Tecnología y Social Media 


Phishing, un caso práctico

El término phishing se refiere a un delito informático,  una estafa cibernética que se lleva a cabo apoyándose en técnicas para obtener información confidencial a través de la manipulación de usuarios legítimos (Ingeniería Social).
phishingLa palabra “phishing” proviene, según distintas fuentes, de la palabra inglesa “fishing” (pesca), refiriéndose y dando sentido a la expresión ‘pesca de contraseñas’.
La práctica más común se realiza a través del correo electrónico, medio mediante el cual el estafador (phisher, en este ámbito) intenta obtener contraseñas y/o datos bancarios como números de tarjetas de crédito.

Esta antigua estafa se ha ido reinventando con el paso del tiempo y puede realizarse:

  • mediante un simple mensaje al teléfono móvil,
  • una llamada telefónica,
  • una web falsa que simula la de una entidad conocida,
  • una ventana emergente de una aplicación informática,
  •  un enlace en Redes Sociales y
  • la más usada y conocida por la mayoría de internautas: La recepción de un correo electrónico proveniente de un falso remitente (por ej. una entidad bancaria) que solicita cierta información personal.

Nos centraremos en este último caso, y para ello vamos a mostrar a continuación un ejemplo real concreto.

Phishing a través de e-mail

Ejemplo de Phishing a través de e-mail

Este correo electrónico representa un ejemplo real de estafa a través de Phishing, en el que echando un vistazo rápido podemos ver que existen errores gramaticales (subrayados en rojo), lo cual no es común en un correo verdadero enviado por cualquier entidad. Esto, al producirse además varias veces, ya debe llamar nuestra atención. El dominio de la cuenta de correo del remitente (en este caso sac.es) intenta simular el servicio de atención al cliente de la entidad financiera, pero nada tiene que ver con el banco que supuestamente envía la notificación.

Dominio de la estafaSeguimos analizando aspectos de este correo ‘Phishing’, y vemos que  ofrece un enlace enmascarado en la frase “…a su disposición pulsando AQUÍ.” (marcado con círculo azul en la imagen anterior). Simplemente, y antes de hacer clic en este enlace, posicionándonos con el ratón sobre  el mismo podemos ver que la URL a la que nos dirigiría nada tiene que ver con una página web relacionada con la entidad bancaria, y mucho menos a través de un protocolo seguro (https) como suele ser por norma general en los portales del sector financiero. Ni tan siquiera se trata de un dominio de Internet si no que se indica directamente una dirección IP con un formulario en el que introducir información.

Esta es una forma muy clara de Phishing, pero la forma de detectar sus distintas premisas puede variar, y a veces la dirección  a la que se intenta llevar al internauta se camufla detrás de un  subdominio que simula un dominio real, como ejemplo podría ser  https://www.unicaja.es.hc3w.net  que no es más que un subdominio de hc3w.net y nada tiene que ver con ninguna entidad financiera española.

Con todas estas premisas queda claro que el correo no es de quién dice ser y por supuesto que su mensaje es falso, con el único objetivo de que el destinatario facilite sus credenciales en el caso de que fuera cliente de la entidad bancaria suplantada.

Como medidas de seguridad hay que tener en cuenta que:

  • las entidades financieras online nunca nos pedirán nuestras credenciales completas directamente por este procedimiento,
  • es importante revisar que la URL sea segura y correcta, 
  • cambiar la contraseña  periódicamente, 
  • evitar hacer clic en links sospechosos, y
  • revisar qué aplicaciones se instalan para evitar el malware.

En QAHAuge de los delitos informáticos: ¿Qué es el phishing? , ¿Qué es el Peritaje Informático?

RELACIONADOS