El Spam: qué es y cómo enfrentarte a él

Algunas técnicas específicas de spam
Edita: FACUA
Fecha: 2011
Formato: 170 x 240 mm.
Páginas: 48
Inicio > Tecno
Enviar a un amigo Imprimir noticia

Junto a lo que se conoce de forma genérica como spam, con el paso del tiempo se han ido desarrollando técnicas más desarrolladas que por los métodos característicos que siguen y por el importante número de consumidores a los que puede llegar han adoptado nombres específicos.

Spam por ventanas emergentes (Pop ups)

Es el efecto que se produce cuando al estar conectado a Internet emerge un mensaje no solicitado.  Generalmente se trata de un mensaje de carácter publicitario.

Para ello se utiliza una funcionalidad del sistema de explotación Windows, disponible sobre las versiones Windows NT4, 2000,  XP o Windows 7 y que permite a un administrador de redes enviar mensajes a otros puestos de la red. La solución más sencilla para evitar estas ventanas emergentes consiste en desactivar este servicio de Windows. Otro método consiste en utilizar un cortafuegos destinado a filtrar los puertos TCP y UDP (135, 137,138, 139 y 445) del ordenador, pero con esta medida es posible que deje de funcionar la red.   

Hoax

El  hoax es un mensaje de correo electrónico, normalmente distribuido en cadena, que tiene un contenido falso o  engañoso.

Algunos hoax informan sobre la existencia de supuestos virus o contienen fórmulas para ganar millones, o crean cadenas de la suerte. También los hay que contienen mensajes de solidaridad.Los hoax, normalmente, pretenden captar direcciones de correo o saturar la red o los servidores de correo.

Phishing

El phishing es la capacidad de duplicar una web para hacer creer al visitante que se encuentra en la página original en lugar de la copiada. Normalmente se utiliza con fines delictivos, duplicando páginas web de bancos conocidos y enviando indiscriminadamente correos para que se acceda a esta página a actualizar los datos de acceso al banco. En ocasiones, el término phishing se dice que es la contracción de password harvesting fishing (cosecha y pesca de contraseñas), aunque esto probablemente es un acrónimo retroactivo. De forma más general, el nombre de phishing también se aplica al acto de adquirir, de forma fraudulenta y a través de engaño, información personal como contraseñas o detalles de una tarjeta de crédito, haciéndose pasar por alguien digno de confianza con una necesidad verdadera de tal información en un correo-e parecido al oficial, un mensaje instantáneo o cualquier otra forma de comunicación. El término phishing fue creado a mediados de los años 90 por los crackers que procuraban robar las cuentas de America online (AOL). Un atacante se presentaría como empleado de AOL y enviaría un mensaje inmediato a una víctima potencial. El mensaje pediría que la víctima revelara su contraseña, con variadas excusas como la verificación de la cuenta o confirmación de la información de la facturación. Una vez que la víctima entregara la contraseña, el atacante podría tener acceso a la cuenta de la víctima y utilizarla para cualquier otro propósito, tales como el envío de publicidad no solicitada (spamming). En los últimos años, han trascendido intentos de estafas a clientes de distintas entidades bancarias mediante lo que se denomina phishing.

FACUA ha alertado en diferentes ocasiones de este nuevo caso de phishing o estafa bancaria por Internet a clientes de distintas entidades bancarias mediante el envío masivo e indiscriminado de un correo electrónico mediante el que se intentan recabar los datos de los usuarios para acceder a sus cuentas bancarias. En el correo-e aparece como remitente el nombre de la entidad bancaria, con la supuesta dirección de su correo electrónico y especificando el asunto, relacionando con un proceso de notificación. Suele aparecer además una imagen que reproduce el logotipo de la entidad bancaria, y a veces se acompaña de un mensaje que invita a entrar en la página web del banco. En algunos de los fraudes detectados, el texto del correo-e advertía al usuario que la entidad bancaria ha renovado su sistema de seguridad para prevenir las tentativas de estafa, lo que hace necesario, indica, que reactive su cuenta a causa de las correcciones del programa de seguridad.

FACUA advierte a los usuarios que las entidades bancarias no verifican sus datos confidenciales mediante mensajes de correo electrónico, por lo que deben desconfiar de los que reciban aunque reproduzcan a la perfección los logotipos y el resto de señas de identidad de dichas empresas.

Asimismo, FACUA reivindica a la banca que debe mejorar los protocolos de seguridad de sus páginas web para evitar que este tipo de estafas puedan tener éxito. Igualmente se pone de manifiesto la necesidad de que el sector bancario español ponga en marcha campañas de comunicación dirigidas a los usuarios para darles a conocer estas prácticas fraudulentas. Consejos para evitar el phishingEn muchas ocasiones, las empresas dedicadas a enviar phishing, utilizan métodos que son cada vez más sofisticados y cuya última intención es conseguir que el usuario de correo electrónico termine revelando sus claves bancarias o números secretos de acceso a cuentas financieras.

Algunas de las recomendaciones para no caer en el phishing son: 

• No atender correos electrónico escritos en idiomas que no conozcas: la entidad financiera no se dirigirá al usuario en ese idioma si antes no lo ha pactado previamente. 
• No atender correos enviados por entidades de las que el usuario no sea cliente en los que se pidan datos íntimos o que afecten a tu seguridad. 
• No atender sorteos u ofertas económicas de forma inmediata e impulsiva. 
• No atender correos que te avisen del cese de actividades financieras recibidos por primera vez y de forma sorpresiva. 
• No atender correos de los que se sospeche sin confirmarlos telefónica o personalmente con la entidad firmante.

Además, el Centro de Alerta Antivirus cuenta con una página dedicada más ampliamente al Fraude Financiero a través de Internet. Para evitar caer en páginas trampa, es recomendable teclear la dirección del banco online o tenerla guardada en Favoritos. En cualquier caso, hay que evitar acceder a la web de la entidad financiera a través de mensajes de correo electrónico o páginas web de terceros. Una de las formas de identificar una página web segura, que debe ser empleada por los servicios de banca online, es cerciorarse de que la dirección comienza por https, en lugar de http.

Pharming

Al aumento de los intentos de ataques por phishing hay que sumar la aparición de nuevas formas de estafas online. Una de ellas, conocida como pharming, se perfila como una posible amenaza mucho más sofisticada que el phishing. Consiste en alterar las direcciones DNS que utilizan los usuarios para poder navegar por Internet. Así, por ejemplo, en caso de teclear la dirección de su servicio de banca electrónica, llegan hasta una página web que imita la original a la perfección, pero que, en realidad, ha sido confeccionada por un pirata informático que es quien recibe los datos que los usuarios introducen en ella.

Básicamente, consiste en la manipulación de la resolución de nombres en Internet, llevada a cabo por algún código malicioso que se ha introducido en el equipo. Así cuando un usuario teclea una dirección en su navegador, ésta debe ser convertida a una dirección IP numérica.

Este proceso es lo que se llama resolución de nombres, y de ello se encargan los servidores DNS (Domain Name Server). En ellos se almacenan tablas con las direcciones IP de cada nombre de dominio.

A una escala menor, en cada ordenador conectado a Internet hay un fichero en el que se almacena una pequeña tabla con nombres de servidores y direcciones IP, de manera que no haga falta acceder a los DNS para determinados nombres de servidor, o incluso para evitarlo. El pharming consiste por tanto en modificar este sistema de resolución de nombres, de manera que cuando el usuario crea que está accediendo a su banco en Internet, realmente está accediendo a la IP de una página web falsa. El phishing debe su éxito a la ingeniería social, aunque no todos los usuarios caen en estos trucos y su éxito está limitado. Y además, cada intento de phishing se debe dirigir a un único tipo de servicio bancario, por lo que las posibilidades de éxito son muy limitadas. Por el contrario, el pharming puede atacar a un número de usuarios muchísimo mayor. Además, el pharming no se lleva a cabo en un momento concreto, como lo hace el phishing mediante sus envíos, ya que la modificación de DNS queda en un ordenador, a la espera de que el usuario acceda a su servicio bancario. De esta manera, el atacante no debe estar pendiente de un ataque puntual, como hemos mencionado antes. El remedio para esta técnica de fraude pasa también por las soluciones de seguridad.

Tus derechos

Hace tiempo que he solicitado el alta de una línea telefónica, pero aún no me la han instalado. ¿Hay un plazo para que me la den?
Ver respuesta ¿Quieres resolver otras dudas?
Tus derechos

Tu denuncia

Si quieres informar a FACUA de un abuso, envíanos tu denuncia.
Soy socio de FACUA Aún no soy socio
Tu denuncia