¿Cómo evitar el phishing y robo de cuentas?

La recomendación “nunca reveles tu contraseña” no es para nada trivial. Tristemente, miles de personas deciden ignorarla cada año y son víctimas de phishing.

Cada vez es más fácil acceder a productos y servicios a través de internet. Los principales sitios de compra ofrecen apps para hacer que las transacciones sean muy sencillas. Servicios como Netflix, Hulu, Spotify, Deezer, Steam, entre otros, se han vuelto necesidades básicas de la población. Esto es maravilloso para nosotros, los usuarios. ¿Saben para quién más es maravilloso? Para los ladrones.

De acuerdo con el reporte anual de fraude online en América Latina del E-commerce Institute para el 2109, el robo de cuentas ocupó el tercer lugar entre los ataques de fraude más comunes (siendo el más común el phishing) y se estima que para este año, dichos ataques aumentarán. Por eso es que tu clave no es tan trivial.

¿Qué es Phishing?

Consiste en hacerse pasar por una persona o entidad confiable para acceder a los datos personales de otra persona o infectar su computador con un malware, y de esta forma, extraer esa información.

Por ejemplo, tu banco te escribe que debes actualizar tus datos, o tu agencia de viajes te escribe para que tomes una oferta exclusiva, o una persona completamente desconocida te cuenta una historia trágica para solicitar tu ayuda. Un clásico es, “¡Felicitaciones, usted es el usuario número 1’000.000!”

Todas estas formas de fraude, generalmente siguen un mismo patrón: exigen acción inmediata, ofrecen un gran beneficio o una terrible amenaza. 

Whaling - Un Tipo de Phishing

La diferencia del whaling es tiene como objetivo a ejecutivos de muy alto nivel, nivel C o “C Suite”. Se utilizan las mismas tácticas, pero éstas están dirigidas a engañar a peces más gordos. 

Robo de cuenta

Una vez que la víctima cae en el engaño, una de las formas de usar la información es usurpando (haciendo uso indebido) de las cuentas de la víctimas, típicamente, la cuenta bancaria para robar dinero. La información usualmente se obtiene de dos maneras: 1)directamente en el mail o mensaje, o 2) se extrae desde una página en donde la víctima ingenuamente digita la información. En este último caso, una gran señal de alerta es la URL del sitio.

En algunos casos en los que la víctima va hacia una nueva página, el equipo se infecta con un malware. Generalmente un software espía o spyware. Y los antivirus, tristemente, no están a prueba de balas ni del error del propio usuario.

¿Cómo evitar el phishing y que roben mi cuenta?

Volvemos al tema de la clave. 

Una persona tiene en promedio de siete a diez cuentas asociadas a su tarjeta de crédito/débito. Sitios de compra como Amazon y Mercadolibre, de entretenimiento como Netflix y Spotify o de otros servicios como Rappi y Cabify, generalmente exigen el ingreso de usuarios con una cuenta de correo. 

Algo muy común e irresistiblemente conveniente en estos sitios o apps, es registrarse utilizando las cuentas de Facebook o Google. Supongamos entonces, por simplicidad, que todo se resume a una cuenta de correo y una contraseña, ¡Nada que temer! Siempre y cuando la contraseña sea de verdad indescifrable.

Cómo los hackers descifran contraseñas

Supongamos que un criminal quiere robar la información de María Pérez (persona imaginaria). Por su actividad en las redes sociales sabe que no es gerente de un banco, ni es una actriz famosa. Pero conoce su nombre, quizás su fecha de nacimiento y el nombre de sus familiares.

Descifrar una contraseña es un juego de adivinanzas, de tiempo y paciencia. El criminal primero intenta combinaciones del nombre, por ejemplo, MaríaPerez123. Si no funciona, se poner a jugar con la fecha de nacimiento, el nombre del esposo o el hijo, la fecha de su aniversario o sus apodos (laflaca0615, maruji1204). 

Toda esta información está en nuestras redes en bandeja de plata. 

Consejos para una contraseña indescifrable

Si tu contraseña está descrita en algún punto de este artículo, es un buen momento para cambiarla. De lo contrario, ¡Felicitaciones, tus datos están seguros! ¿Quieres asegurarlos aún más? Estos son los tres tips para crear una contraseña a prueba de fraude:

• Piensa en un sustantivo rebuscado 

Piensa en un animal, fruta, plato de comida u objeto. Uno raro, el octavo o décimo que se te venga a la mente, el truco es que no sea obvio. 

• Piensa en un adjetivo y únelo al sustantivo

Ahora piensa en un adjetivo, profesión o nacionalidad pero rebúscala un poco. Ahora juntalos, si no es algo absurdo como “Empanada Saxofonista” o “Armadillo Carismático”, vuelve a empezar. 

• Elige un símbolo

Cuando tengas el resultado de los puntos 1 y 2, elige un símbolo del teclado y ponlo al inicio y al final de tu contraseña. En la mitad puedes poner otro diferente, así: ^empanada*saxofonista^. Ésta ya es una contraseña bastante difícil.

• Bono: Cambia las vocales por números

Pero, ¿por qué parar ahí? Cambiemos las vocales por números. Puedes hacerlo con números del 1 al 5: ^3mp4n4d4*s4x0f0n1st4^ o ^2mp1n1d1*s1x4f4n3st1^ Ahora, cambia las mayúsculas a tu gusto: ^3Mp4N4d4*S4x0f0N1st4^. Mucho mejor.

Nuestra seguridad online es tan susceptible de fraude como la de gobiernos, bancos, millonarios y famosos. Para proteger nuestros datos y evitar que roben nuestras cuentas es muy importante que sean a prueba de personas maliciosas. 

Una contraseña difícil de descifrar es una forma sencilla de tener tranquilidad en internet. Por eso, cámbiala, hazla más fuerte y, en serio, nunca la reveles ni a tus amigos ni a tus compañeros de trabajo. 

En Truora, la empresa que dirijo, trabajamos muy duro por superar las prácticas más avanzadas de criminales (especialmente ladrones de identidad) y utilizamos la mejor tecnología para hacerlo. Sin embargo, si somos descuidados con nuestra información, los ladrones no tendrán que hacer ningún esfuerzo para seguir delinquiendo. 

Entonces les pregunto, ¿se la vamos a poner así de fácil?

*Daniel Bilbao, es Cofundador y CEO de Truora, startup latinoamericana de tecnología que busca prevenir el fraude de la región. Es inversionista ángel, miembro de la junta de Frubana, y embajador de Innpulsa en Silicon Valley.