Lamentablemente está muy de moda esto y algunos usuarios siguen “pisando el palito”, de lo contrario mermaría hasta desaparecer. El término “Phishing” proviene de la palabra en inglés “fishing” (pescando) y es la contracción de “password harvesting fishing” (cosecha y pesca de contraseñas). Al que emplea este método se lo denomina “phisher” (pescador de contraseñas).

El Phishing no es ni un virus, ni un malware, ni spaware, ni keylogger; es un método de “ingeniería social” para obtener datos privados, principalmente de cuentas bancarias, a través de un señuelo.
El estafador (phisher) armado de una buena base de datos con direcciones de correo electrónico, envía un mail titulado, por ejemplo, “*** Bank Of America Important Notice ***” y el mensaje, en inglés, lo alerta a seguir una serie de instrucciones que siempre conducen a que el usuario haga clic en una dirección como ser por ejemplo: “htp://www.progressiveinternetworks.com/verify/ssl_encrypt218bit/” o “http://77.181.39.183/bankofamerica/sslencrypt218bit/online_banking/” ; esto es el señuelo, si se accede a esos sitios e ingresa los datos que le son requeridos, habrá cometido un grave error que le dolerá directamente en el bolsillo, o mejor dicho, en su cuenta bancaria.

Cómo detectarlo: lo primero que hay que tener en cuenta es que ningún banco bajo ninguna circunstancia le enviará un mail pidiéndole que actualice sus datos ni que confirme los datos. Hay bancos que cada 6 meses le pedirán que cambie su contraseña, pero se lo pedirá una vez que usted ingresó en el website del banco y nunca por e-mail.
También algo obvio es que si tiene cuenta en un banco de Argentina no tiene por qué llegarle un mail del mismo banco pero en inglés. Tampoco es coherente que la dirección desde la cual le enviaron el mail sea por ejemplo update@yahoo.com ! esa dirección de envío es el disfraz, en este caso poco original y nada convincente; mejor. Otra forma de detectarlo es simplemente observando que nunca mencionan su nombre ni mucho menos su apellido, suele empezar el correo diciendo “Estimado Cliente”, “Dear Customer” o “Customer ID : 000-2232-6231386-PTS”; pensemos, si es un mail de nuestro banco, ya sea argentino o extranjero, se dirigirían a nosotros por nuestro nombre y apellido.

Ahora bien, sabiendo que ningún banco pide a sus usuarios actualizar datos vía Internet, cómo es posible el éxito del Phishing? Porque hay mucha gente desinformada y eso se paga; además existen varios métodos de Phishing, el más exitoso es aquel que utiliza contra la víctima el propio código de programa del banco o servicio por el cual se hace pasar y dirige al usuario a iniciar sesión en la propia página del banco o servicio, donde la URL y los certificados de seguridad parecen correctos. En este método de ataque (conocido como Cross Site Scripting) los usuarios reciben un mensaje diciendo que tienen que “verificar” sus cuentas, seguido por un enlace que parece la página web auténtica; en realidad, el enlace está modificado para realizar este ataque, además es muy difícil de detectar si no se tienen los conocimientos necesarios.

Por suerte servidores de correo como gmail.com detectan la mayoría de estos mails y nos lo advierten. También hace lo propio el cliente de correo Thunderbird cuando detecta un mail sospechoso de Phishing nos advierte “Es posible que este mensaje no haya sido enviado por la persona que aparece como remitente. Te aconsejamos que no hagas clic en ningún vínculo ni facilites información personal a dicho remitente.”.

Repito, la mejor y más sencilla defensa es ignorar (y si es posible reportar) aquellos mails que nos piden que ingresemos a un sitio para actualizar información, aún si usted posee una cuenta en el exterior, también debe ignorarlo, ninguna entidad bancaria ni servicio le pedirá que realice esta acción mediante un mail con un link.