‘Phishing’: páginas web falsas para robar datos

La suplantación de sitios web para capturar datos personales es un delito en auge que hay que vigilar
Por Nacho Rojo 22 de septiembre de 2004

Mensajes de correo electrónico que se hacen pasar por comunicados de bancos o tiendas de Internet reclaman la atención de los clientes para actualizar sus claves de acceso o confirmar su número de tarjeta de crédito a través de un enlace que les conduce a páginas web falsas. Sus datos son capturados y los delincuentes pueden suplantar la identidad de la víctima para realizar todo tipo de operaciones en la Red. Es el fraude conocido como ‘phishing’, un delito en aumento que en EEUU ya ha alcanzado proporciones alarmantes y que amenaza con mermar la confianza en el correo electrónico e Internet.

¿Qué es el ‘phishing’?

Se conoce como ‘phishing’ ( del inglés fishing

– pescar) a la suplantación de identidad (en Internet, pero también por teléfono) que persigue apropiarse de datos confidenciales de los usuarios. En la Red se utiliza el envío masivo de correos electrónicos que simulan proceder de entidades de prestigio y apremian al internauta a actualizar datos personales (nombres de usuario y contraseña de cuentas bancarias, números de tarjeta de crédito, etc.) a través de una página que imita a la original. Al introducir los datos en la página falsa, éstos son ‘pescados’ por los ciberdelicuentes para utilizarlos de forma fraudulenta.

Se trata de una forma de spam

(correos electrónicos no deseados) especialmente perniciosa, pues no sólo satura los buzones de basura

, sino que pone en peligro la integridad de la información sensible del usuario con graves consecuencias. La proliferación de estos mensajes fraudulentos obliga a estar alerta y, de entrada, a tener presente que no se deben ofrecer datos personales que sean solicitados mediante el correo electrónico sin, al menos, realizar una comprobación telefónica. El mecanismo de este timo online en auge es el siguiente:

  • El usuario recibe un email de un banco, entidad financiera o tienda de Internet en el que se le explica que por motivos de seguridad, mantenimiento, mejora en el servicio, confirmación de identidad o cualquier otro, debe actualizar los datos de su cuenta. El mensaje imita exactamente el diseño (logotipo, firma, etc.) utilizado por la entidad para comunicarse con sus clientes.
  • El mensaje puede integrar un formulario para enviar los datos requeridos, aunque lo más habitual es que incluya un enlace a una página donde actualizar la información personal.
  • Esta página es exactamente igual que la legítima de la entidad -algo sencillo copiando el código fuente (HTML)- y su dirección (URL) es parecida e incluso puede ser idéntica gracias a un fallo de algunos navegadores.
  • Si se rellenan y se envían los datos de la página caerán directamente en manos del estafador, quien puede utilizar la identidad de la víctima para operar en Internet.

El Anti-Phishing Working Group, organización creada en EEUU para combatir este fraude, asegura que el número y sofisticación del ‘phishing’ enviado a los consumidores se está incrementando de forma dramática y que “aunque la banca online y el comercio electrónico son muy seguros, como norma general hay que ser muy cuidadoso a la hora de facilitar información personal a través de Internet”.

Un fraude enorme y en aumento

El ‘phishing’ es, junto a los programas espía

, una de las técnicas más empleadas por los ciberdelincuentes para apropiarse de información confidencial a través de Internet. Los clientes de varias entidades muy conocidas, como la casa de subastas electrónicas eBay, el sistema de pagos online PayPal o Citibank han sido víctimas de este fraude cibernético.

En un estudio de Gartner realizado en abril de este año, el 3% de los usuarios encuestados reconoció que había facilitado información personal o financiera a páginas fraudulentas. De ahí la consultora extrae que unos 30 millones de internautas han sufrido ataques de ‘phishing’ y cerca de dos millones cayeron en la trampa y han sido víctimas de intrusiones en sus cuentas bancarias en el último año, con un total defraudado de 2.400 millones de dólares, unos 1.200 por víctima.

El estudio revela que se trata de un fraude reciente en notable aumento: el 76% de los ataques acaecieron en los últimos seis meses y un 95% en el último año. Gartner concluye que de no atajarse el problema rápidamente, Internet y el correo electrónico podrían quedar desacreditados como medios para realizar transacciones comerciales y desanimaría a los consumidores

a la hora de comprar en la Red.

Dada la magnitud del problema, en EEUU se creó la organización sin ánimo de lucro Anti-Phishing Working Group

(APWG), con más de 600 miembros, dedicada a ofrecer información sobre cómo prevenir este fraude y denunciarlo, al mismo tiempo que recopilar datos sobre su evolución y mantener un archivo

con todas las páginas y mensajes fraudulentos conocidos. Según esta organización, el número de incidencias relacionadas con el ‘phishing’ se ha multiplicado por 400 en los últimos 10 meses. El pasado junio aparecieron 1.422 nuevos (distintos) fraudes de suplantación de identidad, frente a los 1.197 de mayo, con Citibank, eBay, US Bank y PayPal como principales víctimas.

Otras empresas han incluido entre sus servicios el combate a las páginas fraudulentas. Netcraft

ha desarrollado un sistema para que los bancos y otras entidades financieras rastreen sus nombres de marca en Internet para detectar actividades ilícitas, y el servicio antispam de Brightmail se adaptó para detectar los mensajes que suplantan identidades corporativas. Esta última compañía estima que el pasado abril el número de emails fraudulentos que circularon por Internet superó los 3.000 millones

España no se libra

La mayoría de los mensajes fraudulentos están en inglés, por lo tanto destinados a clientes que se comuniquen con su empresa en este idioma. Sin embargo, los delitos en Internet saltan fácilmente las fronteras, además de que no es extraño que un usuario en España sea cliente de entidades bancarias o tiendas de Internet extranjeras. En el último informe mensual del APWG (Junio – PDF), España aparece como receptora del 1% de los ‘ataques de phishing’. José Manuel Colodrás, responsable de la Brigada de Investigación Tecnológica de la Policía Nacional, señaló

recientemente que “el envío masivo de emails que pretenden ser notificaciones oficiales para obtener datos personales y bancarios es uno de los delitos informáticos en auge en España”. Se tienen noticias de varios intentos de fraude

a los clientes de Banco Popular y otro

dirigido a los de Citibank. En mayo de este año, la “ operación PHESCA

” de la Guardia Civil desarticuló una red de ‘phishing’ que estafó por valor de 500.000 euros.

Existe una gran variedad de mensajes fraudulentos, en algunos de los cuales no es difícil caer . Últimamente, como los consumidores ya están sobre aviso, muchos de los correos ‘phishing’ advierten de intrusiones no autorizadas en las cuentas de usuario, exhortando a las potenciales víctimas a confirmar su identidad para solventar el problema. Según APWG, secuestrando marcas conocidas de bancos, tiendas online y compañías de tarjetas de crédito, los phishers son capaces de convencer a un 5% de los receptores de sus mensajes.

Quien crea que sería perfectamente capaz de diferenciar un mensaje auténtico de otro falso lo puede comprobar mediante un test

de MailFrontier. De cualquier manera, la mejor forma de acertar siempre es rechazar sistemáticamente cualquier mensaje, por muy veraz que parezca, que invite a facilitar de alguna forma información confidencial.

¿Cómo evitarlo?

A pesar del elevado número de víctimas de este fraude, para no caer en él bastaría con saber que ningún banco lleva a cabo tareas de verificación de las cuentas usuario o de cualquier otro tipo de datos personales mediante el correo electrónico. Además, los mensajes falsos suelen pecar de excesiva vehemencia, ‘amenazando’ a los usuarios con graves consecuencias si no responden cuanto antes -las páginas web falsas duran muy pocos días para no ser localizadas-, algo insólito en el trato a los clientes.

Aun así, dada la creciente sofisticación de este fraude, no está de más tener en cuenta algunos consejos ofrecidos por MailFrontier

y Anti-Phishing Working Group

para reconocer y rechazar los mensajes fraudulentos:

Mirar con atención cualquier mensaje que solicite información financiera:

  • Tener presente a las compañías con las que se tiene alguna relación.
  • A no ser que vaya firmado digitalmente, no se puede estar seguro de que no sea falso.
  • Considerar si el asunto y la redacción del mensaje son propios de la entidad que pretende representar.
  • Los falsos emails incluyen mensajes alarmantes para hacer reaccionar al usuario, y requieren información como el nombre de usuario, contraseña o número de la tarjeta de crédito.
  • Normalmente no son personalizados, al contrario que los mensajes legítimos de cualquier compañía.

Si se sospecha del mensaje, no utilizar el enlace que incluye para acceder a una página web (al colocar el ratón sobre el enlace se puede comprobar si la dirección a la que apunta es en realidad la que pretende ser o es sólo parecida). En lugar de esto, llamar por teléfono a la compañía o acceder al sitio web tecleando la dirección en el navegador.

Evitar rellenar los formularios que incluyen los email: sólo se debe comunicar información sensible a través del teléfono o mediante un sitio web seguro. En los sitios seguros la dirección comienza por ‘https://’ y en la parte de abajo del navegador aparece un candado cerrado o una llave. Al pinchar sobre el candado se muestran los datos del certificado de autenticidad, que deben coincidir con los de la página visitada.

Considerar la instalación de una barra para el navegador que proteja de los sitios falsos, como EarthLink ScamBlocker

.

Entrar regularmente en el banco online para comprobar el estado de las cuentas.

Instalar la última versión del navegador utilizado, así como las actualizaciones de seguridad. Los usuario de Internet Explorer deben visitar regularmente Windows Update

.

La 1ª Campaña Mundial de Seguridad en Internet

, organizada por la Asociación de Internautas (AI) y Panda Software, dedica un apartado a la banca online

con consejos para elegir claves seguras

y especial atención a cómo evitar el ‘phishing’

. Desde Panda Software, José María Hernández advierte de que los fraudes online “son cada vez más frecuentes y constituyen un gran amenaza, no ya para los equipos informáticos, sino para los propios usuarios que pueden ver como sus cuentas se vacían como consecuencia del ‘phishing’”. Y el presidente de la AI, Víctor Domingo, asegura que este fraude es una amenaza de primera magnitud. “Para evitarlo la única solución pasa por estar informado, ya que no existe ningún tipo de programa que pueda impedir totalmente este tipo de ataques”.

¿Navegadores más seguros?

La usurpación de datos personales se ve favorecida por la vulnerabilidad de los navegadores, incapaces de certificar la autenticidad de la URL (dirección de Internet). Tanto Internet Explorer

, como Mozilla (y Mozilla Firefox)

u Opera

padecen esta debilidad que facilita la verosimilitud de enlaces falsos y páginas ilegítimas. Microsoft ofrece detallada información

sobre el ‘phishing’ y consejos contra la falsificación de la URL

, e Hispasec Sistemas facilita una página

para que el usuario compruebe si su navegador es vulnerable a la falsificación de la URL.

Sigue a Consumer en Instagram, X, Threads, Facebook, Linkedin o Youtube