El día de hoy me ha llegado un correo electrónico de mi banco, en este caso es el Banco Santander, del cual no soy cliente, obviamente se entiende de que este correo electrónico no proviene del lugar que dice supuestamente venir. Quizás suene un poco majadero para algunos entendidos en la materia pero también debemos entender que no todas las personas son muy alfabetizadas digitalmente hablando, a pesar de la constante interacción con las redes sociales. un ejemplo podría ser mi madre o mi abuela, que aunque a veces puede sonar un poco gracioso, ambas tienen Facebook y son socialmente activas en esta red. También son visitantes frecuentes de Youtube y disfrutan de Netflix desde sus celulares y tablets.
A pesar de lo comentado anteriormente, no puedo esperar que mi abuela o mi madre entiendan o se imaginen todos los peligros que nos acechan a diario en el mundo digital, sin ir mas lejos recién en estos últimos 3 años el mundo de los usuarios comunes ha oído hablar de la
Deep Web y hasta los entendidos en Tecnologías de la Información no conocen la diferencia entre virus, gusanos, ramsonware, troyanos o malware en general pero no profundizare en estos temas ya que lo que nos convoca es este post es el
Phishing y trataré de explicar lo mas sencillo posible sobre esto.
El Phishing es una técnica de ingeniería social ya que se aprovecha de una vulnerabilidad critica que no tiene ningún CVE
(Common Vulnerabilities and Exposures) asociado y aun no ha podido ser parchada por ningún proveedor de tecnología. Hablamos del usuario. Así es, el usuario es el eslabón mas débil cuando hablamos de ciberseguridad y es extremadamente vulnerable. Esta técnica consiste en suplantar a través de correo electrónico la identidad de alguna entidad que por lo general suelen ser entidades bancarias ya que puede ser cualquier entidad financiera. El objetivo de esta suplantación de identidad es engañar a quien recibe el correo electrónico haciéndole creer que su banco le ha enviado un correo electrónico formal. Este correo posee los logos, tipografías y texto idénticos a los que nos envían los bancos, por lo que para un usuario desinformado puede ser técnicamente imposible detectar el engaño. En la Figura 1. se puede apreciar el intento de engaño por parte de el o los ciber-delincuentes, el cual a simple vista parece un correo electrónico real, a tal nivel que nos hace recomendaciones para evitar fraudes.
 |
| Figura 1: Correo Phishing. |
La misión principal de este correo electrónico es engañarnos indicando que nuestra cuenta bancaria se encuentra bloqueada, para lo cual debemos hacer clic sobre el botón que supuestamente nos llevará al sitio web del banco
Santander, ver Figura 2.
 |
| Figura 2: Instrucciones para ser engañados. |
En la Figura 2 se puede apreciar que al pasar el mouse sobre el botón el supuesto enlace al banco en realidad nos llevará al sitio falso http://www.abbazia.com/phone/Personas.php.
Tomando las precauciones correspondientes he ingresado al enlace indicado en el correo que recibí. Bajo ningún punto de vista recomiendo ingresar a este tipo de portales, insisto ¡¡NO ENTREN!!
 |
| Figura 3. Sitio web falso. |
En la Figura 3. Se puede ver el sitio web del banco Santander falsificado, el cual aparentemente es el original. Sin embargo es posible darse cuenta que este sitio no es el original observando la barra de direcciones.
 |
| Figura 4. Barra de direcciones con url falsa. |
En la Figura 4. es posible apreciar que la
url escrita en la barra de direcciones no corresponde al sitio web del banco Santander.
Otro detalle importante es que las entidades bancarias utilizan
certificados digitales firmados por otra entidad para validar que el sitio que visitamos es quien dice ser. En la Figura 5. se puede apreciar que además de que el sitio web tiene una url falsa, no ha sido validado con un certificado digital.
 |
| Figura 5. Sitio sin certificado digital. |
|
|
Con lo mencionado anteriormente, un usuario común ya puede comenzar a cuestionar la veracidad de un correo electrónico y de un sitio web, evitando ser una victima tan fácilmente, sin embargo esto no nos exime aun así de ser engañados con técnicas mas sofisticadas como el
pharming o el
Scam, de los cuales hablaré en otra ocasión.
Algunas de las formas en las que puedes disminuir considerablemente el riesgo de ser engañado son las siguientes:
- Siempre ingresar directamente al sitio web de tu banco escribiendo la dirección de este en la barra de direcciones de tu navegador preferido como Firefox, Chrome, Opera Internet Explorer o Safari. NUNCA accedas a tu banco haciendo clic a un enlace!!.
- Nunca entregues tu información privada o contraseñas a terceros por correo electrónico o vía telefónica si te lo solicitan.
- Siempre valida que la dirección que escribiste posea un certificado digital ya que este ultimo valida que la entidad bancaria es quien dice ser, la barra de direcciones debe tener un candado verde indicando que es un sitio seguro, ver Figura 6.
 |
| Figura 6. Sitio web real del banco Santander verificado. |
- Puedes validar además que el certificado sea firmado por una entidad autorizada, haciendo clic sobre el candado y buscando información sobre el nombre de quien verifica el certificado digital, ver Figura 7.
 |
| Figura 7. Información sobre certificado digital. |
- Considera siempre que tu banco nunca te enviará correos electrónicos indicando problemas con tu cuenta y que debes ingresar tus datos para solucionar el problema.
- Considera siempre que ante algún problema con el banco o con el bloqueo de tu cuenta, estos se solucionan de forma presencial en alguna sucursal.
- Verifica la dirección de origen del correo que recibas de tu banco. el dominio de quien recibes debe ser relacionado con el banco. para este caso el origen de un correo debería ser @santander.cl un correo phishing tiene un origen no valido, ver figura 8.
 |
| Figura 8. Correo con dominio de origen no valido @publimailer.com. |
|
|
- Considera que si recibes un correo de este tipo de un banco en el que no eres cliente, claramente es phishing, por lo cual te sugiero eliminarlo inmediatamente sin abrirlo.
- Nunca respondas el correo electrónico que recibiste.
- Si crees haber sido victima de phishing, comunicate por los canales oficiales o dirígete personalmente para reportarlo.
- Modifica periódicamente tu contraseña.
- No utilices la misma contraseña que en tu cuenta de correo o redes sociales como Facebook, gmail, Instagram, etc.
- No utilices contraseñas que se puedan deducir con información común en tu vida como nombres de tus familiares, fechas de nacimiento, RUT, DNI, Pasaporte, números de teléfono, etc.
- No utilices contraseñas con números consecutivos como: 1234, 123456, 654321.
- No utilices contraseñas con teclas consecutivas del teclado como: qwerty, asdf.
- No utilices contraseñas como por ejemplo C0ntr4s3ñ4 o P4$$w0rd.
- Utiliza contraseñas complejas como combinando letras mayúsculas, minúsculas, numero, caracteres especiales y con la longitud maxima que se permita o a lo menos entre 8 y 12.
- Si puedes activar doble factor de autenticación hazlo.
- Evita escribir tus contraseñas, prefiere memorizarlas por mas difícil que sea, tal vez es mas difícil recuperar dinero que una contraseña.
- Evita las transacciones en redes WiFi publicas.
- Evita traer siempre contigo tarjetas de coordenadas o multipass para transferencias.
Quizás todos estos consejos no aplican estrictamente solo para prevenir el phishing pero creo que no están de sobra para tenerlos en consideración.
Espero que el post sea simple y entendible para cualquiera ya que lo escribí con la mejor de las disposiciones.
Portense bién y hasta la próxima!
Nacho.
