Paso a paso

Adiós al phishing: cómo evitar las estafas por Internet

Te enseñamos de primera mano un reciente ataque de phishing relacionado con la entidad bancaria BBVA, así como algunos elementos comunes en este tipo de estafas

Manuel Vilella Salcedo

Haz copias de seguridad programadas

7 marzo 2012

En la pasada Navidad, algunos usuarios recibían en su bandeja de correo un mensaje que parecía provenir de la entidad bancaria BBVA, en el que se les informaba de que, para premiar su fidelidad, recibirían un bono de 400 euros. Para disfrutarlos, solo tenían que pinchar un enlace y facilitar sus datos bancarios.

Se trata de uno más de los entre tres y cuatro casos de «ciberfraudes» que sufren los bancos españoles diariamente, de acuerdo con un informe publicado por la compañía de seguridad Kaspersky Lab, que también señala que las cantidades robadas por esta vía oscilan entre los 500 y los 3.000 euros.

En PC Actual, hemos tenido ocasión de examinar la página web que suplantaba la identidad de la entidad financiera. Os mostramos cómo averiguar que es falsa y ponemos sobre la mesa algunas propuestas para maximizar la seguridad al trabajar con tu banco o comprar on-line.

Ejemplo real de phishing

Paso 1. e-mail sospechoso

Todo comienza con la llegada a nuestra cuenta de correo de un mensaje sospechoso. Al margen de que no es habitual que una entidad bancaria se dirija a nosotros vía e-mail, al leerlo, llama la atención la existencia de errores ortográficos o de concordancia impropios de una compañía de la envergadura de BBVA. Por otra parte, no es habitual que alguien te regale algo, y los bancos no son una excepción.

Paralelamente, la dirección web a la que remite resulta extremadamente sospechosa. Yendo más allá, la dirección de correo y el teléfono que se facilitan son falsos y no corresponden con los de BBVA. Es evidente que a los estafadores no les interesa que, en caso de duda, podamos llegar a contactar con la entidad financiera, pues ésta nos desvelaría que estamos siendo víctimas de una estafa y que no debemos facilitar nuestros datos bajo ningún concepto.

Phishing alerta 1

En la imagen, podéis ver un ejemplo de un correo utilizado para acometer una estafa similar. En este caso, la excusa para solicitar las claves de acceso es la más comúnmente utilizada: la cuenta bancaria ha sido bloqueada, por lo que debes acceder a una web para proceder al desbloqueo.

Paso 2. Página principal

Si pinchamos sobre el enlace del correo, seremos dirigidos a una página como la de la imagen. Si nos fijamos detenidamente, descubriremos las sutiles diferencias entre la fraudulenta (a la izquierda) y la original (a la derecha). Por ejemplo, en la primera, aparecen caracteres extraños frente a las tildes correctas; o el icono que identifica a las páginas es diferente entre una y otra web.

Phishing alerta 2

También nos llama la atención la URL que emplean los ciberdelincuentes, empezando por el protocolo de conexión, que es HTTP, mientras que, en aras de garantizar una mayor seguridad al usuario, en la web original del BBVA se emplea el protocolo seguro de transferencia de hipertexto (HTTPS).

Paso 3. Autenticación y errores

Una de las pruebas que hemos realizado en esta web es tratar de acceder al área de clientes. Para nuestra sorpresa, se puede acceder al servicio con cualquier combinación de usuario/contraseña. Además, nos ofrece la posibilidad de desconectarnos de la sesión, como si de la web original se tratase.

Phishing alerta 3

No obstante, no han podido limar todos los detalles. Ninguna de las funcionalidades, como era de esperar, del menú lateral izquierdo funciona, mostrando mensajes de error en pantalla.

Paso 4. El objetivo son tus datos bancarios

Como no podía ser de otra forma, en algún momento tenía que aparecer una pantalla que solicite toda la información para que los estafadores cometan el fraude. Datos tan sensibles como la numeración de las tarjetas o el código PIN del cajero son demandados tanto si eliges realizar un alta de usuario para acceder a los supuestos servicios para operar on-line como si te identificas como usuario.

Al realizar un alta de usuario, podría no extrañar que se requiera información sensible, de hecho la web original del BBVA lo hace. Eso sí, la web fraudulenta pide dos datos que no se solicitan normalmente: la fecha de expiración de la tarjeta y el CIP. La artimaña que utilizan para extraernos esos dígitos es, de nuevo, que nuestra tarjeta está bloqueada y que dicha información es requerida para proceder con el desbloqueo.