Universitat Jaume I - UJI - Castello

Phishing es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas cibernéticas caracterizado por intentar adquirir información confidencial de forma fraudulenta.

En este momento hay mafias organizadas que utilizan la tecnología informática con fines delictivos. Una de sus actividades es la captura de nombres de usuario y claves de acceso, y una de las formas más efectivas de capturarlas es mediante la técnica del "Phishing". El delincuente parte de direcciones de e-mail disponibles en los sitios Web, o en redes sociales fácilmente penetrables, o en cadenas de "spam" como solicitudes de apoyo para causas aparentemente nobles. Esas direcciones "cosechadas" son el blanco de su actividad.

En el "Phishing", el delincuente envía a las direcciones de e-mail un mensaje que aparentemente procede de una fuente confiable, como podría ser el administrador del sistema, una dependencia gubernamental, un banco, la universidad solicitando códigos de usuario, claves de acceso, y otros datos personales. En algunos casos, se indica un enlace para que el usuario incauto haga click, y deposite su información. Es común amenazar con el cierre de las cuentas, demandas judiciales en curso, multas, períodos de matriculación en caso de no proporcionar la información, y disparates por el estilo.

Una vez que el usuario incauto obedeció el mail de "Phishing", el delincuente utiliza los datos obtenidos, muchas veces de forma inmediata. Uno de los usos más inocentes es el envío de spam utilizando la cuenta del usuario. Este envío provoca que el dominio de origen (p.ej. uji.es en nuestro caso) pase a formar parte de "listas negras", dejando incomunicado al dominio de origen con muchos proveedores importantes de e-mail. También ocasiona retardos considerables en la entrega de nuevos correos a causa de la saturación de los sistemas. En casos peores, el delincuente utiliza la cuenta del usuario para otras acciones: leer su correo, extraer otra información útil para sus propósitos sobre la organización, y realizar otro tipo de ataques informáticos que pueden ser muy perjudiciales. También puede obtener suficiente información como para "robar" la identidad, y actuar en nombre del usuario - realizar compras o utilizar cuentas bancarias. Eventualmente, puede personificar al funcionario incauto, realizando en su nombre acciones que pueden ser muy dañinas para el funcionario y para la organización.

La Universitat Jaume I jamás va a solicitar a sus funcionarios las contraseñas de acceso por correo electrónico, fax, teléfono o cualquier otra vía y por otra parte ninguna organización seria va a solicitar este tipo de datos por e-mail. Por lo tanto, basta con borrar el mensaje de Phishing sin tomar ninguna otra acción. Nunca hay que contestarlo (incluso para protestar), porque se le está informando al criminal que la dirección de envío era válida.

Todos los funcionarios están obligados a conocer, la contraseña es un elemento secreto que no debe ser proporcionado a NADIE, ni dentro ni fuera de la UJI. Esta política institucional es para proteger a la organización y sus funcionarios de acciones y consecuencias como las descritas anteriormente.



Servei d’Informàtica de la Universitat Jaume I

Castellón, 06-06-2011

Data de modificació: 08/06/2011 13:48