A LA PESCA Y ESTAFA DE INOCENTES (II)


Aunque los primeros casos de phishing se dieron con la captura de cuentas del sistema de subastas eBay, rápidamente empezaron a enviar mensajes correspondientes a otras entidades y, actualmente, se están dando delitos “de phishing” con otras entidades como bancos, cuentas de correo, etc. Hace unos meses fueron detenidos los miembros de una pandilla que se apoderaban de las cuentas de algunos bancos españoles usando técnicas de phishing.

Si prestamos un poco de atención es fácil evitar ser víctimas de estos estafadores. Para lo cual, tenemos que usar unas reglas básicas.

Antes de que nada, debemos tener en cuenta que los estafadores envían los mensajes por centenares de miles y de forma indiscriminada. Así, si recibimos un mensaje supuestamente de un banco en que estamos seguros que no tenemos cuenta, ésto de por sí ya lo identifica como «phishing?, y lo debemos descartar inmediatamente. Pero como son miles de mensajes, hay la posibilidad que recibamos uno que parece de nuestro banco. Hace falta ser precavido.

El mensaje nos dirá que por razones de seguridad y para confirmar nuestros datos hagamos «clik? en un enlace que está en el propio mensaje con objeto de proceder a la confirmación de datos en la web del banco.

Y aquí viene la trampa. En ese enlace se ve la dirección de nuestro banco pero cuando hacemos «clik? sobre él nos lleva a una copia exacta de la página del banco. En este enlace nos pediría nuestro nombre y contraseña como sucede habitualmente. Pero como estamos conectados a un servidor de los estafadores, es a ellos a quienes les estamos dando nuestro nombre y contraseña. La mejor prevención, por lo tanto, consiste en no pinchar nunca sobre un enlace recibido en un mensaje que nos lleve automáticamente a una página con un acceso (de las que piden nombre y contraseña). De todas las maneras, ningún banco envía actualmente este tipo de mensajes.

image

Si dudamos y pensamos que el mensaje pueda ser auténtico, podemos entrar manualmente en el navegador el enlace que aparece en el correo recibido. Si el enlace es bueno, llegaremos al lugar correcto puesto que esto no hay manera de falsificarlo. Si es malo, después de haberlo entrado manualmente, la página de acogida de nuestro banco por ejemplo nos devolverá un mensaje de error. Después, mirar la cabecera completa de Internet del mensaje recibido y analizarla comprobando si es cierto que viene de dónde dice venir. Si en lugar del remitente esperado (http://nombre del banco) vemos http://una dirección IP (cuatro grupos de cifras separados por puntos) o un nombre de dominio extraño que no corresponde al banco, esta es la confirmación que estamos siendo víctimas potenciales de un intento de “phishing”. ¡Pero ojo!.  Esto falla a veces en algunos navegadores. Para continuar con las precauciones, evitar utilizar navegadores y lectores de correo «colador? como Microsoft Outlook o Microsoft Explorer. Hay alternativas perfectamente válidas a las cuales no los afecta los fallos de seguridad de los productos mencionados de Microsoft. Por ejemplo Eudora para el correo y FireFox para navegar. Y para finalizar, evitar, si se puede, utilizar sistemas operativos de Microsoft. Son los más conocidos y, por lo tanto, los más «hackeados? además de que sufren bastantes debilidades de las cuales los hackers se aprovechan.

En este caso hay la conocida alternativa Linux o bien Mac que es un conjunto de ordenador (hardware) y un sistema operativo muy pero que muy parecido al Linux. Pero con una interface muchísimo más fácil de utilizar que el Windows o cualquier otro.

Publicado en O.C. el 17 de Junio de 2005.