Phishing: cuando tu eres la presa

¿Alguna vez has creído ser un pez?, pues así te ven algunos hackers en el mundo. Sobre todo aquellos que se valen del phishing, que más que ser un programa, realmente es todo un método para pescarte.

Con el phising el delincuente informático sigue una serie de pasos para lograr quedarse con tus datos personales, en especial aquellos de procedencia financiera.

Normalmente el hacker crea un dominio o varios desde los que emula un servicio real, y te envía correos, o espera pacientemente a que visites la web, para que en uno o varios formularios dejes tus datos personales.

Su estrategia es hacerte sentir falsamente seguro, creerás que lo que estás haciendo es un procedimiento rutinario. Al delincuente le interesa que analices poco durante la operación, y que operes de forma automática.

Lo más reciente en España

Lamentablemente le tocó el turno a la entidad bancaria BBVA. La Guardia Civil denunciaba a principios de este año que cientos de correos estaban siendo enviados a los españoles para que, si coincidía, la persona siguiera un enlace de supuesta actualización de datos, y dejara toda información a merced de delincuentes.

bbva-phishing
Phishing BBVA denunciado

En el primer tuit de la denuncia de la Guardia Civil en su cuenta @guardiacivil se recogieron más de 39 comentarios vinculados al tema.

El alcance del correo fue a más, y los hackers mejoraron la presentación del mismo.

La Oficina de Seguridad del Internauta se vio en la necesidad de generar una alerta el 19 de marzo de 2019 sobre esta campaña de phishing masiva generada por un grupo de hackers.

https://www.osi.es/es/actualidad/avisos/2019/03/los-clientes-del-bbva-vuelven-ser-posibles-victimas-de-un-phishing

En el enlace vemos como, desde un correo electrónico de una cuenta con un dominio dudoso, se nos escribe un texto similar al del banco, pero extrañamente desde el mail se nos invita a actualizar datos con una frase que posee un vínculo.

Al hacer clic se nos lleva a una web que es casi una copia de la del banco, y a través de formularios se nos piden datos personales.

Esta es la forma más común de engañarnos. La verdad es que nunca la entidad bancaria te pedirá actualizar tus datos fuera de su propio entorno web, menos por correo. Y mucho menos te pedirá información que ya controla, como tu número de tarjeta de crédito o débito, o código CCV.

El problema del phishing es que es muy difícil de detectar. Para cuando las autoridades pueden hacer referencia a un ataque, ya los hackers han sacado provecho suficiente del envío de los correos. Y al ser detectados, simplemente cambian el mensaje, el dominio, o escogen otra entidad bancaria.

¿Qué hacer ante el phising?

Como se trata de un método, y el atacante quiere que cumplas pasos, lo más importante es romperlos. De la siguiente manera:

  • Nunca hagas clic en enlaces dudosos.
  • Revisa bien el remitente del correo electrónico, para ver que sea de confianza.
  • Ten como rutina, si recibes un correo del banco, por ejemplo. Abrir el explorador y teclear directamente la dirección web del banco.
  • No llenes formularios con información que la entidad bancaria debe poseer. Si dudas llama por teléfono al banco.
  • Duda siempre de la información que recibes de empresas o personas desconocidas.
  • Sigue las recomendaciones de seguridad que te suele ofrecer tu banco o servicio en su página web.

Actualización

En el mismo mes de marzo, la Oficina de Seguridad del Internauta denunció una nueva campaña de Phishing bancario, esta vez afectando a clientes de ING.

En este caso el método era aún más sofisticado. Los hackers habían logrado emular casi a la perfección la web del banco, los formularios para pedir información.

En el proceso se quedaban con tus datos de la tarjeta, y hasta con una foto de tu tarjeta de coordenadas, que voluntariamente subías pensando que te la solicitaba el banco.

Al finalizar el proceso, los delincuentes te dirigían a la web real del banco, como un paso más para engañarte, y pasar como un proceso legítimo.

¿Es posible hackear al hacker? Si te interesa este tema, y quieres aprender más sobre seguridad en el ciberespacio te recomendamos este libro:

Hackear al Hacker de Roger Grimes. Ed Marcombo.