En medio de la crisis, hay que cuidarse de los falsos sitios bancarios
02 de Noviembre de 200811:01
A río revuelto, ganancia de pescadores, dicen. Y, como se sabe, en general ni siquiera hace falta un río. La crisis financiera global ha venido a darles a los piratas informáticos una nueva y tentadora carnada para practicar la forma de estafa virtual que más ha crecido en los últimos años: el phishing . Así como los góticos se visten siempre de negro, los piratas reemplazan la letra f por ph. Entonces, phishing es lo mismo que decir fishing (pescar). De eso se trata, además.
Estos estafadores envían mails engañosos y espurios en nombre de una entidad financiera o bancaria, en los que urgen al destinatario ?mejor sería decir ?la víctima?? a entrar en la dirección que aparece al pie. Las excusas son realmente atemorizantes, y muchos no piensan dos veces en hacer clic en el vínculo que se adjunta.
Van a parar a una página que conocen bien: la de su banco. Doblemente asustados, porque todo indica que la urgencia estaba justificada, tampoco se piensa dos veces antes de tipear el número de documento y contraseña para ingresar en la banca hogareña.
Lo que se obtiene a continuación es un error o algo parecido. No ocurre lo que se esperaba. La víctima no entró en los resúmenes de sus cuentas. Le han hurtado sus credenciales y, para entonces, un pirata está ya transfiriendo dinero desde los ahorros a Dios sabe qué destino, o subastando esos datos delicados.
¿Por qué funciona el phishing ? Porque una página web no es sino una imagen, un conjunto de gráficos de fantasía. No hay nada real en lo que se ve de un banco online . Lo real está detrás, invisible, en lo que se conoce como back-end . El front-end es tan ilusorio que basta apretar la tecla Impr Pant y usar un programa sencillo de gráficos para tener una copia exacta de la portada de cualquier banco en línea. Así, el pirata no necesita demasiado esfuerzo para tender su trampa.
Mientras que en el mundo real es bastante sencillo distinguir una sucursal bancaria de una fachada hollywoodense, en la Weblas diferencias son muy sutiles. Sin embargo, es perfectamente posible evitar esta ?zancadilla? virtual. Además de prestar atención a las advertencias que la mayoría de las instituciones financieras están haciendo desde hace ya bastante tiempo, deben tenerse en cuenta estas verdades informáticas:
Si una comunicación del banco llega por e-mail e incita con urgentes razones a hacer clic en un vínculo que se adjunta, entonces se trata de phishing . No hay duda al respecto.
Si la página para ingresar nombre y contraseña no empieza con https:// (en lugar del http:// normal), entonces hay que dar por supuesto que se trata de una página falsa.
Si al pie del navegador no se ve un candado cerrado al ingresar nombre y contraseña, entonces se trata de una página falsa.
Para asegurarse de que el candadito, que después de todo también es una imagen, no forme parte del engaño, hay que darle doble clic y verificar que el certificado digital sea válido.
No hacer home banking desde una PC pública (cibercafé, locutorio), salvo casos de suma urgencia, y siempre activando el teclado de la pantalla. Para esto, hay que hacer clic en una casilla etiquetada como Acceso Seguro desde una PC pública, Teclado Virtual para Acceso desde PC pública o similar.
Sustos y tentaciones
La crisis de Wall Street les da ahora a los estafadores virtuales una nueva excusa. El phishing no recurre a complejas técnicas de hacking , como otros ataques virtuales, sino a ingeniería social. Dado que la mayoría de las personas no es experta en informática, el clima de desasosiego e inseguridad propio de las crisis mundiales le dan al pirata pretextos difíciles de eludir.
La crisis de Wall Street les da ahora a los estafadores virtuales una nueva excusa. El phishing no recurre a complejas técnicas de hacking , como otros ataques virtuales, sino a ingeniería social. Dado que la mayoría de las personas no es experta en informática, el clima de desasosiego e inseguridad propio de las crisis mundiales le dan al pirata pretextos difíciles de eludir.
Desde noticias alarmantes hasta inversiones a prueba de todo, los nuevos estafadores no dejaron pasar ni una semana entre que la crisis se hizo pública y que empezaron a llegar los mensajes engañosos. Aparte de los mandamientos citados antes, el sentido común es el mejor consejero. De una crisis tan seria no se salva uno por un mail . Más bien, al revés.
Si bien los nuevos navegadores están preparados para alertarnos de que un sitio es potencialmente riesgoso ?advertencia que no hay que pasar por alto?, estos controles se basan mayormente en listas negras de los sitios que se sabe que pueden contener páginas fraudulentas. Por eso, los estafadores ahora buscan otros ?ríos donde pescar?, como las redes sociales MySpace o Facebook. Un estudio reciente muestra que en estos casos, la captura de incautos es muy alta: del 70 por ciento.
Por eso, y debido a que las redes sociales tienden a ser utilizadas por los más jóvenes de la familia, una de las mejores defensas contra los ataques de esta clase es la divulgación y la conversación franca sobre cuestiones de seguridad.
En la Argentina, habituada a las crisis y con abundante ?carnada?, el ?caldo? está bien sazonado para que el phishing se haga su agosto... o su octubre, para el caso. De hecho, aunque hace un par de años los ejemplos de phishing en el país eran raros y se veían sobre todo en casos de mails en inglés sobre entidades financieras inexistentes aquí, ahora se han multiplicado enormemente.
La tecla
Puesto que una de las formas de detectar si el sitio es falso pasa por mirar el candado cerrado situado en la base del navegador, hemos visto casos en los que, arteramente, los estafadores colocan el link asociado a una imagen que muestra un candado de esta clase, vistoso. No hay que dejarse convencer. Ante este y cualquier otro intento de robar datos o, peor aún, la identidad digital de una persona, la solución sigue siendo la misma: oprimir la tecla Suprimir.
