¡Ojo con la pesca electrónica!

¡Ojo con la Pesca Electrónica!
(Robo y suplantación de identidades en un ambiente bancario como ejemplo) Por: Lucas Rincón (Operational Risk Surveyors, enero 2010, lerincon@lersurveyors.com) El fraude tipo phishing—la pesca por correo electrónico de datos bancarios personales y confidenciales—es un ilícito en auge asechando a los bancos, a las empresas del sector real y a sus clientes en todo elmundo. Este artículo enfoca el flagelo desde la óptica de los bancos. Una variante del phishing es el vishing. 1. ¿Que es el phishing? El phishing es el diseño y envió por correo electrónico de mensajes falsificados aparentando pertenencia y procedencia de bancos acreditados para inducir a los destinatarios a suministrar sus datos bancarios personales y confidenciales para defraudarlos. Bajopretexto de confirmación o de actualización de sus datos—como PINs y claves, números de tarjetas de crédito y de débito, cédulas de identificación, de ciudadanía o de vecindad, y números de cuentas bancarias—los correos phishing piden al ingenuo activar el hipervínculo (hyperlink) señalado en el mensaje mismo para enlazarlo con otro sitio Web creíble y exclusivamente dispuesto para dolosamente tomarsus datos. En poder de estas confidencias los pillos tienen los elementos suficientes para vaciar los fondos de las cuentas bancarias y de las tarjetas plásticas de sus víctimas. Los mensajes y las páginas falsificadas para cometer phishing entrampan porque lucen como páginas fidedignas de los bancos imitados…pero al final de cuentas son emulaciones remitidas por los atacantes solo para robar datosy para defraudar con ellos… ¡así de sencillo! 2. Características de un mensaje phishing Como lo muestra la pantalla ejemplo a continuación, la dirección en el campo de remisión (from field) 1. de un mensaje electrónico phishing siempre aparenta ser del banco imitado en el correo, en este caso del Citibank. Asimismo, la página lucirá sus logotipos o imágenes 2. muchas veces extraídas de algúnsitio Web real del banco. Además, aparecerá un hipervínculo—en la pantalla es la palabra here (aquí) 3. —que al activarse enlaza al usuario con otro sitio Web aparentemente del banco pero que en realidad es un sitio Web gemelo falso y preparado para pedir y tomar sus datos. En este caso la dirección del falso es la que aparece en la parte inferior izquierda de la pantalla ejemplo…que de entrada no esde un banco porque las direcciones de los bancos son https:// en lugar de http:// (también, las páginas de los bancos llevan en sus navegadores un candado que si no figura no es una página legítima). cerrado Los hipervínculos además pueden aparecer con nombres más convincentes como Log-in to Citibank o www.citibank.com/secure. Cual sea la nomenclatura los mensajes falsos phishing buscan insinuarlea la víctima activarlos…para actualizar sus datos por no haber podido procesar recientes operaciones en su cuenta y para

1

garantizar que su cuenta no sea suspendida, favor teclear aquí”…como reza el ejemplo. También proponen otros argumentos como…“para confirmar sus datos a solicitud del departamento de seguridad del banco favor teclear aquí…”. Cualquiera sea el raciocinio, los mensajesbuscan engañar. 3. ¿Quien está detrás del phishing? Son miles los delincuentes—solos u organizados—detrás de los correos electrónicos phishing. Envían millones de correos a la expectativa que al menos unos pocos de sus destinatarios muerdan el anzuelo aportando su información bancaria personal y confidencial. Cualquiera con dirección electrónica está expuesto y las direcciones matriculadas en laInternet (en foros de discusión, en grupos de noticias, o en un sitio Web) corren mayor peligro porque los programas araña (webcrawlers) merodean la Internet atrapando cuanta dirección electrónica puedan de las páginas Web. Por eso el phishing es tan rentable—sin mayor costo los pillos pueden acceder a millones de direcciones. 4. ¿Qué hacer contra el phishing? Lo más importante es saber que todo...