México D.F.- Según el estudio Norton Cybercrime Report 2012, el número de víctimas en México por delitos informáticos en los últimos 12 meses fue de 14.8 millones. Y mientras los cibercriminales se mueven cada vez más a redes sociales y dispositivos móviles, en México el 21 por ciento de los usuarios no revisan los enlaces antes de compartir con otros. Lo cual resulta altamente efectivo y redituable para aquellos que practican el Phishing.

Este tipo de delito electrónico consiste en la adquisición confidencial de forma fraudulenta (contraseñas, número de tarjetas de crédito, información bancaria, etc.), y la forma de conseguirlo es a través de un portal falso en el que se hace pasar por alguna persona famosa o una empresa de confianza, a través de un correo electrónico o mensajería instantánea en la que ofrece grandes “beneficios” (obviamente falsos), de la compañía o persona para que caigan en el juego y brinden su información confidencial.

Notas sobre investigación:
¿De qué se quejan de los mexicanos? informe de E.Life
Desempleados vs Empleadores: La paradoja del talento

¿Cómo lo hacen?
Para hacerse pasar por una empresa o persona, estos hampones cibernéticos utilizan comúnmente URL mal escritas, las cuales si no se presta la suficiente atención, pasan desapercibidas. Otra forma que ocupan para cometer estos delitos, es por medio de un programa que altera la barra de direcciones poniendo una imagen de la URL verdadera del sitio sobre la barra de direcciones, pero el más popular de todos es cuando el atacante usa el código de la página original para dar la impresión que es real, pero al momento de llegar al usuario, este código ya está modificado para realizar el ataque.

Algunos ejemplos de Phishing

Lionel Messi
En el estudio Norton Cybercrime Report 2012, se informó que un gran número de ataques de phishing relacionados con temas de redes sociales, aparecia el jugador argentino Lionel Messi. Estos sitios de phishing estaban alojados en sitios de host de servicios web gratuitos.

En esta imagen de un sitio phishing se puede ver a Lionel Messi y el tema que se promovía hacía alusión al club de fútbol FC Barcelona, a diferencia del sitio legítimo messi.com en donde no se incluye ningún tema. Además, en este sitio falso se solicitaba a los usuarios iniciar sesión para poder tener acceso al sitio oficial, ingresando su correo y contraseña, con las que se podría facílmente hacer un robo de correo electrónico.

American Airlines
La agencia de seguridad electrónic Sophos detectó el envío de correos de e-mails provenientes supuestamente de United Airlines, donde se informaba que unos boletos de avión habían sido comprados con tu tarjeta de crédito, que en realidad se trataba de un troyano que infectaba la computadora.

El correo electrónico decía lo siguiente:

Thank you for using our new service “United Airlines ticket Online” on our website.
Your account has been created:
Your login:
Your password: pass8KU9

Your credit card has been charged for $956.27.
We would like to remind you that whenever you order tickets on our website you get a discount of 3%! Attached to this message is the purchase Invoice and the United Airlines ticket. To use your ticket, simply print it on a color printed, and you are set to take off for the journey!

Kind regards,
Jillian Biggs
United Airlines

Lo exitoso de este caso fue el remitente del correo, que venía como [email protected] , lo cual le daba más realismo al correo electrónico y por lo tanto mayor volumen de datos otorgados, y como suele ser habitual en estos correos el adjunto no suele ser lo que el e-mail dice, y aunque es comprensible que te preocupes por saber si alguien clonó tu tarjeta para usarla, lo más recomendable es hablar al banco para aclarar el asunto y no ser víctima de la estafa.

¿Qué hacer para no se víctima del Phishing?

Diversas agencias de seguridad electrónica como Norton recomiendan estos puntos para no caer en algún engaño:

• No dar click en ningún enlace sospechoso que venga en correos electrónicos.
• Evitar brindar cualquier información personal al contestar un email.
• Nunca introducir su contraseña personal en un banner tipo “pop up” o pantalla.
• Al introducir información personal o financiera, asegúrese que el sitio está encriptado con un certificado SSL buscando el logo del candado, los “https” o la barra verde de direcciones certificadas.
• Actualice con frecuencia su software de seguridad que le brinde protección contra el phishing online.
• Al ingresar a una web bancaria, siempre introduzca la dirección web, no use enlaces que pueden llevarlo a páginas falsas.
• Al término de cualquier operación, cierre la sesión.
• Considera que las entidades financieras y empresas serias nunca piden el envío de datos personales por correo electrónico.
• Durante cualquier proceso de compra, todos los correos electrónicos que reciba deben permanecer en el dominio de la empresa, Una gran empresa no tendrá una cuenta de Yahoo, gmail, Hotmail o de servidores con nombres extraños.

Sigue a Fernando García en Twitter
Seguir a @DrGonzoR