1

Phishing: Qué es y como protegerse

En este artículo vamos a analizar una de las estafas más comunes en Internet: el phishing.

El phishing es un término informático que hace referencia a estafas en Internet cometidas mediante la suplantación de identidad, normalmente con el objetivo de conseguir contraseñas y/o datos personales del usuario estafado, con el fin de obtener beneficios económicos.

El término “Phishing” viene de la palabra inglesa fishing, que significa “pesca”, haciendo un paralelismo entre la pesca de peces, y la pesca de contraseñas y datos de usuarios por parte de los timadores en Internet.

phishing

Normalmente el phishing se realiza mediante correo electrónico, aunque también puede hacerse por teléfono, chat, o cualquier cliente de mensajería instantánea, como Gtalk, Skype etc…

Este tipo de timos es tan habitual que solo tengo que abrir mi cliente de correo electrónico y fijo que tengo varios intentos de Phishing para poner como ejemplo. Veamos que tengo.

Bueno, ya estoy viendo un correo haciéndose pasar por Yahoo, enviado desde [email protected]

yahoo phishing

Como se puede ver en la imagen, el correo dice que me han tocado 5.000.000$, sí, 5 millones de dólares estadounidenses. Según el cambio actual, más de 4 millones de euros. Mira que tengo suerte ¿eh? Carlos Fabra a mi lado no es nada, a mí ya me ha tocado la lotería 10 veces hoy jejeje

loteria fabra

Si nos fijamos, el email de envío es un email real de yahoo, el truco está en que piden contactarlos en otro email diferente: [email protected] . Unas cabeceras de correo electrónico son muy sencillas de falsificar, es decir, cualquiera puede enviar un correo desde [email protected] diciendo que es Rajoy, por ejemplo. Y pedir que le envíes un correo a [email protected] .

Si les enviamos un email preguntando sobre el premio, habremos picado el anzuelo, y nos pedirán datos bancarios, contraseñas etc… con la excusa de que lo necesitan para enviar el pago.

 

Vamos con otro email, esta vez el intento de phishing viene desde el correo [email protected], y reza así:

Te informamos que acabas de recibir una Transferencia a tu Cuenta, La cual se encuentra esperando aprobación debido a un problema con tu Cuenta y tu banco receptor. Adjuntamos todos los detalles del problema en el documento anexado en ese correo. A continuación detalles de la Transferencia:

BANCO EMISOR: BANCOMER
FECHA DE OPERACIÓN: 06 DE ENERO DE 2015
IMPORTE: $19,437.00
FOLIO INTERNET: 0090037018
FORMA DE DEPÓSITO: MISMO DÍA (SPEI)

phishing bancomer

Si es que estoy de racha, otro premio más, casi 20.000$ y no sé ni a concepto de qué me lo ingresan jejeje.

Ahora en serio, en el email han adjuntado un archivo .doc, que es una archivo de Word, supuestamente con información necesaria para poder desbloquear la transferencia y recibir “mi dinero”. Aquí el peligro es doble, ya que un archivo .doc puede ser muy peligroso. Recordemos que un archivo .doc puede ejecutar macros, que son usadas por los virus para generar efectos dañinos, por lo que nunca deberemos abrir un archivo .doc que nos envíen por email. Además, en el caso de abrirlo, solo recibiríamos unas instrucciones para enviarles nuestras contraseñas y datos bancarios a los estafadores.

 

Veamos otro email, esta vez haciéndose pasar por el banco Banamex y afirmando que me autorizan para tener un crédito de 100.000$. Lo curioso es que ni siquiera tengo cuenta en esa banco, ni es un banco de mi país. Pero los intentos de phishing son indiscriminados y masivos, así que simplemente se los envían a todo el mundo.

phishing banamex

Como en el email anterior, adjuntan un archivo .doc, seguramente con intenciones poco nobles.

 

Otro de los intentos más habituales y peligrosos de phishing es el de hacerse pasar por un procesador de pagos, como por ejemplo Paypal. Supongamos que te llega un email como este:

Hola, te enviamos este email para informarte de que a partir del día 1 del próximo mes será necesario aceptar los nuevos términos y condiciones de Paypal para poder seguir operando con nosotros. En caso de que no se acepten los nuevos términos y condiciones en el tiempo indicado, se procederá a cancelar su cuenta.

 Si todavía no lo ha hecho, por favor acceda a su cuenta desde este enlace: www.paypal.com y confirme la aceptación de los nuevos términos.

Si recibes un email similar a este, con el logo de paypal, la dirección de correo de paypal etc… es muy fácil creérselo y hacer click en el link.

Hay que tener mucho cuidado porque es posible enlazar un texto que ponga www.paypal.com hacia otra web controlada por los estafadores. En este caso, a modo de ejemplo, he puesto un texto www.paypal.com enlazado a google.com, así que no hay que fiarse y hay que fijarse bien donde hacemos click, porque si consiguen llevarte a una web controlada por ellos, pueden hacerte ver una web que sea un clon de paypal.com, con la diferencia de que cuando metas tu usuario y contraseña, ellos las almacenarán para posteriormente extraer dinero de tu cuenta.

En la siguiente imagen podéis ver un ejemplo de una web falsa haciéndose pasar por gmail:

gmail-phishing

 

Consejos para no caer en el phishing

Nunca te fíes cuando recibas un email o llamada telefónica comunicándote que has ganado un premio. Si yo hubiera recibido un 5% de los premios que me han dicho que he ganado, Bill Gates a mi lado sería pobre.

Ten actualizado tu pc, tanto las actualizaciones de windows, como las del navegador y las del antivirus. Hoy en día muchos navegadores avisan cuando detectan una web falsa suplantando la identidad de otra web. Si el navegador está actualizado tienes más posibilidades de que te avise.

– Nunca abras archivos recibidos por email, sobre todo si son .exe .bat .doc .xls o .rft (por orden de peligrosidad). En caso de los archivos comprimidos (.rar .zip etc) pueden contener archivos peligrosos dentro, así que tampoco debes abrirlos.

– Bajo ningún concepto entregues información sobre tu cuenta bancaria, tarjeta de crédito, contraseñas etc… Ten en cuenta que el banco nunca va a enviarte un email solicitando esa información, y nadie la necesita para hacerte un pago.

– Si quieres entrar a una web como por ejemplo paypal.com o la web de tu banco, nunca vayas a través de enlaces de emails o de webs poco fiables, es mucho más seguro teclear tú mismo la dirección en tu navegador.

– Un truco para saber si un enlace nos dirige a la web que se supone que debe ir, es poner el puntero del ratón encima del enlace y fijarse en la parte de abajo a la izquierda, para ver si efectivamente la dirección web que se muestra coincide. En la siguiente imagen no se aprecia, pero el puntero del ratón está situado encima del enlace de paypal.

detectar phishing

– Otro truco similar al anterior consiste en hacer click en el botón derecho del ratón, encima del enlace, y luego haciendo click en “copiar ruta del enlace”. De esta forma luego podemos pegar en un archivo txt el enlace en sí y verlo. En la siguiente imagen puedes ver el menú contextual que aparece al hacer click en el botón derecho del ratón encima de un enlace:

detectar phishing 2

Fíjate bien en las direcciones de las webs, algunas pueden tener trampa. Puedes haber sido redirigido a una web y sin embargo no percatarte de que la url es falsa. Por ejemplo, hay algunas tipografías de letra en las que la “L”minúscula es practicamente igual que la i mayúscula.

Un comentario

  1. jeje que recuerdos me ha traído este artículo. Un amigo hizo una página phising para hackear la contraseña del tuenti de la gente, realmente es muy sencillo de hacer sabiendo un poco de php(haciendo que los datos del formulario de login de tu página clonada se guarden en un archivo php en tu servidor.
    Luego está el pharming o como le llamo yo phising nivel maestro. Creas un archivo que modifique el contenido del archivo etc/hosts de tu ordenador, haciendo que cuando visitas http://www.tuenti.com accedas a la ip correspondiente a http://www.tuentihackingpeople.com, pero en tu navegador pone tuenti.com, pero esto ya es mucho nivel.
    A mi personalmente me siguen llegando correos electrónicos de estafas nigerianas, correos pysing de PayPal, de Sony… Eso demuestra lo malos que son los filtros de Spam de los servidores de correo.
    También me he acordado de que en una ocasión cuando tendría 14 años o así, conseguí la cuenta de messenguer de la chica que me gustaba, mandándola un correo pyshing haciéndome pasar por hotmail(con su cabecera y su todos los derechos reservados) pidiéndola la contraseña por motivos de seguridad, la cosa es que coló, aunque es algo que no he vuelto a hacer nunca.
    Creo que el correo que me cree se llamaba [email protected] o algo así.

     

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *