Cómo ayuda Office a protegerse de las tramas de suplantación de identidad

Mostrar todo

Ocultar todo

En este artículo se explica qué es la suplantación de identidad e incluye sugerencias sobre cómo identificar tramas de suplantación de identidad y seguir prácticas recomendadas para evitar convertirse en víctima de un fraude en línea. Este artículo describe también cómo ayuda 2007 Microsoft Office System a protegerse de tramas de suplantación de identidad.

• ¿Qué es la suplantación de identidad?
• Ejemplos y características de las tramas de suplantación de identidad
• ¿Cómo puede ayudarme Office a protegerme de tramas de suplantación de identidad?
• Prácticas recomendadas para protegerse de fraudes en línea
• ¿Cómo informo de fraudes en línea y robos de identidad?

¿Qué es la suplantación de identidad?

La suplantación de identidad (en inglés "phishing", que se pronuncia de forma parecida a "fishing", "pesca") es una técnica de fraude en línea utilizada por delincuentes para hacer que revele información personal.

Se utilizan muchas tácticas de engaño diferentes, incluidos el correo electrónico y los sitios Web que imitan marcas conocidas y de confianza. Una práctica común de suplantación de identidad es el uso de mensajes malintencionados, manipulados para que parezca que proceden de una empresa o un sitio Web conocido como un banco, una empresa de tarjetas de crédito, una organización de caridad o un sitio de comercio electrónico. El propósito de estos mensajes malintencionados es engañar al usuario para que proporcione información personalmente identificable (PII) (información de identificación personal (PII): cualquier información que se pueda utilizar para identificar a una persona, por ejemplo, su nombre, dirección, dirección de correo electrónico, número de documento de identidad, dirección IP o un identificador único asociado con PII en otro programa.), como la siguiente:

• Nombre y nombre de usuario
• Dirección y número de teléfono
• Contraseña o PIN
• Número de cuenta bancaria
• Número de cajero automático/débito o tarjeta de crédito
• Código de validación de tarjeta (CVC) (código de validación de tarjeta: código que utilizan las compañías de tarjetas de crédito para autorizar cargos en sus tarjetas. Por ejemplo, American Express utiliza un número de cuatro dígitos indicado en el anverso de la tarjeta, mientras que Visa, MasterCard y Discover emplean un número de tres dígitos especificado en el reverso.) de crédito o valor de verificación de tarjeta (CVV)
• Número de la seguridad social (SSN)

Esta información se utiliza de muchas formas para obtener beneficios financieros. Por ejemplo, una práctica común es el robo de identidad en el que el ladrón le roba su información personal, adopta su identidad y puede emprender las siguientes acciones:

• Solicitar y obtener un crédito en su nombre.
• Dejar a cero su cuenta bancaria y cargar gastos hasta llegar al límite de sus tarjetas de crédito.
• Transferir dinero desde la cuenta de inversión o las de línea de crédito a la cuenta corriente y, a continuación, usar una copia de la tarjeta de crédito para retirar dinero en efectivo de la cuenta corriente y de cajeros automáticos (ATM) de todo el mundo.

Para ver sugerencias sobre cómo evitar ser víctima de un fraude en línea, vea la sección Prácticas recomendadas para protegerse de fraudes en línea, más adelante en este artículo.

Volver al principio

Ejemplos y características de las tramas de suplantación de identidad

Éstos son algunos ejemplos de tramas de suplantación de identidad:

• Mensajes de correo electrónico falsos     El mensaje parece proceder de una empresa con la que trabaja y le avisa de que debe comprobar la información de la cuenta y de que si no recibe la información, suspenderán los pagos realizados desde la cuenta.
• Una combinación de fraude en subastas y falsos sitios de pago     Esto ocurre cuando se ponen artículos en venta en una subasta en línea legítima para incitarle a hacer pagos en un sitio de pago falso.
• Falsas transacciones de venta en línea     Un delincuente se ofrece a comprarle algo y le propone pagarle una cantidad superior al precio del artículo que va a comprar. A cambio, le pide que le envíe un cheque por la diferencia. Usted no recibe el pago, pero su cheque se cobra y el ladrón se queda con la diferencia. Además, el cheque que envía contiene el número de cuenta, el código de identidad bancaria, la dirección y el número de teléfono, que el delincuente puede continuar usando para apropiarse de su dinero.
• Falsas entidades de caridad     Este tipo de trama de suplantación de identidad aparenta ser una entidad de caridad y pide donaciones directas en metálico. Por desgracia, mucha gente desea aprovecharse de su generosidad.
• Sitios Web falsos     Es posible crear sitios Web similares a sitios legítimos. Cuando los visite sin saberlo, estos sitios pueden descargar automáticamente software malintencionado, como virus (virus: programa o macro que "infecta" archivos de un equipo mediante la inserción de copias de sí mismo en ellos. Cuando el archivo infectado se carga en memoria, el virus puede infectar a otros archivos. Los virus suelen tener efectos secundarios muy dañinos.) o spyware. El spyware puede grabar la secuencia de teclas que presione para iniciar sesión en cuentas personales en línea. Esa información se devuelve al suplantador. Puede protegerse frente a este tipo de ataque en particular descargando e instalando software anti spyware, como el software anti spyware de Microsoft.

Hay muchas más tramas de suplantación de identidad actualmente. Para ver un informe actualizado de las tramas de suplantación de identidad descubiertas por las autoridades, visite el sitio Web de Anti-Phishing Working Group.

Características típicas de una trama de suplantación de identidad

Por desgracia, a medida que los ataques de suplantación de identidad se perfeccionan más, es muy difícil para una persona distinguir si un mensaje de correo electrónico o un sitio Web es fraudulento. Éste es el motivo por el que las tramas de suplantación de identidad son tan frecuentes y beneficiosas para los criminales. Por ejemplo, muchos mensajes de correo electrónico y sitios Web establecen vínculos con logotipos reales de empresas de marcas conocidas, para parecer legítimos. A continuación, se describe lo que puede hacer para protegerse:

• Peticiones de información personal en mensajes de correo electrónico     Las mayoría de las empresas legítimas tienen como política no pedir información personal a través del correo electrónico. Debe sospechar de los mensajes que pidan información personal, aunque parezcan legítimos.
• Términos que denotan urgencia     El tono del lenguaje de los mensajes de correo electrónico de suplantación de identidad suele ser cortés y servicial. Casi siempre intentan que responda al mensaje o que haga clic en el vínculo incluido en él. Para aumentar el número de respuestas, intentan crear una sensación de urgencia para que responda inmediatamente sin pensar. Habitualmente, los mensajes de correo electrónico malintencionados no están personalizados, mientras que los mensajes válidos procedentes de los bancos y empresas de comercio electrónico, sí suelen estarlo. El ejemplo siguiente corresponde a un caso real de suplantación:

Estimado y apreciado cliente de nuestro banco, nos han informado de la necesidad de actualizar la información de su cuenta bancaria debido a informes de inactividad, fraudes y falsificaciones. Si no actualiza sus registros procederemos a eliminar la cuenta. Siga los pasos del vínculo que se encuentra más abajo para confirmar sus datos.

• Datos adjuntos     Muchas tramas de suplantación de identidad piden que se abran datos adjuntos, que pueden infectar el equipo con un virus (virus: programa o macro que "infecta" archivos de un equipo mediante la inserción de copias de sí mismo en ellos. Cuando el archivo infectado se carga en memoria, el virus puede infectar a otros archivos. Los virus suelen tener efectos secundarios muy dañinos.) o spyware. Si se descarga spyware en el equipo, puede que grabe la secuencia de teclas que presione para iniciar sesión en sus cuentas personales en línea. Debe guardar primero los datos adjuntos que desee ver y, a continuación, explorarlos con un programa antivirus actualizado antes de abrirlos. Para ayudarle a proteger el equipo, Outlook bloquea automáticamente algunos tipos de archivos adjuntos que pueden propagar virus. Si Outlook detecta un mensaje sospechoso, se bloquean los archivos adjuntos que contenga del tipo que sean. Para obtener más información, vea Cómo ayuda Outlook a protegerse de virus, correo electrónico no deseado y suplantación de identidad.
• Vínculos falsos     Los creadores de los mensajes de suplantación de identidad tienen la técnica de creación de vínculos de apariencia engañosa tan perfeccionada que no es posible, para una persona normal, distinguir si un vínculo es o no legítimo. Siempre es mejor escribir en el explorador la dirección Web o la dirección URL (Localizador uniforme de recursos (URL): dirección que especifica un protocolo (como HTTP o FTP) y la ubicación de un objeto, documento, página World Wide Web u otro destino en Internet o una intranet, por ejemplo: http://www.microsoft.com/.) que se sabe que es la correcta. Además, puede guardar esta dirección en los Favoritos del explorador. No copie ni pegue direcciones URL de un mensaje en el explorador. Éstas son algunas técnicas que han utilizado los delincuentes para falsificar vínculos:
• Máscaras de vínculos     Aunque el vínculo en el que se le apremia a hacer clic pueda contener parte o todo el nombre de una empresa real, el vínculo puede estar "enmascarado". Es decir, el vínculo que se ve no lleva a esa dirección sino a otra diferente, habitualmente a un sitio Web falsificado. Observe en este ejemplo que, si deja el puntero sobre el vínculo en un mensaje de Outlook, se revela otra dirección numérica de Internet en el cuadro de fondo amarillo. Esto debe hacerle sospechar. Tenga en cuenta que incluso el vínculo del cuadro de fondo amarillo puede falsificarse para que parezca una dirección Web de confianza.

Además, tenga cuidado con las direcciones URL que incluyen el signo @. En el ejemplo https://www.woodgrovebank.com@nl.tv/secure_verification.aspx, la dirección URL llevaría a la ubicación que va a continuación del signo @, no al Wood Grove Bank. Esto se debe a que los exploradores pasan por alto todo lo que vaya antes del signo @ en una dirección URL.

Es muy probable que la ubicación real, nl.tv/secure_verification.aspx, no sea un sitio seguro.

• Homógrafos     Un homógrafo es una palabra que se escribe igual a otra pero con un significado diferente. En informática, un ataque homógrafo es una dirección Web que se parece a una dirección Web conocida pero que, en realidad, está modificada. El propósito de los vínculos Web suplantados que se utilizan en las tramas de suplantación de identidad es engañar al usuario para que haga clic en el vínculo. Por ejemplo, www.microsoft.com podría aparecer como:

www.micosoft.com

www.mircosoft.com

En los ataques homógrafos más perfeccionados, la dirección Web es exactamente igual a la de un sitio Web legítimo. Esto ocurre cuando el nombre del dominio (nombre de dominio: dirección de una ubicación de red que identifica su propietario con este formato específico: servidor.organización.tipo. Por ejemplo, www.whitehouse.gov identifica el servidor Web de la Casa Blanca, que es parte del gobierno de Estados Unidos.) se crea usando caracteres alfabéticos de diferentes idiomas, no sólo del inglés. Por ejemplo, la siguiente dirección Web parece legítima, pero lo que no se ve es que la "i" es un carácter cirílico del alfabeto ruso:

www.microsoft.com

Los suplantadores de identidad suplantan el nombre de dominio de bancos y de otras empresas para engañar a los consumidores y hacerles pensar que están visitando un sitio Web conocido. Se necesita software especial para detectar este tipo de nombres de dominio de sitio suplantado en las direcciones Web. Vea la siguiente sección para obtener más información sobre cómo ayuda Versión de Office 2007 a protegerse de los vínculos que intentan conducirle a sitios Web sospechosos.

Volver al principio

¿Cómo puede ayudarme Office a protegerme de ataques homógrafos y de suplantación de identidad?

Vínculos sospechosos en documentos

De forma predeterminada, Versión de Office 2007 muestra alertas de seguridad en las situaciones siguientes:

• Cuando se tiene un documento abierto y se hace clic en un vínculo a un sitio Web con una dirección que tiene un nombre de dominio posiblemente falso.
• Cuando se abre un archivo desde un sitio Web cuya dirección tiene un nombre de dominio posiblemente falso.

La alerta siguiente aparece cuando se hace clic en un vínculo a un sitio Web que utiliza un nombre de dominio posiblemente falso.

Puede elegir si desea continuar visitando el sitio Web. En esta situación, se recomienda hacer clic en No. Esta funcionalidad ayuda a protegerse frente a los ataques homógrafos. Para obtener más información, vea Habilitar o deshabilitar advertencias sobre vínculos y archivos procedentes de sitios Web sospechosos.

Vínculos sospechosos en mensajes de correo electrónico

De forma predeterminada, Microsoft Office Outlook 2007 sigue estos procedimientos con los mensajes sospechosos:

• Si el filtro de correo electrónico no deseado no considera que un mensaje sea correo no deseado pero sí lo considera de suplantación de identidad, el mensaje permanece en la Bandeja de entrada, pero se deshabilitan los vínculos del mensaje y no es posible usar las funcionalidades de Responder y Responder a todos.
• Si el filtro de correo electrónico no deseado considera que el mensaje es tanto correo no deseado como de suplantación de identidad, el mensaje se envía automáticamente a la carpeta Correo electrónico no deseado. Los mensajes enviados a esta carpeta se convierten en texto sin formato y se deshabilitan los vínculos. También se deshabilita las funcionalidades Responder y Responder a todos. La Barra de información alerta de este cambio en la funcionalidad.

Si hace clic en un vínculo deshabilitado de un mensaje de suplantación de identidad, aparece el siguiente cuadro de diálogo de Seguridad de Outlook.

Si desea continuar recibiendo alertas sobre posibles riesgos de seguridad, haga clic en Aceptar. De lo contrario, active la casilla de verificación No volver a mostrar este cuadro de diálogo.

Para obtener más información, vea Habilitar o deshabilitar vínculos y funcionalidad en mensajes de suplantación de identidad.

Volver al principio

Prácticas recomendadas para protegerse de fraudes en línea

• Nunca responda a mensajes que le pidan información personal     No confíe nunca en ningún mensaje de correo electrónico procedente de empresas o personas que le pidan información personal o que le envíe información personal y le pida que la actualice o la confirme. En su lugar, utilice el número de teléfono de algún recibo para llamar a la empresa. No llame a ningún número que aparezca en el mensaje de correo electrónico. De forma similar, nunca proporcione información personal a nadie que le llame sin que usted lo haya solicitado.  
• No haga clic en los vínculos de mensajes sospechosos     No haga clic en ningún vínculo que aparezca en un mensaje sospechoso. Es posible que el vínculo no sea de confianza. En su lugar, visite los sitios Web escribiendo su dirección URL en el explorador o usando el vínculo Favoritos. No copie vínculos de los mensajes ni los pegue en el explorador.
• No envíe información personal en mensaje de correo electrónico normales     Los mensajes de correo electrónico normales no se cifran y se envían de forma similar a las postales. Si debe usar mensajes de correo electrónico para transacciones personales, utilice Outlook para firmar digitalmente y cifrar mensajes mediante la seguridad S/MIME. MSN, Microsoft Hotmail, Microsoft Outlook Express, Microsoft Office Outlook Web Access, Lotus Notes, Netscape y Eudora son todos compatibles con la seguridad S/MIME.
• Mantenga relaciones comerciales sólo con empresas que conozca y en las que confíe     Póngase en contacto sólo con empresas conocidas, establecidas y con reputación de proporcionar servicios de calidad. Un sitio Web comercial debe tener siempre una declaración de privacidad que afirme específicamente que la empresa no cederá su nombre ni su información a terceros.
• Asegúrese de que el sitio Web utilice cifrado     La dirección Web debe ir precedida por https:// en lugar del habitual http:// en la barra Dirección del explorador. Además, haga doble clic en el icono de candado de la barra de estado del explorador para mostrar el certificado digital del sitio. El nombre que sigue a Emitido para del certificado debe coincidir con el sitio en el que piensa que está. Si sospecha que un sitio Web no es lo que debe ser, abandónelo inmediatamente e informe de ello. No siga ninguna de las instrucciones que contenga.
• Ayude a proteger su PC     Es importante que utilice un firewall, que mantenga el equipo actualizado y que utilice software antivirus, especialmente si se conecta a Internet mediante un módem por cable o un módem de línea de suscriptor digital (DSL). Para obtener información sobre cómo hacerlo, visite Proteger su PC. Para obtener información adicional sobre la protección frente a virus, vea Procedimientos recomendados para la protección frente a virus y Procedimientos recomendados para evitar el correo electrónico no deseado. También se recomienda que considere el uso de software anti spyware. Puede descargar este software de Microsoft o utilizar un producto de otros fabricantes que esté disponible en el sitio de descargas y versiones de prueba de software de seguridad.
• Supervise las transacciones     Revise las confirmaciones de pedidos y los extractos de sus tarjetas de crédito y sus cuentas bancarias en cuanto los reciba, para asegurarse de que sólo se le están cargando las transacciones realizadas. Informe inmediatamente de cualquier irregularidad en sus cuentas marcando el número que se muestra en el extracto bancario. Si utiliza una única tarjeta para las compras en línea le será más fácil hacer un seguimiento de las transacciones.
• Utilice tarjetas de crédito para las transacciones de Internet     En la mayor parte del mundo, la responsabilidad personal en caso de que alguien ponga en peligro su tarjeta de crédito es muy limitada. Por el contrario, si usa el débito directo desde su cuenta bancaria o desde una tarjeta de débito, su responsabilidad personal será normalmente por el saldo completo de la cuenta bancaria. Además, para el uso en Internet es preferible la tarjeta de crédito que tenga el menor límite de crédito, porque así se limita la cantidad de dinero que el ladrón puede robar si obtiene los datos de la tarjeta. Mejor aún, varios de los principales emisores de tarjetas de crédito ofrecen ahora a los clientes la opción de comprar en línea con números de tarjeta de crédito virtuales, de un solo uso, que caducan al cabo de uno o dos meses. Para obtener información más detallada, pregunte a su banco sobre números de tarjeta de crédito virtuales con fecha de caducidad.

Si necesita más sugerencias sobre seguridad en las compras y el uso de la banca en línea, visite el sitio Web Fraude en línea.

Volver al principio

¿Cómo informo de fraudes en línea y robos de identidad?

Si cree que recibió un mensaje de correo electrónico fraudulento, puede informar del problema y adjuntar el mensaje sospechoso. Al informar a las autoridades de los mensajes sospechosos, colabora en el trabajo de combatir las tramas de suplantación de identidad.

1. En Outlook, seleccione, pero no abra, el mensaje del que desea informar.
2. En el menú Acciones, haga clic en Reenviar como datos adjuntos o presione CTRL+ALT+F.
3. En la línea Para, escriba la dirección de correo electrónico de la empresa a la que está informando del mensaje de suplantación de identidad. Algunas direcciones de correo electrónico que puede utilizar para informar de correo sospechoso son:
• reportphishing@antiphishing.org va a Anti-Phishing Working Group, una asociación del sector.
• spam@uce.gov va a la Comisión de Comercio Federal (FTC).
• abuse@msn.com va a MSN.
• abuse@microsoft.com va a Microsoft.
4. Haga clic en Enviar.

Volver al principio