Phishing: el fraude del siglo XXI

24.12.2016

Desde hace años, los internautas reciben multitud de correos electrónicos con mensajes procedentes de supuestas entidades financieras o compañías comerciales solicitando datos personales para supuestas operaciones legales cuando realmente solo pretenden estafarnos como ha ocurrido ya en miles de casos. Se trata de un anzuelo con el que pretenden pescar a despistados internautas. Sepa como evitar el phishing o fraude del siglo XXI

Básicamente, el phishing lo que pretende es llevar al internauta a una página web falsa donde se hacen con sus datos, sobre todo bancarios.

Existe desde hace años llegando a límites dramáticos por el elevado número de estafas que se han producido. Es un mal informático derivado de lo que se conoce como Ingeniería Social: los atacantes se hacen pasar por una red social, alguna entidad financiera (como decíamos anteriormente) o alguna web de ventas online con la idea de robar las claves de acceso del cliente y otros datos.

Sencillamente, un día ves en tu correo ciertos mensajes que te dicen que te ha tocado un premio muy cuantioso o se hacen pasar por un Banco o entidad financiera instándote a facilitar tus datos bancarios o personales para que puedas recibir el premio que te ha sido concedido. En la actualidad, todavía hay mucha gente que pica el anzuelo. El símil con la pesca no es desacertado porque de hecho, el término "phishing" proviene de la adaptación que los crackers o piratas informáticos (que no hackers) hicieron de fishing (pescar), fraude que existe desde los años 60 aunque entonces se hacía vía telefónica. Todavía se da en bastantes casos a pesar de estar nuestra sociedad tan informatizada (ahora el problema, en el terreno de la telefonía, estaría en los aparatos móviles).

Se han dado muchos casos en los que aparentes avispados clientes de entidades bancarias han picado ya que los correos que recibían procedían de páginas web casi idénticas a las de sus Bancos. En los notificados, se les pedía que actualizaran sus datos o sencillamente los confirmaran y en vez de comprobarlo vía telefónica con su Banco, ya fuera por falta de tiempo, porque en ese momento comunicara su entidad al llamarles por teléfono o simplemente por dejadez, acceden. Les resulta más cómodo emplear tan solo un minuto en introducir sus datos, suficiente para que los estafadores realicen el fraude.

El phishing puede utilizar una web de pago como paypal por lo que debemos tomar todo tipo de medidas. Evidentemente, la web verdadera desconoce esta maniobra, pero es copiada para que el confiado cliente, sin haber realizado las comprobaciones previas, caiga en el engaño.

El phishing redirector utiliza no un solo sitio web que copia sino en ocasiones dos o más sitios webs (o dominios): el "truco" es redirigir al internauta hacia un sitio que está almacenado en un servidor distinto al de la web a la que pretendíamos acceder. El sistema de seguridad que tengamos instalado en nuestro dispositivo debe estudiar el código fuente y mientras detecta y elimina el sitio fraudulento transcurre un tiempo precioso que es el utilizado por el cracker para llevar a cabo el fraude.

El spear phishing es personalizado, recibiendo la víctima un correo dirigido a su nombre y apellido/s, con una dirección electrónica conocida (un correo de algún amigo) para que confíe en el origen del mensaje. En estos casos, jamás contestar sin antes comprobar con el conocido en cuestión si verdaderamente nos ha enviado un correo.

El smishing SMS es otro tipo de phishing, ya comentado pero adaptado a la telefonía móvil: a la víctima se le pide que contacte con un teléfono para coordinar la entrega de un premio que ha recibido o dar algún código o clave para validar dicho premio, que evidentemente es falso. Algunas veces las estafas van más lejos y se atiende las llamadas desde ese número que proporcionan para dar más credibilidad, pidiendo datos de cuentas bancarias donde ingresar el importe del premio, aunque suele pedirse más los números de tarjeta puesto que es más rápido el cobro. Estos mensajes para ponerse en contacto o facilitar datos utilizan hoy en día los servicios de mensajería más populares como son WhatsApp y otros.


Los consejos para evitar el phishing son los siguientes:

  1. No abrir correos en un idioma distinto al suyo a no ser que lo esté esperando de alguien conocido.
  2. No introduzca nunca datos personales o fiscales en páginas web donde se les solicite; antes compruébelo con su entidad, vía telefónica. Si su Banco o entidad le comunica que no le ha enviado ningún correo, ponga enseguida en su conocimiento el mensaje que han recibido.
  3. No abrir tampoco e-mails de entidades o compañías comerciales de las que no seamos clientes. Estas empresas ya tienen su publicidad en Internet en lugares de reconocida solvencia por lo que no necesitan enviarnos correos a nuestras direcciones electrónicas o desde luego podemos saber de sus ofertas navegando por Internet. Cuando recibamos un correo de alguna supuesta empresa a la que no recordamos haber cedido nuestro correo electrónico, simplemente eliminaremos esos mensajes y daremos instrucciones a nuestro antispam para que los filtre.
  4. Toda página web de una entidad bancaria donde su url no comience por https (no confundir con http que es el comienzo normal de toda url; en el caso de entidades financieras o webs de pago, acaba en "s": https) y no se vea un candado amarillo en toda la página, no resulta de fiar por lo que debe ser eliminada de nuestro servidor de correo y ponerse en conocimiento de nuestro Banco que sabrá como proceder.
  5. Desconfiar igualmente de cuantos mensajes alarmistas recibamos que nos insten a responder cuanto antes a sus solicitudes de información. Os aseguro que si una gran compañía o entidad pública tiene que notificar algo urgente lo hará por los cauces adecuados y no enviando millones de e-mails a todos sus clientes.

El candado al que nos referimos en el punto cuatro aparece en el navegador cuando se accede a determinadas webs. Indica que la conexión que hemos establecido está cifrada mediante tecnología SSL, con lo que nadie que tenga acceso a nuestra red podrá ver lo que hacemos, Una entidad reconocida, denominada "autoridad de certificación", da fé de que la empresa u organización detrás de la página web a la que hemos accedido es la que dice ser. Por lo tanto, si vamos a facilitar nuestra tarjeta de crédito procuremos que la web en la que lo hagamos contenga ese candado.