Banca electrnica

El da que Berto estuvo a punto de morder el

anzuelo
Aquel sbado, Carlos haba quedado con sus amigos. Baj hasta el comedor donde estaba su
padre Berto para pedirle un poco de dinero, pero lo que vio le dej de piedra: su padre estaba
siendo engaado por un correo falso!
Empecemos por el inicio de la tarde. Berto estaba mirando su correo electrnico cuando le lleg
uno como este:

El correo electrnico, que pareca venir de Banco Martn, la entidad donde Berto tiene su cuenta, le
deca que haban aadido un sistema antifraude que eliminaba la posibilidad de accesos
fraudulentos a su cuenta. Tambin le decan que tena que activar ese servicio antes de 48 horas
o su cuenta quedara bloqueada.
A primera vista, le pareci perfecto, ya que todo sistema que aumentara la seguridad de su cuenta
era bienvenido. Adems, haban sido considerados y haban aadido un enlace para que de forma
sencilla activara dicha funcionalidad. Pero al pulsar en el enlace, lleg a una pgina web como la
siguiente:

En este momento fue cuando Carlos lleg. Y menos mal que lleg! Cuando vio la pgina le dijo:

- Pap, no pongas tus datos!

- Por qu no?
- Porque esa no es la web del banco, es una web falsa. Si pones los datos
que te piden habrs mordido el anzuelo.
- Y cmo sabes t que no es la pgina del banco?
- Mira pap, hay unos trucos que te pueden ayudar a saber si un correo es
real o no.
Estamos ante un ejemplo de phishing bancario. Correos electrnicos que buscan ganar la
confianza del destinatario hacindole creer que el remitente es realmente el banco en el que tienen
una cuenta abierta para intentar obtener claves de acceso a esa cuenta.

El contenido es sospechoso?
El primer paso para identificar un phishing es valorar el contenido del correo electrnico: hacer una
lectura del mismo y extraer de qu va el correo. Por ejemplo, en el caso anterior el tema sera
bancario.

- Por problemas tcnicos, la cuenta ha caducado y no podr acceder a la

pgina web del banco si no actualiza sus datos o la contrasea.
- Por motivos de seguridad necesitamos que confirme sus datos para
comprobar que su cuenta no ha sido comprometida.
- Hemos detectado una transferencia internacional desde su cuenta. Si
usted no ha realizado dicha transferencia, acceda mediante este enlace a
su cuenta para anular dicha transferencia.
Estos tres ejemplos intentan asustarnos para que actuemos segn las indicaciones del correo
electrnico. Siempre aaden una excusa (problemas tcnicos o de seguridad) y proporcionan una
solucin sencilla (acceda a su banco utilizando este enlace).
Adems, es muy habitual en este tipo de phishing que se soliciten en el correo electrnico claves y
otros datos de acceso a las cuentas bancarias, prctica que las entidades bancarias legtimas
nunca llevaran a cabo.

Estos son ejemplos de temas utilizados por los delincuentes para engaar a sus vctimas. Sin
embargo, la inventiva de los delincuentes no tiene fin y aparecen nuevos temas constantemente.
Debemos sospechar de correos electrnicos relacionados con dinero o que intenten despertar
nuestra curiosidad.

La escritura es correcta?
Volviendo al ejemplo del correo electrnico anterior del Banco Martn, podemos ver que, por
ejemplo, no se han utilizado tildes y que hay errores gramaticales y de puntuacin. Resulta extrao
que nuestro banco enve una comunicacin a todos sus clientes con una redaccin y ortografa
descuidadas.
Los delincuentes que realizan las campaas de estafa suelen ser extranjeros, y deben por tanto
traducir sus correos electrnicos al espaol, en general con errores. Estos errores en la traduccin
aparecen en forma de:

Fallos semnticos: artculos el la intercambiados.

Palabras con smbolos extraos: donde deberan estar palabras acentuadas como por
ejemplo: Descripcin. Este caso aparece al intentar escribir vocales acentuadas en un teclado
no espaol.

Frases mal construidas: Este sistema est construido en la utilizacin de una pregunta
secreta y respuesta.
Si detectamos que el correo tiene una ortografa pobre y su escritura es informal, debemos estar
alerta.

A quin va dirigido el correo?

Si un delincuente quiere estafar a cientos de miles de personas, es muy complicado saber el
nombre de todas esas personas. Por ello, utilizan frmulas genricas como Estimado cliente o
Hola amigo para evitar decir un nombre:

Cuando una entidad bancaria tiene que dirigirse por correo a un cliente, siempre lo hace enviando
correos electrnicos personalizados, donde utiliza el nombre del cliente e incluso en algunas
ocasiones, parte de su DNI.
Si recibimos un correo no personalizado de una entidad bancaria, estamos probablemente ante un
caso de intento de estafa.

Pide hacer algo de manera urgente?

Otra tcnica utilizada por los delincuentes es la de pedir la realizacin de una accin en un perodo
de tiempo muy corto.
Por ejemplo, en el caso del correo que estamos analizando nos indican que Si el registro no es
realizado dentro de 48 Horas su cuenta sera suspendida temporalmente hasta que su registro sea
completado:

Con esta urgencia, los delincuentes intentan que su vctima tome una decisin precipitada y caiga
en la trampa, que incluye visitar un enlace e indicar datos personales y/o contraseas. Este es otro
sntoma que nos hace sospechar que el correo recibido ha sido enviado por un delincuente.

El enlace es fiable?
La intencin de los delincuentes es que pinchemos en un enlace para llevarnos a un sitio web
fraudulento. En el texto del correo de ejemplo aparece un enlace como este:

Se supone que al pulsarlo deberamos ir a la pgina web www.bancoMartin.es. Sin embargo, en

un correo fraudulento no suele ser as. Cmo podemos saber la verdadera direccin a la que
apunta un enlace? Muy fcil: situando el puntero encima del enlace y observando la verdadera
direccin que se muestra en la parte inferior izquierda del navegador.

Como podemos ver, la direccin real del enlace es:

De esta sencilla forma podemos comprobar si un enlace es fiable y detectar as un correo

fraudulento.
Debemos tener en cuenta que los delincuentes utilizan trucos para intentar engaar a sus vctimas.
Por ejemplo, el siguiente enlace, aunque puede parecer correcto, en realidad no lo es:

Como vemos, la direccin de destino no es www.bancoMartin.es,

sino www.bancoMartin.es.asdf.ru.
Una recomendacin a seguir es la de no acceder a una web de banca online a travs de un
enlace en el correo electrnico. Si deseamos acceder a la web de nuestro banco la mejor forma
es escribir en la barra de direcciones del navegador la direccin deseada.

Quin enva el correo?

Por ltimo, slo nos queda comprobar la identidad del remitente. Hemos dejado esta pregunta para
el final ya que no ofrece garantas para saber a ciencia cierta si un correo es fiable o no.
Debemos sospechar si el remitente es una direccin de correo que no pertenece a la entidad
bancaria, como por ejemplo:

El hecho de que el correo provenga de un correo aparentemente correcto no es indicio concluyente

de la legitimidad del mismo. El remitente de un correo electrnico puede ser manipulado y los
delincuentes son capaces de enviar correos con el remitente falsificado en nombre de entidades
bancarias. De hecho, el correo analizado contiene una direccin origen falsificada como vemos:

Consejos finales
Hagamos un repaso a las preguntas que debemos hacernos para detectar un correo que intenta
estafarnos:

El contenido es sospechoso? S precavido ante los correos que dicen provenir de

entidades bancarias con mensajes sospechosos.

La escritura es correcta? Un banco ha de cuidar su imagen. Si hay errores en el texto,

sospecha.

El correo va personalizado? Nuestro banco conoce nuestro nombre, si nos enva un

correo, lo utilizar. Si recibes comunicaciones annimas dirigidas a Estimado cliente,
Notificacin a usuario o Querido amigo, es un indicio que te debe poner alerta.

Es necesario hacer algo urgente? Si nos obliga a tomar una decisin en unas pocas
horas, es mala seal. Contrasta en la web de tu banco o en su nmero de telfono si la urgencia
es real o no.

El enlace es real? Revisa si el texto del enlace coincide con la direccin a la que apunta.

Quin enva el correo? Si recibes la comunicacin de un buzn de correo tipo

@gmail.com o @hotmail.com, sospecha!

Qu tipo de informacin te piden? En este caso, puedes aplicar la ecuacin: datos

bancarios + datos personales = fraude.
Por ltimo, si encuentras algn correo fraudulento en tu bandeja de entrada puedes avisarnos
enviando un correo electrnico a:
incidencias[arroba]certsi.es

Contenidos relacionados:

Consejos para un uso seguro de la banca electrnica

Te preocupa tu seguridad online? A tu banco tambin