Riesgo Informtico: Phishing

Introduccin a la Computacin

Riesgo Informtico
Nueva modalidad a travs de Internet: Phishing
Preparado por Ing. Simn Mario Tenzer, Octubre 20041

La Informtica est en permanente expansin y evolucin.

Ms personas acceden a las
computadoras, cuyos costos son cada vez menores y sus facilidades de uso mayores. Estos son
hechos continuos, y seguirn ocurriendo en el futuro, democratizndose la informtica. La vida de
la sociedad se facilita y tambin surgen nuevas formas de delitos, que se expanden tanto o ms
rpido que el uso de las computadoras en las organizaciones e individualmente .
Por lo tanto, es necesario aprender cada vez ms sobre los avances de los sistemas de
informacin, recursos informticos, comercio electrnico y otros aspectos, como as tambin sobre
2
cmo se deben utilizar las computadoras para minimizar los riesgos de todo tipo .
A los efectos de aprender sobre un nuevo tipo de riesgo informtico que existe a travs de
Internet, el phishing se presentan varios artculos breves. Estos han sido obtenidos de Internet,
presentndose la correspondiente direccin (fuente), con mnimas adaptaciones slo con fines
docentes. Se invita al lector a consultar Internet, donde hay abundante literatura sobre el tema.3

Indice:
1) Ojo al timo del phishing : define qu es, procedencia del nombre, cmo funciona, un
ejemplo ocurrido en Espaa, cmo evitarlo tanto en organizaciones como individualmente.

2) Todo lo que debe saber del Phishing: es un artculo de Microsoft, con cinco pasos o
procedimientos para protegerse de este delito.

3) Caso de phishing a clientes del banco Banesto: presenta un ejemplo comprobado.

4) Clientes de Visa Internacional vctimas de "phishing": presenta otro ejemplo verificado

5) Phishing: fcil y rentable: explica cmo se genera, lista conocidas organizaciones que
han sido afectadas, indica lo fcil y rentable que es y finalmente recomienda mantener los
ojos bien abiertos y no fiarse de imgenes o trminos tcnicos en un mensaje recibido de
e-mail.

Con la colaboracin de Cra. Beatriz Pereyra y dems integrantes de la Ctedra Introduccin a la

Computacin.
2
Ver Introduccin a Riesgo Informtico.
3
Tambin ver Internet, una herramienta para los negocios.

Riesgo Informtico: Phishing

Introduccin a la Computacin

1) Estafa por email con la que consiguen tus datos bancarios.

Ojo al timo del Phishing!
Fuente: http://www.terra.es/tecnologia/articulo/html/tec11600.htm

2 5- 0 8- 2 0 0 4

Terra - Tecnologa / Ana Bedia

Una estafa se est extendiendo en Internet, se trata del timo del Phishing. Los estafadores
mandan emails simulando ser un Banco u otra compaa de reconocido prestigio, para
luego llevar al usuario a una web falsa y hacerse con el nmero de su tarjeta de crdito u
otros datos bancarios.
Es una forma de ingeniera social4.
Al spyware y al adware5 se les ha unido una nueva amenaza
informtica, se trata del Phishing, lo nico que en este caso la
informacin que se obtiene es tan personal y tan delicada como los
nmeros de las tarjetas de crdito del usuario, contraseas y otros
datos financieros que en manos malignas pueden llevar a arruinar a
una persona.
Se trata de una prctica fraudulenta que est en expansin y la mejor
arma para combatirla es estar informado de su existencia y de cmo funciona.
El modus operandi de las mentes criminales que realizan este timo se asemeja al del pescador
que lanza el anzuelo esperando que algn pez pique. Es decir envan emails masivos hacindose
pasar por una reconocida compaa, en la mayora de los casos entidades bancarias o de tarjetas
de crdito, y esperan a que alguien muerda el anzuelo.

Qu es el Phishing? El Phishing hace referencia a las actividades criminales que imitan los
emails, sitios web, llamadas telefnicas u otras vas de comunicacin de compaas legtimas,
para invitar a sus usuarios a proporcionar informacin confidencial como contraseas, nombres de
usuario y nmeros de cuenta. Una vez los criminales se hacen con ellos pueden llegar a arruinar
al usuario.
Procedencia del trmino: El trmino Phishing es un juego fontico acuado por los hackers en el
que se ha sustituido la "f" de Fishing, que en espaol significa salir de pesca, por la "ph". Este timo
tiene sus orgenes en el ao 1960 cuando la comunidad hacker bautiz como Phone Phreaks, la
prctica en la que se defraudaba va telefnica imitando la identidad de usuarios legtimos.

El anzuelo
Los mails que envan los ciber delincuentes, con apariencia de nota oficial, informan al usuario de
la necesidad de actualizar sus datos o cuentas. En algunas ocasiones el mismo mail contiene un
pequeo formulario en el que se pide al usuario que introduzca sus datos financieros.
En otras lo que hacen los delincuentes es poner un enlace a una web falsa creada por ellos y con
aspecto casi idntico al de la entidad empleada como anzuelo, de tal manera que el usuario no
desconfe de ella.
Una vez all se pide al 'cliente' que introduzca, como ha hecho otras veces en la web verdadera (la
que no ha sido copiada), datos como sus contraseas, nmeros de tarjeta de crdito ste es el
momento en el que est perdido. Sus datos ya estn en manos ajenas y listos para ser utilizados
con fines delictivos.

Ver texto Internet, una herramienta para los negocios: Ataques a las contraseas con tcnicas de
ingeniera social.
5
Ver texto Riesgo Informtico- Spyware, Adware y Popup-

Riesgo Informtico: Phishing

Introduccin a la Computacin

Una estafa que se expande velozmente

El Phishing es una estafa que se est extendiendo en la Red y que afecta a muchsimas personas.
Ha llegado hasta tal punto que se ha creado una asociacin que lucha contra l, se trata del AntiPhishing Working Group http://www.antiphishing.org/
que lo componen alrededor de 636
miembros.

Esta asociacin asegura, que es tal la propagacin del Phishing, que las actuaciones crecen a un
ritmo del 50 por ciento al mes, y que el 5 por ciento de las personas que reciben estos emails
pican e introducen sus datos confidenciales.
Pero el Phishing no slo se hace mediante el correo electrnico, tambin se denomina as a la
estafa telefnica, en la que la persona que llama se hace pasar por empleado de una entidad
bancaria o compaa conocida, y engaa al usuario para que le proporcione los datos de su
cuenta.
Los malhechores no slo copian webs o se hacen pasar por entidades bancarias, el usuario ha de
estar alerta ante cualquier peticin de informacin confidencial sea cual sea su procedencia, ya
que por ejemplo el sitio de subastas online eBay es uno de los copiados por los ciberdelincuentes
para pescar en el mar de Internet.

Fraude superior a los 500.000 euros en Espaa

En Espaa hubo un relevante caso de phishing en mayo de 2004. La Guardia Civil desarticul, la
6
'Operacin Phesca' , una red con conexiones en Estados Unidos, Reino Unido, Australia, Nueva
Zelanda y Rusia que lleg a defraudar a travs de Internet ms de 500.000 euros.
En la Operacin fueron detenidas seis personas (tres rusos, dos estonios y un dominicano). La
investigacin se inici a raz de una denuncia presentada por una entidad bancaria, ante el inicio
de una campaa indiscriminada de envo de correos electrnicos, que inducan a error a sus
clientes de banca electrnica.
El objetivo de este ataque era que sus clientes facilitasen los datos de acceso y control de sus
cuentas corrientes y de esta forma poder ser utilizados por los miembros de la red para sus
operaciones.
Cmo evitarlo
La forma ms infalible de prevenir el Phishing, como otras muchas amenazas de la Red, es estar
informado de su existencia, ya que no existen programas que lo eliminen totalmente.
Las entidades financieras ya informan a sus clientes de que ellos nunca pedirn que se les
proporcionen datos confidenciales por estos medios (va email o telefnicamente).
Utiles son las recomendaciones de la compaa de seguridad informtica MacAfee, publicadas
recientemente bajo el ttulo "Anti-Phishing: buenas prcticas para instituciones y usuarios".

http://www.guardiacivil.es/prensa/notas/noticia.jsp?idnoticia=1519

Riesgo Informtico: Phishing

Introduccin a la Computacin

Consejos a entidades
A las instituciones les recomienda: 1) crear polticas corporativas que sean comunicadas a los
clientes, para que el contenido de un correo electrnico no lleve a error al usuario y confunda un
mensaje legtimo con uno fraudulento, 2) insertar informacin de autenticacin en todo mensaje de
correo electrnico que enva a los consumidores, 3) si las instituciones no pidieran que sus clientes
escribieran datos confidenciales, como sus nmeros de tarjeta de crdito, para acceder a sus sitios
web, sera ms difcil que los estafadores pudieran actuar y 4) recomienda aplicar un buen
antivirus con filtros y soluciones antispam.

Consejos a consumidores
Para los usuarios particulares, McAfee sugiere bloquear automticamente los mensajes de correo
electrnico maliciosos o fraudulentos (teniendo en cuenta que el software anti spam puede ayudar
a filtrar esos mensajes como correo no deseado). Tambin aconseja borrar automticamente
programas maliciosos, como podran ser los spyware7, y bloquear automticamente el envo de
informacin importante a terceros con intenciones maliciosas. Recomienda al consumidor que sea
precavido, y que si duda de la legitimidad de un mensaje, llame a compaa que figure en el correo
para verificar su autenticidad.

2) Todo lo que debe saber acerca del "phishing"

Publicado: 27/05/04

Fuente: http://www.microsoft.com/latam/seguridad/hogar/spam/phishing.mspx

Si crea que su buzn estaba seguro, recuerde que hay una nueva fo rma de
correo no deseado al acecho. Este tipo de correo basura no slo es inesperado
y molesto, sino que tambin facilita el robo de sus nmeros de tarjetas de
crdito, contraseas, informacin de cuentas y otra informacin personal.

Qu es el "phishing"?
El "phishing" es una modalidad de estafa diseada con la finalidad de robarle la identidad. El delito
consiste en obtener informacin tal como nmeros de tarjetas de crdito, contraseas, informacin
de cuentas u otros datos personales por medio de engaos. Este tipo de fraude se recibe
habitualmente a travs de mensajes de correo electrnico o de ventanas emergentes.
Cmo funciona el "phishing"?
En esta modalidad de fraude, el usuario malintencionado enva millones de mensajes falsos que
parecen prove nir de sitios Web reconocidos o de su confianza, como su banco o la empresa de su
tarjeta de crdito. Dado que los mensajes y los sitios Web que envan estos usuarios parecen
oficiales, logran engaar a muchas personas hacindoles creer que son legtimos. La gente
confiada normalmente responde a estas solicitudes de correo electrnico con sus nmeros de
tarjeta de crdito, contraseas, informacin de cuentas u otros datos personales.
Para que estos mensajes parezcan aun ms reales, el estafador suele incluir un vnculo falso que
parece dirigir al sitio Web legtimo, pero en realidad lleva a un sitio falso o incluso a una ventana
emergente que tiene exactamente el mismo aspecto que el sitio Web oficial. Estas copias se
denominan "sitios Web piratas". Una vez que el usuario est en uno de estos sitios Web, introduce
informacin personal sin saber que se transmitir directamente al delincuente, que la utilizar para
realizar compras, solicitar una nueva tarjeta de crdito o robar su identidad.
7

Ver texto Riesgo informtico- Spyware, Adware y Popup.

Riesgo Informtico: Phishing

Introduccin a la Computacin

Procedimientos para protegerse del "phishing"

Al igual que en el mundo fsico, los estafadores continan desarrollando nuevas y ms siniestras
formas de engaar a travs de Internet. Si sigue estos cinco sencillos pasos podr protegerse y
preservar la privacidad de su informacin.
1.

2.

Nunca responda a solicitudes de informacin personal a travs de correo electrnico. Si tiene

alguna duda, pngase en contacto con la entidad que supuestamente le ha enviado el
mensaje.
Para visitar sitios Web, introduzca la direccin URL en la barra de direcciones.

3.

Asegrese de que el sitio Web utiliza cifrado.

4.

Consulte frecuentemente los saldos bancarios y de sus tarjetas de crdito.

5.

Comunique los posibles delitos relacionados con su informacin personal a las autoridades
competentes.

Paso 1:
Nunca responda a solicitudes de informacin personal a travs de correo electrnico
Microsoft y las empresas de prestigio supuestamente nunca solicitan contraseas, nmeros de
tarjeta de crdito u otro tipo de informacin personal por correo electrnico. Si recibe un mensaje
que le solicita este tipo de informacin, no responda. Si piensa que el mensaje es legtimo,
comunquese con la empresa por telfono o a travs de su sitio Web para confirmar la informacin
recibida. Consulte el Paso 2 para obtener informacin sobre las prcticas ms adecuadas para
acceder a un sitio Web si cree que ha sido vctima de una maniobra de "phishing".
Para obtener una lista de ejemplos de correo electrnico de "phishing" conocidos visite
http://www.antiphishing.org/phishing_archive.htm

Paso 2: para visitar sitios Web, introduzca la direccin URL en la barra de direcciones
Si sospecha de la legitimidad de un mensaje de correo electrnico de la empresa de su tarjeta de
crdito, banco o servicio de pagos electrnicos, no siga los enlaces que lo llevarn al sitio Web
desde el que se envi el mensaje. Estos enlaces pueden conducirlo a un sitio falso que enviar
toda la informacin ingresada al estafador que lo ha creado.
Si utiliza Windows como sistema operativo: Aunque la barra de direcciones muestre la direccin
correcta, no se arriesgue a que lo engaen. Los piratas conocen muchas formas para mostrar una
direccin URL falsa en la barra de direcciones del navegador. Las nuevas versiones de Internet
Explorer hacen ms difcil falsificar la barra de direcciones, por lo que es una buena idea visitar
8
Windows Update regularmente y actualizar su software. Si cree que podra olvidarse o prefiere
que la instalacin se realice sin su intervencin, puede configurar la computadora para que realice
actualizaciones automticas.

Paso 3: asegrese de que el sitio Web

utiliza cifrado
Si no se puede confiar en un sitio Web por su
barra de direcciones, cmo se sabe que ser
seguro? Existen varias formas: En primer
lugar, antes de ingresar cualquier tipo de
informacin personal, compruebe si el sitio
Web utiliza cifrado para transmitir la informacin personal. En Internet Explorer puede comprobarlo
con el icono de color amarillo situado en la barra de estado, tal como se muestra en la figura
adjunta. Icono de candado de sitio seguro. Si el candado est cerrado, el sitio utiliza cifrado.

http://windowsupdate.microsoft.com/

Riesgo Informtico: Phishing

Introduccin a la Computacin

Este smbolo significa que el sitio Web utiliza cifrado para proteger la informacin personal que
introduzca: nmeros de tarjetas de crdito, nmero de la seguridad social o detalles de pagos.
Haga doble clic sobre el icono del candado para ver el certificado de seguridad del sitio. El nombre
que aparece a continuacin de Enviado a debe coincidir con el del sitio en el que se encuentra. Si
el nombre es diferente, puede que se encuentre en un sitio falso. Si no est seguro de la
legitimidad de un certificado, no introduzca ninguna informacin personal. Sea prudente y
abandone el sitio Web. Para conocer otras formas de determinar si un sitio es seguro, consulte
9
Seguridad de datos en Internet Explorer.

Paso 4: consulte frecuentemente los saldos bancarios y de sus tarjetas de crdito

Incluso si sigue los tres pasos anteriores, puede convertirse en vctima de las usurpaciones de
identidad. Si consulta sus saldos bancarios y de sus tarjetas de crdito al menos una vez al mes,
podr sorprender al estafador y detenerlo antes de que provoque daos significativos.

Paso 5: comunique los posibles delitos relacionados con su informacin personal a las
autoridades competentes
Si cree que ha sido vctima de "phishing", proceda del siguiente modo:
Informe inmediatamente del fraude a la empresa afectada. Si no est seguro de cmo
comunicarse con la empresa, visite su sitio Web para obtener la informacin de contacto
adecuada. Algunas empresas tienen una direccin de correo electrnico especial para
informar de este tipo de delitos. Recuerde que no debe seguir ningn vnculo que se
ofrezca en el correo electrnico recibido. Debe introducir la direccin del sitio Web
conocida de la compaa directamente en la barra de direcciones del navegador de
Internet.
Proporcione los detalles del estafador, como los mensajes recibidos, a la autoridad
10
competente a travs del Centro de denuncias de fraude en Internet . Este centro trabaja
en todo el mundo en colaboracin con las autoridades legales para clausurar con celeridad
los sitios Web fraudulentos e identificar a los responsables del fraude.

h ttp://www.microsoft.com/windows/ie/using/articles/browsingsafety.mspx El sitio est en ingls.

10

http://www.ifccfbi.gov/index.asp

Riesgo Informtico: Phishing

Introduccin a la Computacin

Si cree que su informacin personal ha sido robada o puesta en peligro, tambin debe comunicarlo
a la FTC
(Federal Trade Commisssion) http://www.ftc.gov/ y visitar el sitio Web de robo de
identidades de la FTC http://www.consumer.gov/idtheft/ para saber cmo minimizar los daos.
La pgina principal se
despliega en ingls o
en espaol. Algunas
otras tambin, as
como documentos
.PDF como ser cmo
hacer la declaracin
jurada de robo de
identidad (7 pgs.)

3) Caso de 'phishing' a clientes del banco Banesto

25/09/2004

Fuente: http://www.hispasec.com/unaaldia/2163
Bernardo Quintero, bernardo@hispasec.com

Se ha detectado en la fecha del ttulo un envo masivo e

indiscriminado de e-mails simulando ser un mensaje de Banesto. El
mensaje solicita a los clientes se dirijan a una direccin del sitio web
de Banesto para reactivar la cuenta con un nuevo sistema de
seguridad que evitar las estafas.
El remite falso del mensaje aparece con el nombre de "Banesto Banca" con direccin
<serv.atension@banesto.es>, y en el campo de asunto el texto "Banesto Banca:Estimado cliente!".
El cuerpo del e-mail, en formato HTML, incluye una cabecera grfica con el logotipo y elementos
grficos de la imagen corporativa de Banesto, en un intento de hacer ms creble el engao.
Sin embargo, en la redaccin del texto del mensaje pueden observarse varias faltas de ortografas
e incoherencias, no propias de un comunicado serio de cualquier entidad, y que deben hacer
sospechar a los usuarios. Este extremo tambin apuntara al origen extranjero de la estafa.
En cuanto al apartado tcnico, todos los elementos grficos del mensaje son descargados desde
el servidor http://www.tedfahn.com/, donde tambin pueden encontrarse numerosos logs de otros
ataques. El
formulario falso, donde se solicita al cliente de Banesto sus datos, se encuentra
hospedado en el servidor http://www.fischers.nu/
En ambos casos es ms que probable que se traten de servidores webs legtimos que han sido
comprometidos
y
utilizados
por
los
atacantes
para
llevar
a
cabo
la
estafa.
En el mensaje la URL de la web de Banesto aparece a simple vista correctamente escrita, en un
grfico, que al ser pinchado redirige realmente a la web http://www.fischers.nu/ donde se
encuentra el formulario falso.

Riesgo Informtico: Phishing

Introduccin a la Computacin

11

El enlace que utilizan internamente para la falsificacin se encuentra ofuscado

HTML como: [* http: //extranet.banesto.es.npage.loginParticulares.htm%01
@www.%66%69%73%63%68%65%72%73%2E%6E%75 *]

en el cdigo

Con este formato los atacantes intentan aprovechar una vulnerabilidad de Internet Explorer para
que el usuario visualice una URL concreta en la barra de direcciones, cuando en realidad est
visitando un sitio web diferente. Esta vulnerabilidad ya fue corregida en un parche de Microsoft en
febrero de este ao, y los usuarios con Internet Explorer actualizado no se encuentran afectados ni
podrn ser vctimas de la estafa en esta ocasin.
Recordamos a los usuarios que en ningn caso deben utilizar enlaces a los sitios web de banca
electrnica que provengan de mensajes, mecanismo habitual de los ataques "phishing", as como
la necesidad de mantener su sistema puntualmente actualizado.

4) Clientes de Visa Internacional vctimas de "phishing"

http://www.vsantivirus.com/ev-phishing-visa.htm

27/12/2003

VSantivirus No. 1268 Ao 8

Una nueva modalidad de estafa con mensajes y sitios web falsificados, est atacando esta vez a
usuarios de la popular tarjeta de crdito Visa, una de las ms utilizadas para transacciones va
Internet. El falso sitio est especialmente diseado para obtener los nmeros de cuenta de cliente
y sus nmeros personales de identificacin (PIN, etc.).
Es notorio el aumento de este tipo de estafas, y los expertos prevn un aumento cuantitativo para
el 2004. Una de las razones, es que las recientes fallas detectadas en navegadores de Internet
como Internet Explorer y otros, permite utilizar tcnicas de engaos ms difciles de identificar
como falsas.
En el caso de esta estafa a usuarios de tarjetas Visa, no se han hecho pblicos an comentarios
de Visa Internacional, a pesar de haber sido consultada.
El mensaje que se distribuye como spam, simula ser enviado por Visa Internacional, y reclaman
que la compaa ha aplicado un nuevo sistema de seguridad para evitar las posibles acciones de
fraude. Por ello, le pide al usuario que pinche en un enlace en el mismo mensaje, para reactivar su
cuenta. La estafa ha sido advertida primero en "Full-Disclosure", una lista frecuentada por expertos
de seguridad.
El mensaje contiene un enlace a un sitio Web que simula llevar al usuario al sitio "www.visa.com",
el sitio oficial de Visa Internacional.
Sin embargo, examinando el cdigo fuente del mensaje, se puede identificar que la conexin es
redirigida a una pgina web de una direccin de Internet que no pertenece a Visa. Aunque
actualmente el sitio ha sido desactivado, esto debe servir de advertencia ante situaciones
similares, que seguramente no tardarn en repetirse.
En el pasado reciente, clientes de BBVAnet, Citibank, Wells Fargo y otros han sido vctimas de
estafas semejantes.
Segn algunas compaas de seguridad, en periodos de fiestas y vacaciones, como stas, este
tipo de estafas puede aumentar en un 400 por ciento respecto al resto del ao.
Slo en 60 das, se han detectado 90 mensajes que utilizan algn tipo de spam. Eso incluye los
ya clsicos con estafas al estilo nigeriano (alguien desea utilizar nuestra cuenta bancaria para
transferir millones de dlares de un pas africano o del oriente medio), o grandes premios en
loteras forneas (que nos pide un "pequeo" adelante de 100 a 300 euros "por gastos de envo").
Muchos de esos mensajes se valen de tcnicas de phishing para obligar al usuario a ingresar sus
datos en un sitio o formulario que se asemeja al original. En ningn momento debemos aceptar
ingresar datos en sitios a los que nos conduce un enlace en un correo electrnico.

11

El trmino ofuscado es el correcto, dado que NO est ocultado, sino trastornando la idea original, turbando
la vista.

Riesgo Informtico: Phishing

Introduccin a la Computacin

5) Phishing: fcil y rentable

Fuente: http://www.lcu.com.ar/phishing.php

Sergio de los Santos

Phishing:Qu? Pedir los datos? As de simple? Pues s, prcticamente. Se prepara un correo

HTML, con algunas imgenes robadas (botn derecho, salvar como...) de la web de un banco y
se enva un correo con las cabeceras cambiadas (por ejemplo info@banco.es) explicando que
para adaptar los datos de sus clientes y ofrecer un mejor servicio, se est realizando una
confirmacin de la informacin relativa al usuario almacenada en sus bases de datos, lo que
requiere confirmacin expresa del cliente, que debe pulsar sobre un enlace e introducir en l su
nombre de usuario y contrasea. Opcionalmente su nmero de la seguridad social y tarjeta de
crdito. Todo esto con un lenguaje ms o menos correcto y unos bonitos colorines. (Lo que
habitualmente se llama, web spoofing pero traducida al correo).
El enlace sobre el que pulsa el confiado usuario, por supuesto, no es ms que un servidor web de
los malvados estafadores, que quizs han alquilado un dominio relativamente parecido a la firma
a la que pretenden suplantar, por ejemplo http://w3.grupobbvanet.com/. Este ejemplo claro se dio
en Espaa durante todo Mayo de 2003, se intent (y nadie sabe cuntos picaran) cometer un
fraude entre los clientes del banco BBVA. Consista en enviar indiscriminadamente correos que
simulaban proceder de BBVA en el que se les peda introducir sus contraseas en el formulario de
un servidor, para poder acceder a ciertos servicios. La web donde introducan las claves resultaba
ser asombrosamente parecida a la original. La pgina, en realidad, estaba alojada en uno de los
miles de sitios web que ofrecen espacio gratuito o de pago, y permite la posesin de un
subdominio, que en este caso, haban aprovechado los estafadores para denominarlo
"grupobbvanet", en un intento de despiste y aparentar pertenecer a uno de los servidores oficiales
de BBVA que, por supuesto, nada tiene que ver con ellos. En E.E.U.U., los clientes de Ebay,
Halyfax, Lloyds, FirstUnion, PayPal y muchos otros grandes han sido vctimas de este tipo de
engaos. Ya se sabe, la buena fe del Hombre (y la Mujer), (y en especial los americano/as, pues
son los que ms pican en estafas digitales) hacen posible todo este tipo de basura ciberntica. El
caso del grupo BBVA ha sido de los pocos detectados en Espaa, pero se ha podido detectar la
insistencia de sus creadores, (enviaron varias "oleadas" de correos) imitadores de una moda que
en E.E.U.U. lleva ya aos practicndose.
Y esto es rentable? Que se lo pregunten a un tal Kenneth (slo un
apodo), que con 22 aos se jacta de haber estafado, junto a un
compaero, cientos de miles de dlares.
Confes haberse
enganchado a las estafas especializndose en usuarios de eBay.
Enviaba estos correos a unas 1000 personas un da, afirmando que su
cuenta iba a caducar, y necesitaba confirmar los datos. Al siguiente obtena unas 200 respuestas,
que se traducan en el nombre y contrasea de 200 usuarios reconocidos de eBay. Una vez poda
hacerse pasar por alguno de ellos, muchos reputados usuarios del servicio de subastas, elega a
algn otro usuario enzarzado en alguna interesante apuesta, y se diriga a l personalmente a
travs del sistema de mensajera privada de eBay ofrecindole un precio inigualable por el mismo
artculo por el que pujaba, pero sin los riesgos propios de la subasta. Muchos, revisando los
histricos de la identidad robada que le ofreca tal chollo, comprobaban que hasta ahora, haba
mantenido una actitud irreprochable, y no constaba que dejara sin pagar ningn artculo adquirido.
De esta manera, el tal Kenneth ganaba la confianza del estafado, e inventaba mil frmulas para
que pagara por adelantado, a travs de una transferencia bancaria a la que nunca res ponda. Si el
incauto se resista a realizar grandes pagos a travs de transferencia, Kenneth argumentaba
rpidamente que, si quera ms seguridad, poda realizar el traspaso a travs de una agencia que
ofreca su servicio va web. As engaaba una vez ms a los pobres usuarios, que insertaban su
nmero de tarjeta de crdito en una pgina inventada y fabricada por el propio Kenneth. En
realidad, no era tan sencillo, grandes dosis de ingeniera social eran necesarias para crear algn
tipo de complicidad con sus vctimas y hacerles picar el anzuelo. Les hablaba del miedo a ser
estafado l mismo, se ofenda ante las acusaciones o sospechas de posible estafa, trataba de dar
la mayor pena posible, mostrndose necesitado del dinero, desesperado por vender el producto
anunciado en eBay, con el fin de destinarlo a la mejor causa humanitaria del mundo.

Riesgo Informtico: Phishing

Introduccin a la Computacin

Y es que, cada vez menos, son necesarias grandes dosis de conocimientos tcnicos para hacerse
con una contrasea. Un poco de conocimientos de HTML para construir un correo que se hace
pasar por el de otra empresa, un programa para enviar correos masivos que cambie las
cabeceras, y sobre todo, mucha jerga fatalista, o en cualquier otro tono posible pero ms que
nada, creble, es lo nico necesario para llevar a cabo este plan. Salir de pesca en Internet, en
busca de incautos a los que no les importe en absoluto rellenar un par de cuadros de dilogo con
su contrasea, algo equivalente a declarar ante cualquier desconocido nuestra clave personal.
Ya he indicado en muchos artculos que la desconfianza es la base de la seguridad, y nunca se
debe proporcionar la clave o ningn otro dato confidencial a nadie, ni por telfono ni por Internet.
Ninguna empresa seria nos la pedir, y en el caso de desastre o causa mayor, nos la modificar y
comunicar personalmente, pero jams nos pedir que rellenemos un recuadro con nuestros
datos para confirmar o para asegurar nada.
A nivel personal nos queda mantener los ojos bien abiertos, y no fiarnos de un par de imgenes o
palabras tcnicas en un correo, que no garantizan en absoluto la autora del mismo.
A nivel organizacional es prioritaria la administracin y el anlisis de riesgo informtico, apropiado
12
a las caractersticas de cada institucin o empresa.

12

Ver texto Introduccin al Riesgo Informtico.

10