Grado de dificultad: 2 (porque justamente no es fácil de detectar)

Columnista: Roberto

¡Hola todos! Acabo de recibir un correo inteligente de una plataforma de pago bien conocida en Colombia: PayU.

PayU, muchos de los que compran online en Colombia lo han utilizado:

PayU procesa más de 85% de los pagos digitales de las empresas colombianas

El correo que recibí trata de informar sobre la forma la más común de engaño en la Web, el Phishing.

A pesar de ser un poco esquemático, aborda los temas principales a tener en cuenta de una manera metódica que me gustó. Por eso lo tomaré como base para detallar los temas descritos.

¿Qué es “Phishing”

Descripción preliminar

Empezamos por una definición de lo que es. El Phishing no es una técnica informática sofisticada ni requiere de competencias de programación o craqueo de claves.

El principio es simplemente pedirle informaciones confidenciales, haciéndose pasar por una entidad de confianza. “Inspirar confianza” es lo que nos vuelve vulnerables a ellos. Es el sucesor de la estafa telefónica (secuestro express y otros engaños).

Resulta muy fácil de copiar un mensaje proveniente de una entidad reconocida: la técnica “copiar – pegar” o clonar un mensaje es facilitada por el formato pdf.

Aplicaciones como Adobe Acrobat, que permite no solo leer sino también editar un archivo pdf, o el famosísimo Adobe Photoshop, que permite editar cualquier fotografía o imagen, requieren solo habilidades básicas de editor o de grafista más que de experticia en informática.

Phishing no es solo en Emails

A partir de acá, me apoyaré sobre el correo de PayU para mi explicación.

Mensaje PayU 1 de 8

Nota: no edite ni modifique los elementos del correo (lo cual hubiera sido fácil).

En este primer módulo, hay una imprecisión: el Phishing no es solo correo electrónico. Se puede encontrar en ventanas que se abren automáticamente en sitios infectados, e incluso en avisos comerciales de entidades perfectamente legales (como Google Ads, nuestro sponsor). Ellos también se hacen engañar.

Resumen “ejecutivo”

Mensaje PayU 2 de 8

Los elementos claves en este texto son:

  • “algo que parece ser un enlace válido”
  • “solicitan información confidencial”
  • “imitar la aparencia de un sitio web que parece confiable

Estos tres elementos parecen fáciles a identificar. Sin embargo, no lo son, como lo veremos más adelante.

Contenido del mensaje

Mensaje PayU 3 de 8

Todo engaño trata primero de desviar la atención del blanco. Es la etapa la más importante: si el engaño funciona, los pasos siguientes tiene más posibilidad de lograr su cometida.

Hay que ser consciente de algo importante: los estafadores de la Web tienen un muy buen conocimiento del comportamiento de la gente. Manejan varios perfiles de personas con los cuales nos pueden engañar.

Además, a través de las redes sociales, si uno quiere apuntar a alguien en particular, hay mucha información disponible para detectar cual ángulo de ataque es el más eficaz.

Las tácticas indicadas en el texto no son las únicas:

  • Hay temas que nos hacen más receptivos: Deportes, Viajes, Peliculas, Juegos, etc. Gracias a nuestros mensajes o fotos en redes sociales, los estafadores trataran estos temas.

No hay milagro: si se trata de una petición inhabitual, es muy probable que sea un engaño.

  • La presentación gráfica suele ser muy eficiente. Hay un caso conocido que consiste a reproducir una página web de Google en una ventana “pop up” (que se abre sola), que hábilmente hace desaparecer el nombre del sitio en el cuadro arriba de la ventana. Además, las ventanas que se abren automáticamente YA NO SE USAN.
  • El “lenguaje urgente o amenazante” es un término genérico: se trata de un lenguaje que le “urge a seguir adelante” (concurso donde uno ganó, bono que se vencen, lista de premios per unos están agotados, etc). Estos no mucho más eficaces que una simple amenaza.
  • En algunos casos, ventanas se abren, pidiendo que hagamos una actualización de nuestro navegador haciendo clic. Los editores de navegadores hacen actualizaciones automáticas.

Proveniencia del mensaje

Mensaje PayU 4 de 8

Esta sugerencia de PayU es excelente: en alguna parte debe aparecer de donde viene el mensaje o hacia cual sitio apunta el hipervínculo. Nunca es accidental que esta información no aparezca claramente.

Además, tienen toda la razón en recordar que “las autoridades competentes no te pedirán que envíes información confidencial”.

Hay sin embargo una excepción que engaña a cualquier: cuando compramos algo, entregamos nuestros datos de tarjeta de crédito. Cuando se trata de una estafa, el truco es hacernos creer que es nostros quisimos comprar algo… Es más: existen sitios que efectivamente dan la ilusión de vender algo, solo que no dicen el precio.

Desafortunadamente hay varias entidades oficiales que tienen un comportamiento similar, facilitando este tipo de estafa.

Ortografía del correo

Mensaje PayU 5 de 8

La coherencia ortográfica y gramatical es una pista que le permitirá evacuar los engaños los más evidentes (a la condición que su español escrito nos permita detectarlo). Eso pasa sobre todo con estafadores internacionales (África, Europa central, Rusia, India) y los temas son más evidentes (cadenas, herencias con un tío lejano que no nombran, etc).

Sin embargo, no siempre es tan fácil. Hay trampas más elaboradas que, sí, son muy bien escritas.

¡Usted se ganó un viaje a la luna!

Mensaje PayU 6 de 8

Muy bien que indican este modo de engaño.

Si siguen existiendo modos parecidos al descrito en el texto, la verdad es que las tácticas se refinaron con el tiempo. Hoy, se ve mucho en correos o mensaje de redes sociales:

Usted gano algo …

en una lista con premios jugosos y otros menos espectaculares, pero todavía de interés (promociones de sitios de juegos, de películas, hasta de sitios conocidos. Obviamente, el nombre de la entidad que propondría eso es muy conocido (pero su dirección no aparece en claro).

Casualmente, los premios jugosos se agotaron (¡qué pesar!), y los demás requieren que registremos nuestros datos y tarjetas de crédito.

Sepan que los bancos no detectaran nada, la acción fue de nosotros. Así que no hesitemos en bloquear nuestra tarjeta de crédito en caso de riesgo.

Combinación de Phishing y de Troyano

Mensaje PayU 7 de 8

Hay dos casos:

  • el clic en una página, que nuestra solución de protección Internet (no antivirus gratis) podría detectar pero no siempre. De eso se habló en un artículo anterior: ¿Cómo cuidarse en las redes sociales?
  • el archivo adjunto en un correo electrónico. Es muy difícil detectar un tal archivo.

La regla (fácil a decir, menos a ver si uno no está acostumbrado) es de verificar el nombre completo es conocido (nombre MÁS extensión, sobre todo la extensión). Si no lo es, se trata muy probablemente de un archivo “autoejecutable” (un pequeño programa) que instalará un virus “troyano” en nuestro computador, y nuestro antivirus no mandatoriamente tendrá el tiempo de bloquearlo. Nota: el “.js” se volvió un gran clásico porque se trata de una extensión poco conocida por los dummies.

Correo personalizado

Mensaje PayU 8 de 8

Qué pena, pero no es suficiente. La “ingeniería de redes sociales” es justamente el arte de conseguir estos datos, relativamente fáciles de obtener.

Además, localmente ya hemos llenado, en múltiples oportunidades, formularios de concursos en supermercados. Saben: estos concursos donde uno nunca gana nada, pero donde hasta necesitan saber el color de nuestras medias.

Estos datos, nuestro querido supermercado los vende a los publicistas… en el mejor de los casos.

¡No, un correo personalizado no es garantía!

¿Dolores de cabeza? Estoy consciente de que esta larga descripción no nos protegerá mucho. El propósito es de acostumbrarnos a tener dudas: En la Web, NADA ES CASUAL.