El pishing es una modalidad de robo de datos personales que suele requerir la participación activa de la víctima en el delito. Es una trampa conocida, que según Wikipedia se menciona en medios especializados en hacking (alt.2600 y 260 Magazine) desde 1996.
Frente a ello, la legislación sobre nuevas tecnologías y las leyes de protección de datos han impuesto penas y buscan frenar los delitos informáticos. Pero el pishing se mantiene vigente pese a su edad. El Instituto Nacional de Ciberseguridad de España (Incibe) alertó en diciembre de 2016 sobre una nueva modalidad, centrada en dispositivos Apple.
¿Qué hay de nuevo en el phising o pesca de datos personales y, generalmente, bancarios? El instituto reconoce que la mayoría de los navegadores para PC advierten al usuario que intenta acceder a una página fraudulenta, pero indica que en dispositivos móviles, algunos no lo hacen.
Así, el usuario puede caer en la trampa del delincuente introduciendo contraseñas, claves bancarias o alguna otra información personal importante en la página falsa de Apple.
Se trata de un caso reciente, pero las nuevas tecnologías plantean constantes retos a las autoridades, a las empresas y a los usuarios particulares. Una recomendación básica en consultoría de protección de datos consiste en una correcta gestión de contraseñas.
Prevención y respuesta
Las mejores prácticas para contraseñas incluyen no usar números o palabras que se identifiquen fácilmente con el usuario, blindarlas a través del uso alternativo de minúsculas, mayúsculas, números y símbolos. También cambiarlas con frecuencia y no repetirlas, evitar interconectar todas las redes y plataformas en los dispositivos, e incluso generarlas en programas automáticos.
Por su parte, las autoridades han aprobado y renovado instrumentos para combatir los delitos informáticos, incluyendo la Ley Orgánica de Protección de Datos (LOPD) y la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE), como parte del Derecho de las Nuevas Tecnologías. Éstas penalizan la captura y uso irregular de los datos personales.
Pese a la protección, es conveniente mantenerse informado sobre los delitos informáticos. Se recomienda buscar consultoría empresarial para protección de datos, y revisar la información de organismos del Estado, como la Oficina de Seguridad Informática y el Incibe.
Después del ataque
La víctima debe seguir algunas recomendaciones en caso de que la prevención no resulte suficiente. Debe comenzar por cambiar las contraseñas afectadas en la página real de la empresa, así como notificar al banco afectado el ataque a su cuenta para frenar cualquier movimiento inusual de dinero, si se trata de un caso económico.
Es importante también denunciar el delito ante las autoridades.
Finalmente, se debe renovar el ciclo de seguridad preventiva. La recomendación más reciente es utilizar gestores de contraseñas. A la abundancia de las claves de seguridad (los bancos, tarjetas, redes sociales, plataformas) puede responderse con un programa que cifra y almacena las contraseñas en un dispositivo. Puede combinarse con configuraciones o aplicaciones que permitan el borrado remoto de información del dispositivo.
La vida digital sustentada en la tecnología presenta riesgos equiparables a la vida real. Y la protección es una responsabilidad compartida entre las autoridades, que desarrollan y se apoyan en las leyes, y el usuario.