| Artículos | 01 OCT 2006

Evita los engaños de Interent

Compartir

Fernando García.
De los diversos peligros que pululan por Internet, los más extendidos últimamente son los que intentan engañarte para que des los datos de tu tarjeta de crédito y a continuación desfalcar tu cuenta bancaria. Los métodos para lograrlo son múltiples y actualmente se centran en tres: scam, phising y vishing.

El scam es el método más antiguo y basa su funcionamiento en la codicia de la gente. Normalmente empieza cuando recibes un correo desde Nigeria, Sierra Leona, otro país africano e incluso de un supuesto teniente norteamericano destacado en Iraq, en el que el autor indica que tiene una elevada cantidad de dinero, pero que no puede sacarla del país y busca un colaborador que le ayude a ello. Si animado por la oferta económica respondes al correo, entablarás una conversación con tu interlocutor en la que te solicitará los datos de tu cuenta bancaria y posiblemente adelante algún dinero para los gastos de las transferencias, dependiendo de la incredulidad de la gente, los autores de este engaño han logrado hacerse con cientos e incluso miles de euros.
Este tipo de engaño se conoce popularmente como scam nigeriano (se originó y sigue teniendo muchos de sus autores en Nigeria) pero otro bastante común es el engaño de la lotería, en el que se te informa que has ganado un premio en una lotería en la que nunca has participado. A pesar de la imposibilidad evidente, mucha gente pica. Hay que tener en cuenta que ninguna lotería del mundo registra el nombre de sus apostantes y por tanto es imposible que te avisen.
Un segundo estafado en las operaciones de scam, es el “mulero”. Para ocultar sus pasos los estafadores no hacen transferencias directas entre las cuentas de los engañados y las suyas, sino que hacen otro envío de correos masivo anunciando que una multinacional necesita gente que trabaje desde casa recibiendo transferencias desde el extranjero y después de quedarse con una comisión, transfiriendo el resto a la central. En teoría se trata de una operación legal, pero en la práctica utilizan a estas personas para ocultar el paso del dinero desde los estafados hasta sus cuentas. En muchos casos estos muleros no reciben la comisión ofrecida, pero lo peor es que se convierten en cómplices de los estafadores, pudiendo ser detenidos y acusados de estafa.

Phishing
El phishing es el tipo de engaño más común en los últimos años. Se basa en que recibes un correo electrónico de tu banco, PayPal o eBay en el que te informan de que hay problemas con tu cuenta y que necesitas confirmar los datos de tu cuenta o de lo contrario te la bloquean.
El término phishing lo empezaron a usar los spammers para indicar la “pesca” de datos financieros y contraseñas de usuarios en el mar de Internet (en inglés pescar se escribe “fishing” y ph se lee como f) y su primera aparición escrita fue en la revista de hackers alt.2600 en enero de 1996.
El correo que recibes tiene el aspecto de provenir del banco, con su logotipo, imágenes corporativas, etc. y trae un enlace a la página del banco a la que tienes que acceder para confirmar tus datos.
Aparte de que normalmente recibes estos correos de bancos en los que no tienes cuentas bancarias, hay varias formas de averiguar si son reales o no.
La primera es la redacción. Aunque el aspecto sea el mismo de las páginas del banco, normalmente incluyen faltas de ortografía o incongruencias que indican que el autor es un extranjero y no un banco español.
eBay incluye siempre en los correos el nombre del usuario en este servicio de subastas. Por tanto si el correo que recibas no incluye ese nombre en el título o en el contenido, puedes considerarlo falso directamente. Muchos bancos también incluyen información personalizada en los correos que envían a los usuarios, por ejemplo incluyendo en el saludo inicial el nombre del destinatario.
Pero si un correo pasa los filtros anteriores y piensas que puede ser cierto, ¿cómo averiguar su veracidad?
Ten en cuenta que al igual que en correo convencional podemos enviar una carta con cualquier remitente, sea falso o verdadero, lo mismo pasa en el correo electrónico, y el supuesto remite de un mensaje no tiene porqué decir que realmente el mensaje haya sido enviado por esa entidad o persona.
Salvo que se utilice un sistema de firma digital en los correos, algo que no utilizan la mayoría de los usuarios y entidades bancarias, los mensajes se envían sin encriptar por la red, por lo que cualquier espía puede obtener tu información. Lo mismo hacen los formularios que estén en páginas html sin encriptar, las que empiezan por “http://” por tanto no des datos confidenciales por correo o páginas web sin proteger, cualquier banco o tienda seria por Internet utilizará páginas encriptadas.
La mayoría de estos mensajes incluyen un enlace que aparenta dirigir a la página original del banco en cuestión, aunque oculta otra dirección totalmente distinta en la que se muestra una página similar a la del banco aunque sea falsa.
Las nuevas versiones de Mail, el programa de correo que incluye Apple con Mac OS X, incorpora una característica útil para descubrir estos enlaces, si dejas el ratón sobre un enlace aparecerá un panel mostrando la dirección real oculta detrás de dicho enlace. Si la dirección de dicho enlace, especialmente el nombre del servidor, no es como el de tu banco, desconfía.
En general conviene que no utilices los enlaces y botones que se incluyen en las páginas, teclea manualmente la dirección en tu navegador y de la misma forma no te fíes del número de teléfono que aparece en dichos mensajes, puede ser falso.
Pero aparte de la validez del correo en sí, y si dudas de las páginas (es posible que hayas llegado a ellas a través de un enlace que no sea correo) puedes comprobar la autenticidad de las páginas de forma sencilla tal como se indica en el recuadro “verifica la autenticidad de las páginas”.

Pharming: ataques transparentes
Es importante seguir las recomendaciones indicadas en el recuadro de verificar la autenticidad del servidor incluso aunque teclees la dirección manualmente y sea la dirección conocida del banco, ya que otro tipo de ataque, conocido como Pharming, actúa incluso en esas situaciones.
Se trata de ataques no dirigidos contra los ordenadores de los usuarios, sino contra servidores DNS o de Proxy, normalmente los de tu ISP, para que redirijan el tráfico destinado a un servidor lícito hacia un servidor falso.
Este tipo de ataque es transparente al usuario, ya que el cambio de dirección se produce en los equipos del ISP. En un ataque de DNS se modifica el valor del servidor en dicho DNS, de forma que cuando tu ordenador le pregunte al del ISP por la IP del servidor de tu banco, en lugar de la dirección real, aquél devuelva la falsa y tu equipo la usa creyendo que es la real.
En el segundo caso, si el proveedor de acceso (ISP) tiene instalado un Proxy para acelerar las consultas a Internet, el atacante realiza la misma operación en este Proxy. En ese caso, tu ordenador consulta la dirección IP del servidor del banco y el DNS le devuelve la auténtica, pero al hacer la consulta con esa dirección, el Proxy la cambia y la envía a la falsa.
Ambos tipos de ataques pueden detectarse si se hacen las comprobaciones indicadas en el recuadro “Verifica la autenticidad de las páginas”.

Vishing
El phishing ha recibido una importante cantidad de

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información