Phishing
Hoy en día, la tecnología permite realizar innumerables trámites y operaciones financieras a través de internet: pago de servicios, consulta de estados de cuenta, transferencias bancarias, entre muchas otras. Es indudable que el uso de la web para llevar a cabo estas transacciones se ha incrementado considerablemente. Por ejemplo, de acuerdo al Banco de México, el número de transferencias interbancarias realizadas en un día a través de internet a principios del 2002 fue alrededor de 95 mil, comparadas con las más de 33 millones efectuadas a mediados del 2015.
El creciente uso de la banca electrónica así como la ejecución de operaciones bancarias a través de internet, ha hecho que los usuarios se familiaricen con las páginas web, propaganda y correos electrónicos que eventualmente llegan a recibir de estas instituciones. Lo anterior, ha sido aprovechado por los delincuentes informáticos para lanzar ataques y con ello, obtener información financiera y personal de usuarios bancarios con el propósito de cometer algún tipo de ilícito.
Aunque existen muchas formas de llevar a cabo estos ataques, uno de los más comunes es el denominado phishing. Esta es una amenaza que consiste en el envío de correos electrónicos con supuesta información de instituciones bancarias incitando al usuario a realizar algún tipo de operación, todo encaminado a obtener información confidencial. Para ello, elaboran mensajes convincentes que inducen a la víctima a presionar un clic sobre el enlace que viene incluido en el texto, enviándolos a un sitio muy parecido al oficial donde tecleará la información utilizada por el criminal para cometer su fechoría; estos datos son captados por un programa denominado keylogger y posteriormente enviados al delincuente.
Para no levantar sospechas, una vez obtenido el botín, el usuario es redirigido a la página web original. Por ejemplo, un correo electrónico recibido, puede informar al cliente que la clave de usuario y contraseña de su banco no ha sido actualizada y por seguridad, deberá realizar esta acción antes de un plazo perentorio pues de lo contrario, será eliminada y estará obligado a presentarse en la sucursal a realizar el trámite de renovación. Esto induce al usuario a responder, presionando inconscientemente un clic sobre el enlace señalado, direccionándolo a la supuesta página oficial donde sin pensarlo, escribe su clave y contraseña; por lo general, para que el engaño sea exitoso, el portal del banco al que es dirigido la víctima, es casi idéntico al original marcando diferencias sutiles como un carácter o palabra en la barra de direcciones (por ejemplo, en lugar de visualizar www.hsbc.com, aparece www.hbsc.com). Sin darse cuenta, la clave y contraseña escritas, son almacenadas en un archivo mediante un keylogger que registra cada carácter presionado en el teclado.
Esta información es enviada al delincuente quien, a través de estos datos e ingeniería social, podrá cometer actos fraudulentos como robo de identidad o desfalco de cuentas bancarias. Por lo anterior, a fin de evitar ser víctima de phishing, es importante tomar en cuenta las siguientes recomendaciones:
-
Es prácticamente una regla que las instituciones bancarias no solicitan datos personales a través de correos electrónicos. Si es recibido algún mail “convincente”, lo mejor será constatarlo a través de una llamada telefónica, página web oficial o acudir directamente a la sucursal.
-
En caso de recibir mensajes de instituciones financieras con links en el cuerpo del texto, no presionar clic sobre ellos; aun visualizando que la liga es una dirección web conocida o “confiable”, siempre es mejor teclear el nombre de la página web directamente sobre la barra de direcciones.
-
Casi siempre los mails recibidos con este tipo de amenazas tienen faltas ortográficas o gramaticales. Aunque no es una condición sine qua non, es una alerta clara que el mensaje no ha sido enviado por instituciones serias.
-
No realizar operaciones financieras en computadoras de ciber-cafés o lugares públicos, son poco seguros y podrían tener instalados keyloggers u otro tipo de malware.
-
Por lo general, las instituciones financieras emplean un protocolo seguro (inicia con https:// en la de barra de direcciones web, además de observar el fondo verde y un pequeño candado) en aquellas páginas donde se realizan operaciones bancarias como consultas o transferencias.
-
Siempre mantener actualizados el sistema operativo y el antivirus de su computadora.
El
phishing, al igual que otras amenazas, se evitará en la medida que tomemos las medidas anteriores y cobremos conciencia de su existencia y potencial daño no solo a nuestros equipos sino a nuestra propia integridad.
Referencias
Banco de México. (2015). Sistema de pago de bajo valor: periodo 2002-2015. Tomado de:
CERT-UK (2015). Phishing – what is it and how does it affect me? UK National Computer Emergency Response Team
US-CERT. (2015). Report phisihng sites. United States Computer Emergency Readiness Team. Tomado de:
Otras fuentes
http://www.malware.unam.mx/
http://www.seguridad.unam.mx/usuario-casero/eduteca/main.dsc?id=166
http://www.pandasecurity.com/mexico/homeusers/security-info/cybercrime/phishing/
Elaborada por: M.A. Cuauhtémoc Vélez Martínez
