La técnica criminal que permite entrar a las cuentas bancarias y tarjetas de crédito de otras personas a través de Internet, ya no es un problema de los usuarios finales, sino también de toda la empresa. La instalación de un correcto sistema de seguridad y la creación de políticas internas puede ayudar a combatir a este nuevo enemigo informático.

Phishing es la capacidad de duplicar una página web para hacer creer al visitante que se encuentra en el sitio original en lugar del copiado. Normalmente se utiliza con fines delictivos duplicando sitios web de bancos conocidos y enviando indiscriminadamente correos electrónicos pidiendo a los usuarios que ingresen a actualizar sus datos de acceso.

Pero el phishing no sólo es un problema para quienes tengan una cuenta corriente y la gestionen a través de Internet, sino que afecta en gran medida a las empresas y sus sistemas informáticos, e incluso a sus departamentos financieros, si es que existen cuentas corporativas, que son utilizadas por uno o más empleados.

Para lograr su objetivo, este tipo de malware, además de la ocultación de la URL fraudulenta en un correo electrónico aparentemente real, también utiliza otras técnicas más sofisticadas, como el "Man-in-the-middle", donde el atacante se sitúa entre el usuario y el sitio web real, actuando a modo de proxy, para escuchar toda la comunicación entre ambos.

Otra técnica es el "Cross-Site Scriptin", que permite simular una página segura de una entidad bancaria, sin que el usuario pueda detectar anomalías en la dirección ni en el certificado de seguridad.

El primer consejo para prevenir el phishing en las corporaciones es explorar Internet continuamente en busca de sitios Web falsos y agregarlos a una especie de "lista negra". Sin embargo, por su parte, el Grupo de Trabajo Anti-Phishing, una organización mundial preocupada por el tema, invita a las empresas particulares y a las que manejan centros de datos que, de alguna u otra forma, adopten las denominadas "tres clases de soluciones preventivas de tecnología":

1) Autenticar fuertemente a los usuarios que visiten un sitio Web comercial,

2) Utilizar funcionalidades mejoradas de DNS para verificar la dirección IP del servidor de correo electrónico de un remitente, y

3) Emplear firmas digitales S/MIME para el correo saliente y suministrar verificación de mismas en el Gateway o estación de trabajo de correo electrónico.

En el ámbito empresarial es importante contar con soluciones que se ocupen de los servidores y centros de datos, así como de la salida y entrada de información. En primer lugar, los expertos en seguridad informática recomiendan disponer de una solución antivirus y antiphishing en los gateway del servidor de correo, o sea, en la puerta de comunicación hacia el exterior.

Pueden haber muchas tecnologías y técnicas informáticas para atacar o evitar el phishing en las empresas, sin embargo, lo mejor para no sufrir sus inconvenientes, especialmente en un ambiente corporativo, dice relación con las políticas de seguridad.