Publicado en el número 39 de Ávila Digital, en Octubre de 2006


Gracias a la banca electrónica podemos operar con nuestra caja o banco sin salir de casa. Sin tener que esperar largas colas y durante las veinticuatro horas del día los siete días de la semana. Sin embargo, el auge de este tipo de banca, ha traído asociada la aparición de un nuevo tipo de estafadores. Son una especie de pescadores de lo ajeno. Lanzan su anzuelo en forma de falsos correos electrónicos, y esperan que alguno de los millones de usuarios que navegan por la red se traguen el anzuelo y accedan a sus maléficas páginas web. De esta comparación parece que ha surgido el nombrecito (phising -> fishing -> pescar).

Cómo funciona
En la mayoría de los casos, una estafa mediante phising se desarrolla siguiendo el siguiente patrón:

  1. El estafador genera un email en el que se invita al receptor de dicho correo a acceder a su servicio de banca por internet. El formato de estos emails puede ser más o menos elaborado: mientras que algunos siguen perfectamente los diseños corporativos de la entidad a atacar, otros son meros textos (incluso con errores ortográficos) con un simple logotipo. Este email se envía indiscriminadamente. Es decir, puede que usted reciba correos de este tipo, que aparentemente proceden de un banco en el que ni siquiera tiene una cuenta corriente. El elemento común de todos estos correos es que contienen enlaces a sitios que fingen ser los correctos. La mayoría de las veces, en vez de apuntar a la dirección correcta, apuntan a una dirección muy parecida.
  2. EL usuario pica. Es decir, sigue el enlace y accede a la web del estafador, creyendo entrar en la de su banco. Esta web será gráficamente muy parecida a la oficial. En dicha página, al igual que en la real, se le solicitarán los datos personales utilizados habitualmente para acceder a su información bancaria (un nombre de usuario y una contraseña). Una vez que el confiado usuario introduce los datos, estos ya obran en poder del estafador.
  3. El estafador suplanta al usuario, utilizando los datos personales que acaba de obtener. Al acceder a su servicio de banca por internet, el estafador puede contemplar la información contenida en ella. Es decir, movimientos, números de tarjetas, compras efectuadas, recibos pagados... Y lo que es peor, puede efectuar varias operaciones: transferencias, recarga de móviles... En fin, que el usuario engañado, pierda una buena cantidad de euros.

Cómo evitarlo
Como norma general, el mejor método de protección frente a esta estafa es nunca hacer clic sobre un enlace que haya recibido por email. Ningún banco solicita a sus clientes sus datos mediante correos electrónicos.
Además, casi todos los antivirus existentes en el mercado disponen de herramientas anti-phising, que son capaces de detectar estos correos fraudulentos y avisar al usuario.

Ejemplo de email maligno

Además, es recomendable utilizar un navegador lo más seguro posible. En la actualidad, existen varios navegadores (Firefox, Opera) más seguros que el ubicuo Internet Explorer de Microsoft. En cualquier caso, no existe el navegador perfecto, con lo que conviene tener actualizado el que hayamos elegido. Cada poco tiempo se detectan vulnerabilidades que son subsanadas mediante las actualizaciones.

Dimensiones de la estafa
Puede que todo esto suene a batallita. Nada más lejos de la realidad. Según la Asociación de Internautas, hasta agosto de este 2006, en España se han realizado 293 de estos envíos masivos de emails engañosos. Los incautos usuarios que siguieron los enlaces contenidos en dichos emails han sufrido una estafa total de unos 8 millones de Euros.
El mismo informe advierte que las entidades más afectadas por este fraude han sido principalmente grandes cajas y bancos: Cajamadrid, Banesto y BSCH. No obstante, se están empezando a detectar también ataques con este método a entidades de menor volumen.

Últimas tendencias
La última variación de esta técnica es el SMiShing, que varía el canal de entrada de estos intentos de estafa. En vez de recibir un email con el enlace fraudulento, recibiremos un SMS en nuestro teléfono móvil, intentando engatusarnos para que accedamos al sitio incorrecto.
También aprovechan determinados fallos de los navegadores, de forma que, aunque aparentemente estemos accediendo a la web correcta, el navegador se redirige a la web de los estafadores.

Como ya hemos advertido anteriormente, el mejor método para evitar ser “pescados” es no picar en ningún anzuelo en forma de email. Seguir estos enlaces puede ser algo similar a entrar en una bañera llena de pirañas.

Enlaces de interés