Phishing
:: La nueva moda de las estafas por Internet ::

El phishing (pronunciado "fishing", pesca) es la técnica de moda que últimamente causa furor entre las mentes inquietas y ávidas de dinero fácil.

Consiste en enviar un correo (spam) aleatoriamente (en un principio, y en estafas más elaboradas, a listas de clientes reales de la empresa a la que se roba la identidad) a miles de usuarios con la idea de pedirles por favor su nombre de usuario y contraseña de un servicio concreto de Internet, ya sea bancos, o portales de subastas. Sencillo, ¿verdad?

Muchos pensarán ¿Qué? ¿Pedir los datos? ¿Así de simple? Pues sí, prácticamente. Se prepara un correo HTML, con algunas imágenes "robadas" (botón derecho, salvar como...) de la web de un banco y se envía un correo con las cabeceras cambiadas (nada más sencillo... por ejemplo info@banco.es) explicando que para adaptar los datos de sus clientes y ofrecer un mejor servicio, se está realizando una confirmación de la información relativa al usuario almacenada en sus bases de datos, lo que requiere confirmación expresa del cliente, que debe pulsar sobre un enlace e introducir en él su nombre de usuario y contraseña. Opcionalmente su número de la seguridad social y tarjeta de crédito. Todo esto con un lenguaje más o menos correcto y unos bonitos colorines. (Lo que habitualmente se llama, "web spoofing" pero traducida al correo).

El enlace sobre el que pulsa el confiado usuario, por supuesto, no es más que un servidor web de los malvados estafadores, que quizás han alquilado un dominio relativamente "parecido" a la firma a la que pretenden suplantar, por ejemplo http://w3.grupobbvanet.com/. Este ejemplo claro se dio en España durante todo Mayo de 2003, se intentó (y nadie sabe cuántos picarían) cometer un fraude entre los clientes del banco BBVA. Consistía en enviar indiscriminadamente correos que simulaban proceder de BBVA en el que se les pedía introducir sus contraseñas en el formulario de un servidor, para poder acceder a ciertos servicios. La web donde introducían las claves resultaba ser asombrosamente parecida a la original. La página, en realidad, estaba alojada en uno de los miles de sitios web que ofrecen espacio gratuito o de pago, y permite la posesión de un subdominio, que en este caso, habían aprovechado los estafadores para denominarlo "grupobbvanet", en un intento de despiste y aparentar pertenecer a uno de los servidores oficiales de BBVA que, por supuesto, nada tiene que ver con ellos. En E.E.U.U., los clientes de Ebay, Halyfax, Lloyds, FirstUnion, PayPal y muchos otros grandes han sido víctimas de este tipo de engaños. Ya se sabe, la buena fe del Hombre (y la Mujer), (y en especial los americano/as, pues son los que más pican en estafas digitales) hacen posible todo este tipo de basura cibernética. El caso del grupo BBVA ha sido de los pocos detectados en España, pero se ha podido detectar la insistencia de sus creadores, (enviaron varias "oleadas" de correos) imitadores de una moda que en E.E.U.U. lleva ya años practicándose .

¿Y esto es rentable? Que se lo pregunten a un tal kenneth (sólo un apodo), que con 22 años se jacta de haber estafado, junto a un compañero, cientos de miles de dólares (decenas de millones de nuestras -por siempre usadas para grandes cantidades- pesetas). Confesó haberse "enganchado" a las estafas especializándose en usuarios de eBay. Enviaba estos correos a unas 1000 personas un día, afirmando que su cuenta iba a caducar, y necesitaba confirmar los datos. Al siguiente obtenía unas 200 respuestas, que se traducían en el nombre y contraseña de 200 usuarios reconocidos de eBay. Una vez podía hacerse pasar por alguno de ellos, muchos reputados usuarios del servicio de subastas, elegía a algún otro usuario enzarzado en alguna interesante apuesta, y se dirigía a él personalmente a través del sistema de mensajería privada de eBay ofreciéndole un precio inigualable por el mismo artículo por el que pujaba, pero sin los riesgos propios de la subasta. Muchos, revisando los históricos de la identidad robada que le ofrecía tal chollo, comprobaban que hasta ahora, había mantenido una actitud irreprochable, y no constaba que dejara sin pagar ningún artículo adquirido. De esta manera, el tal kenneth ganaba la confianza del estafado, e inventaba mil fórmulas para que pagara por adelantado, a través de una transferencia bancaria a la que nunca respondía. Si el incauto se resistía a realizar grandes pagos a través de transferencia, kenneth argumentaba rápidamente que, si quería más seguridad, podía realizar el traspaso a través de una agencia que ofrecía su servicio vía web. Así engañaba una vez más a los pobres usuarios, que insertaban su número de tarjeta de crédito en una página "inventada" y "fabricada" por el propio kenneth. En realidad, no era tan sencillo, grandes dosis de ingeniería social eran necesarias para crear algún tipo de complicidad con sus víctimas y hacerles picar el anzuelo. Les hablaba del miedo a ser estafado él mismo, se ofendía ante las acusaciones o sospechas de posible estafa, trataba de dar la mayor pena posible, mostrándose necesitado del dinero, desesperado por vender el producto anunciado en eBay, con el fin de destinarlo a la mejor causa humanitaria del mundo.

Y es que, cada vez menos, son necesarias grandes dosis de conocimientos técnicos para hacerse con una contraseña. Un poco de conocimientos de HTML para construir un correo que se hace pasar por el de otra empresa, un programa para enviar correos masivos que cambie las cabeceras, y sobre todo, mucha jerga fatalista, o en cualquier otro tono posible pero más que nada, creíble, es lo único necesario para llevar a cabo este plan. Salir de "pesca" en Internet, en busca de incautos a los que no les importe en absoluto rellenar un par de cuadros de diálogo con su contraseña, algo equivalente a declarar ante cualquier desconocido nuestra clave personal.

Ya he indicado en muchos artículos que la desconfianza es la base de la seguridad, y nunca se debe proporcionar la clave o ningún otro dato confidencial a nadie, ni por teléfono ni por Internet. Ninguna empresa seria nos la pedirá, y en el caso de desastre o causa mayor, nos la modificará y comunicará personalmente, pero jamás nos pedirá que rellenemos un recuadro con nuestros datos "para confirmar" o "para asegurar" nada.

En espera de que a cualquier otro desaprensivo en España se le ocurra suplantar la personalidad de otra empresa, pues seguro volverá a ocurrir algo parecido al caso BBVA, sólo nos queda mantener los ojos bien abiertos, y no fiarnos de un par de imágenes o palabras técnicas en un correo, que no garantizan en absoluto la autoría del mismo.

Enviar reportaje a un amigo

...por Sergio de los Santos

CONOCE MÁS INFORMACIÓN EXCLUSIVA SOBRE SEGURIDAD EN MUNDOINFORMÁTICA