Hace unos minutos, al revisar mi buzón de correo electrónico, me encontré con un claro intento de Phishing, que me pareció muy importante comentar con todos mis lectores, para que eviten caer en este intento de fraude por internet.

El Phishing es una modificación de la palabra inglesa “fishing” que en español significa pescar. Lo que hacen los delincuentes cibernéticos, es enviar correos electrónicos masivos que buscan engañar a los usuarios de la banca electrónica, para obtener sus datos personales y confidenciales (usuario, contraseña) a través de un sitio web falso aunque exactamente igual (o muy parecido) al de la institución financiera.

Por lo general estos correos informan al usuario que existe un problema con la cuenta, o con los registros del banco, y que por lo tanto requiere actualizar su información en un plazo de 24 horas, ya que de lo contrario la misma será cancelada. Y agregan un link que lleva a la página web falsa, pero igual a la del banco, para que el usuario introduzca ahí sus claves. Con ellas, los delincuentes pueden ingresar a la página verdadera del banco, a las cuentas de esa persona, y realizar atrocidades.

A continuación ejemplo de un correo de phishing y una página fraudulenta, así como consejos para evitar ser víctima de esta forma de robo.

El correo electrónico que me llegó es como sigue:

De la lectura de este correo de phishing, podemos notar las siguientes irregularidades.

  • Fíjese en el remitente: aunque dice Banamex, el correo está enviado desde la dirección [email protected] – es decir el remitente real no es el Banco.
  • El mensaje es muy burdo: “Le pedimos que verifique cuanto antes su cuenta en el siguiente link”. Realmente no dice nada, pero invita a hacer click en un link que nos lleva a una página muy similar a la del banco, que podría engañar a algunos despistados. En ocasiones, existen intentos de fraude con mensajes más elaborados y que buscan hacer que la gente reaccione, con mensajes como: “por un problema de nuestros servidores, estamos haciendo un proceso de verificación de todas las cuentas de nuestros clientes, por lo cual le invitamos a que verifique la suya, en el entendido de que si no lo hace en menos de 24 horas, será automáticamente cancelada”
  • Fíjese en la redacción, sobre todo en el párrafo al final del correo que menciona, de manera por demás cínica, lo siguiente: “Le recordamos que últimamente se envían e-mails de falsa procedencia con fines fraudulentos y lucrativos”. Una redacción totalmente diferente a la que pondría cualquier banco. Los delincuentes la incluyen para buscar “parecer” el banco e infundir confianza, al incluir una leyenda como esta.

Obviamente cuando uno hace “click”, nos aparece una página muy similar a la del banco, pero con una dirección que no corresponde al mismo, de la siguiente manera:

pagina-web-falsa-banamex-fraudes-por-internet-phishing

Página Web Falsa de Banamex

Nótese la dirección que aparece en la “barra de direcciones” del explorador: , – NO CORRESPONDE A LA DEL BANCO

Si uno introduce las claves o cualquier campo en donde dice: usuario, contraseña y netkey, una de dos cosas pueden suceder:

  • Nos manda a otra página que nos confirma que nuestra cuenta ha sido verificada.
  • No sucede nada cuando uno hace click en continuar, pero la página fraudulenta “graba” nuestras claves, mismas que utiliza inmediatamente el defraudador para entrar a ver nuestras cuentas y a realizar operaciones indebidas con nuestro dinero.

Desde luego, querido lector, al momento de que lea esta nota, dicha página ya habrá desaparecido: los delincuentes las mantienen por periodos cortos de tiempo (unas cuantas horas), ya que sólo requieren de unos cuantos incautos que hayan caído en la trampa, para realizar su objetivo. No la dejan permanentemente ni por demasiado tiempo. Adicionalmente los bancos buscan perseguir este tipo de cosas, por lo cual en cuanto lo detectan, hacen lo necesario para que éstas sean eliminadas del Internet: a pesar de ello el daño podría ya estar hecho.

Es importante comentar que en ocasiones los ladrones cibernéticos utilizan cosas más creativas. En una ocasión recibí un correo similar, sólo que el “link” llevaba al usuario a una página que tenía la siguiente dirección: – nótese cómo en minúsculas la palabra BANARNEX se “ve” como BANAMEX, si uno no se fija bien. Lo cual facilita que uno caiga en la trampa.

Ahora bien, ¿cómo podemos protegernos de caer víctimas del phishing? A continuación algunas recomendaciones:

  • Recordar que los bancos nunca envían correos en donde nos solicitan nuestras claves y contraseñas, por ningún motivo.
  • No hacer caso de este tipo de correos; en caso de duda hablar primero al banco (a la línea de atención a clientes o al servicio bancario telefónico) para preguntar acerca de la autenticidad del correo.
  • Nunca hacer “click” en un link que venga en el mail porque nos llevará a una página falsa. Mejor es abrir otra página del navegador e ingresar directamente la dirección de internet del banco.
  • Siempre fijarnos en la dirección que aparece en la barra de direcciones, que corresponda a la de nuestro banco (por ejemplo a veces estos links nos envían a páginas idénticas a las de nuestro banco pero la dirección de la barra no corresponde, son normalmente direcciones de sitios donde uno puede elaborar una página personal de internet o de web hosting gratuito.
  • Verificar que la página sea segura, y qué certificados de seguridad tiene. Por ejemplo, verifiquemos que la dirección de internet comience por “https:” (la s es de segura), y que en la parte inferior de nuestro navegador exista un ícono de un candado, que indique que la página es segura para transmitir nuestros datos en ella, de lo contrario nuestra información viajará de forma pública (y muchos pueden leerla). Verifiquemos adicionalmente qué protocolo de encriptación tiene dicha página de internet (debe ser por lo menos 128 bits). Y verifiquemos los certificados de la misma.
  • Nunca llevar a cabo transacciones en “cybercafés” u otras computadoras públicas ya que nuestra información puede quedar grabada.
  • Utilizar siempre un “firewall” así como programas que verifiquen la no existencia de “spyware” (software espía) en nuestra computadora.
  • Enviar un mail a la dirección de Alertas Phishing de Condusef: [email protected] para reportarlo.
  • Cambiar de manera frecuente sus claves de acceso.