¿Qué es el phishing o suplantación de identidad (envío de correos electrónicos o SMS fraudulentos) y cuál es su objetivo?
Los esquemas del phishing se caracterizan por la práctica de enviar correos electrónicos o SMS, que, fingiendo proceder de una determinada entidad u organización (por lo general son copias fieles) contienen mensajes engañosos con el fin de conducir al usuario a revelar información confidencial - por ejemplo, el nombre de usuario y la contraseña para acceder a webs seguras como banca a domicilio, números de tarjetas de crédito, etc. - o instalar inadvertidamente software malicioso (malware) que podría permitir el control remoto de su equipo.
¿Qué puedo hacer para distinguir este tipo de mensajes y para evitar las consecuencias?
La manera de protegerse contra estos ataques es seguir las reglas comunes para un uso seguro de Internet que son:
> Nunca envíe información personal que se le solicite por correo electrónico o SMS como: número de tarjeta de crédito, nombre de usuario, contraseña u otra información privada. EDP nunca le solicitará este tipo de información por este medio de comunicación;
> Ignore los enlaces de correo electrónico o SMS sospechosos. En caso de que desee acceder, introduzca directamente en el navegador la dirección de la entidad mencionada en el mensaje y navegue desde ahí;
> en caso de duda contacte con la entidad para confirmar la veracidad del correo electrónico o SMS, pero no use nunca los contactos indicados. Hágalo de la manera en que lo hace habitualmente;
>Asegúrese de actualizar el software que usa en su ordenador, incluyendo el navegador y el software de seguridad como antivirus y cortafuegos;
> Instale una barra de herramientas en su navegador. NetCraft ofrece una que proporciona información diversa sobre la web a la que esté accediendo: la ubicación geográfica del servidor que aloja la web, la entidad responsable de la web y la primera vez que la dirección fue detectada por NetCraft.
¿Dónde se obtienen las direcciones de correo electrónico para enviar este tipo de mensaje?
Las direcciones de correo electrónico o los números de teléfonos móviles utilizados para enviar correos electrónicos de phishing en nombre de EDP no se obtuvieron a partir de ninguna base de datos de EDP. La información se recoge habitualmente a través de listas de contactos del usuario cuyo equipo, conectado a internet, es infectado con malware, propagando la estafa del phishing.
¿Qué ha de hacer quien se quedó atrapado en la estafa del phishing?
En caso de que un usuario haya hecho clic en el enlace enviado con el mensaje fraudulento y el archivo adjunto se haya ejecutado deberá:
> buscar asistencia técnica especializada, indicando que instaló el malware y sufrió un ataque de phishing (mostrar el e-mail o el SMS). Hay algunas indicaciones técnicas de limpieza de las máquinas infectadas. Recomendamos que se lleven a cabo por parte de usuarios con experiencia, ya que incluyen la ejecución de algunos comandos que, si se ejecutan de forma incorrecta, pueden dejar los equipos inservibles y no resuelven el problema por completo. Por otra parte, el abuso informático de la suplantación de identidad (phishing) realizado en nombre de EDP utiliza algunas variantes de malware, que pueden tener diferentes características específicas para su limpieza;
> proceder a cambiar las contraseñas de los accesos más sensibles (por ejemplo, cambiar los códigos de acceso para la banca online), no utilizando para ello ningún equipo o equipos que puedan haber sido afectados, y que no se haya comprobado que esté "limpio".
¿EDP puede hacer algo para mitigar los efectos de los ataques de phishing que sufrió?
A pesar de ser totalmente ajeno a esquemas de phishing, EDP puede realizar y ha realizado acciones con el fin de mitigar las consecuencias de estos ataques de phishing, en particular:
> tal y como lo hacen todas las entidades que contribuyen con el esfuerzo para la mejora de la seguridad cibernética nacional, enviar avisos de alerta e información relevante a través de los medios que estén a su disposición;
> cada vez que se detecte una nueva web que aloje un malware, avisar al administrador de esta web del hecho de que está siendo utilizada de forma inadecuada, debiéndose tomar las medidas correctivas de las vulnerabilidades existentes;
> Enviar a su proveedor de antivirus el software malicioso utilizado en el esquema de phishing, de manera que puedan ser analizados y se desarrollen mecanismos de resolución de problemas, que luego se a los usuarios a través de actualizaciones frecuentes de antivirus. Esta acción no resuelve la situación de las máquinas ya infectadas, pero ayuda a prevenir nuevas infecciones.
¿La factura electrónica EDP es segura?
La factura electrónica es el método más eficaz para respetar la privacidad y la seguridad de la información del cliente. La consulta de la factura está protegida por fuertes controles de seguridad que regulan el servicio de la factura electrónica, disponible para su visualización o impresión a través del área reservada del cliente. Los casos de suplantación de identidad (phishing) que implicaran el nombre de EDP, no alteran el nivel de seguridad del uso de la factura electrónica.