma organización y usar la información parcial, obtenida de la primera fuente para tratar de acreditar su identidad.

¿Qué son los ataques de phishing?

Phishing es una forma de ingeniería social. Estos ataques usan el correo electrónico o sitios web maliciosos para solicitar información personal, a menudo financiera. Los atacantes envían correos falsificados que aparentemente provienen de compañías de tarjetas de crédito o instituciones financieras, para requerir información de su cuenta personal, a menudo sugiriendo que hubo un problema y que usted debe reingresar sus datos de identificación y su clave de acceso. Cuando los usuarios responden entregando su información, los atacantes pueden usarla para ganar acceso a sus cuentas.

¿Cómo evito ser una víctima?

Sospeche de llamadas telefónicas no solicitadas, visitas o mensajes de correo electrónico de individuos preguntando por información interna de la empresa. Si un desconocido indica pertenecer a una organización legítima, trate de verificar su identidad directamente con la empresa.
No entregue información personal o información acerca de su organización, incluyendo su estructura o redes internas, a menos que usted esté seguro de la autoridad de esa persona para tener esa información.
No revele información personal o financiera en correos electrónicos, y no responda correos que solicitan esa información. Esto incluye correos que indican que debe seguir un link, haciendo click en una dirección.
No envíe información sensible a través de Internet sin antes chequear la seguridad de un sitio web (vea Protegiendo su Privacidad para más información)
Ponga atención a la URL de un sitio web. Los sitios web maliciosos podrían verse igual a los reals, pero la URL que ellos usan debe ser una variación del dominio real (por ejemplo, usando .com en vez de .net, o usando una dirección con números en vez de dominios)
Si usted no está seguro de la legitimidad de un correo electrónico, trate de verificarlo contactando a la empresa que lo envió directamente. No use la información de contacto sugerida en el mismo correo, o en la URL que dicho correo indique, en vez de eso procure llegar a los datos de contacto a través de otra fuente más confiable. La información sobre ataques de phising conocidos esta disponible en línea de grupos tales como el Anti-Phishing Working Group ( http://www.antiphishing.org/phishing_archive.html).
Instale y mantenga software antivirus, cortafuegos, y filtros de correo electrónico para reducir algo de este tráfico (vea Entendiendo los cortafuegos, Entendiendo el software antivirus y ¿Cómo reducir el spam? para más información).

¿Qué debe hacer si piensa que usted es una víctima?

Si usted cree que pudo haber revelado información sensible acerca de su organización, reportelo a través de los canales regulares dentro de su organización, incluyendo al administrador de sistemas. Ellos podrán así estar alertas ante cualquier actividad inusual.
Si usted cree que sus cuentas financieras pueden estar comprometidas, contacte a su institución financiera inmediatamente y cierre las cuentas que pudieran verse afectadas. Verifique cualquier cargo inexplicable en su cuenta.
Considere reportar el ataque a la policía, y si usted reside en Estados Unidos, enviar un reporte a la Federal Trade Commission (http://www.ftc.gov/).

Copyright: Traducción de "Avoiding Social Engineering and Phishing Attacks" , Copyright 2004 de Carnegie Mellon University, con permiso del Software Engineering Institute (SEI).

La fidelidad de la traducción, así como la interpretación del documento original son de responsabilidad del CLCERT. El SEI no ha tenido participación en la traducción.

Traducción: por Eduardo Rodríguez, el 26/03/2005