Grado de dificultad: 2 (porque justamente no es fácil de detectar)

Columnista: Roberto

¡Hola todos! Acabo de recibir un correo inteligente de una plataforma de pago bien conocida en Colombia: PayU.

PayU, muchos de los que compran online en Colombia lo han utilizado:

https://www.larepublica.co/finanzas/payu-procesa-mas-de-85-de-los-pagos-digitales-de-las-empresas-colombianas-2551838

El correo que recibí trata de informar sobre la forma la más común de engaño en la Web, el Phishing.

Es un poco esquemático, sin embargo, aborda los temas principales a tener en cuenta, de una manera metódica que me gusto. Por eso lo tomaré como base para detallar los temas descritos.

¿Qué es “Phishing”

Descripción preliminar

Empezamos por una definición de lo que es. El Phishing no es una técnica informática sofisticada ni requiere de competencias de programación o craqueo de claves.

El principio es simplemente pedirle informaciones confidenciales, haciéndose pasar por una entidad de confianza. “Inspirar confianza” es lo que nos vuelve vulnerables a ellos. Es el sucesor de la estafa telefónica (secuestro express y otros engaños).

Resulta muy fácil de copiar un mensaje proveniente de una entidad reconocida: la técnica “copiar – pegar” o clonar un mensaje es facilitada por el formato pdf.

Aplicaciones como Adobe Acrobat, que permite no solo leer sino también editar un archivo pdf, o el famosísimo Adobe Photoshop, que permite editar cualquier fotografía o imagen, requieren solo habilidades básicas de editor o de grafista más que de experticia en informática.

Phishing no es solo en Emails

A partir de acá, me apoyaré sobre el correo de PayU para mi explicación.

Mensaje PayU 1 de 8

Nota: no edite ni modifique los elementos del correo (lo cual hubiera sido fácil).

En este primer módulo, hay una imprecisión: el Phishing no es solo correo electrónico. Se puede encontrar en ventanas que se abren automáticamente en sitios infectados, e incluso en avisos comerciales de entidades perfectamente legales (como Google Ads, nuestro sponsor). Ellos también se hacen engañar.

Resumen “ejecutivo”

Mensaje PayU 2 de 8

Los elementos claves en este texto son:

  • “algo que parece ser un enlace válido”
  • “solicitan información confidencial”
  • “imitar la aparencia de un sitio weg que parece confiable

Estos tres elementos parecen fáciles a identificar. Sin embargo, no lo son, como lo veremos más adelante.

Contenido del mensaje

Mensaje PayU 3 de 8

Todo engaño trata primero de desviar la atención del blanco. Es la etapa la más importante: si el engaño funciona, los pasos siguientes tiene más posibilidad de lograr su cometida.

Hay que ser consciente de algo importante: los estafadores de la Web tienen un muy buen conocimiento del comportamiento de la gente. Hay muy probablemente un perfil de persona que corresponde a uno.

Además, a través de las redes sociales, si uno quiere apuntar a alguien en particular, hay mucha información disponible para detectar cual ángulo de ataque es el más eficaz.

Las tácticas indicadas en el texto no son las únicas:

  • Hay temas que les hace más receptivos: Deportes, Viajes, Peliculas, Juegos, etc. Gracias a nuestros mensajes o fotos en redes sociales, los estafadores trataran estos temas.

No hay milagro: si se trata de una petición inhabitual, es muy probable que sea un engaño.

  • La presentación gráfica suele ser muy eficiente. Hay un caso conocido que consiste a reproducir una página web de Google en una ventana “pop up” (que se abre sola), que hábilmente hace desaparecer el nombre del sitio en el cuadro arriba de la ventana. Además, las ventanas que se abren automáticamente YA NO SE USAN.
  • El “lenguaje urgente o amenazante” es un término genérico: se trata de un lenguaje que le “urge a seguir adelante” (concurso donde uno ganó, bono que se vencen, lista de premios per unos están agotados, etc). Estos no mucho más eficaces que una simple amenaza.
  • En algunos casos, ventanas se abren, pidiendo que haga una actualización de su navegador haciendo clic. Los editores de navegadores hacen actualizaciones automáticas.

Proveniencia del mensaje

Mensaje PayU 4 de 8

Esta sugerencia de PayU es excelente: en alguna parte debe aparecer de donde viene el mensaje o hacia cual sitio apunta el hipervínculo. Nunca es accidental que esta información no aparezca claramente.

Además, tienen toda la razón en recordar que “las autoridades competentes no te pedirán que envíes información confidencial”.

Hay sin embargo una excepción que engaña a cualquier: cuando uno compra algo, entrega sus datos de tarjeta de crédito. Cuando se trata de una estafa, el truco es hacerle creer que es Usted que quiso comprar algo… Es más: existen sitios que efectivamente dan la ilusión de vender algo, solo que no dicen el precio.

Desafortunadamente hay varias entidades oficiales que tienen un comportamiento similar, facilitando este tipo de estafa.

Ortografía del correo

Mensaje PayU 5 de 8

La coherencia ortográfica y gramatical es una pista que le permitirá evacuar los engaños los más evidentes (a la condición que su español escrito le permita detectarlo). Eso pasa sobre todo con estafadores internacionales (África, Europa central, Rusia) y los temas son más evidentes (cadenas, herencias con un tío lejano que no nombran, etc).

Sin embargo, no siempre es tan fácil. Hay trampas más elaboradas que, sí, son muy bien escritas.

¡Usted se ganó un viaje a la luna!

Mensaje PayU 6 de 8

Muy bien que indican este modo de engaño.

Si siguen existiendo modos cercanos al descrito en el texto, la verdad es que las tácticas se refinaron con el tiempo.

“Usted gano algo… en una lista” con premios jugosos y otros menos espectaculares, pero todavía de interés (promociones de sitios de juegos, de películas, hasta de sitios conocidos. Obviamente, la entidad que propone eso es muy conocida (pero su dirección no aparece en claro).

Casualmente los premios jugosos se agotaron (que pesar), y los demás requieren registrar sus datos y tarjetas de crédito.

Que sepan que los bancos no detectaran nada, la acción fue de usted. No vacilan en bloquear su tarjeta de crédito.

Combinación de Phishing y de Troyano

Mensaje PayU 7 de 8

Hay dos casos:

La regla (fácil a decir, menos a ver si no están acostumbrados) es de verificar el nombre completo (nombre MÁS extensión, sobre todo la extensión) es conocido. Si no lo es, se trata muy probablemente de un archivo “autoejecutable” (un pequeño programa) que instalara un virus “troyano” en su computador y su antivirus no mandatoriamente tendra el tiempo de bloquearlo. Nota: el “.js” se volvió un gran clásico porque se trata de una extensión poco conocida por los profanos.

Correo personalizado

Mensaje PayU 8 de 8

Qué pena, pero no es suficiente. La “ingeniería de redes sociales” es justamente el arte de buscar estos datos, relativamente fáciles de obtener.

Además, localmente ya han llenado, en múltiples oportunidades, formularios de concursos en supermercados. Saben: estos concursos donde uno nunca gana nada, pero donde hasta necesitan saber el color de las medias.

Estos datos, su querido supermercado los vende a los publicistas… en el mejor de los casos.

No, un correo personalizado no es garantía.

¿Dolores de cabeza? Estoy consciente de que esta larga descripción no les protegerá mucho. El propósito es de acostumbrarles a tener dudas: En la Web, NADA ES CASUAL.