Recientemente, un compañero comentó que su banco habitual le hacía unas preguntas muy extrañas, solicitándole una serie de datos que nunca antes le había pedido. La recomendación inicial fue que no diera ningún dato, ya que se debía de tratar de un caso de phising. Este compañero aseguraba que no debía ser un ataque de phising, ya que seguía el consejo de localizar el enlace correcto en un buscador, no pinchando en los enlaces que vienen en los correos.
Le pedí que volviera a realizar dicha búsqueda para analizar si era un intento de phising o no.
Nos sentamos en su ordenador y localizó el banco con el que trabaja, que en su caso es el Sabadell, aunque hay que hacer constar que este ejemplo lo podríamos encontrar en cualquier otro banco. Para localizar la página web utilizamos un buscador (en este caso Yahoo). Al buscar “Banco Sabadell” obtuvimos dos entradas, en teoría iguales, como podemos observar en la imagen siguiente (2 º y 3º enlaces):
Para verificar que ambos enlaces son correctos sin acceder a ellos, es recomendable utilizar un pequeño truco: Nos posicionamos sobre el enlace para “ver” a dónde nos va a dirigir. Ya pudimos advertir que algo fallaba. En el primer enlace, internamente, hacía una redirección, tal y como vemos en la siguiente imagen.
Este detalle ya nos debería poner en alerta sobre la posibilidad de un intento de phising. Al comprobar el segundo enlace, tal y como podemos observar, observamos detalles que confirman que se trata de una página correcta. En primer lugar, el enlace es correcto, pero además vemos que se trata de una página segura (https://).
En cualquier caso, quise seguir analizando hasta dónde iba el engaño. Y con un ordenador “aislado” (para esto, lo mejor es usar máquinas virtuales), entré en ambas páginas. Tal y como imaginaba, la primera página se trata de un caso muy, muy, muy elaborado de phising (siguiente imagen). Excepto por pequeños detalles, el nivel de “copia” es muy alto. Han tenido un pequeño fallo, y es que no han creado un dominio más creíble. Además, vemos que la página no es segura (es http limpio). Ese detalle debería alertarnos para no facilitar nunca datos personales (contraseñas, datos bancarios, etc.) si no es un https.
Veamos ahora la página “oficial” del Banco Sabadell y veremos que las diferencias son mínimas, a excepción como comento, de que se trata de una página segura y el enlace sigue siendo el correcto.
Pero ya que estaba en una máquina “segura” y sabiendo que se trata de un caso claro de phising, quise averiguar cómo consiguen tus claves. Con la pantalla inicial consiguen tus datos de acceso pero todos sabemos que para realizar operaciones se necesitan las claves de la tarjeta de coordenadas . ¿Cómo las consiguen? Pusimos datos falsos de acceso y pulsamos “Entrar”.
La siguiente imagen muestra cómo consiguen las claves de la tarjeta de coordenadas. Pongas o no pongas tus datos correctos, siempre se abre esta ventana, en la que solicitan amablemente que rellenes una serie de cuadrículas para confirmar que eres el titular. No consiguen todas las claves pero sí un alto grado de posibilidades para operar con una cuenta.
Tened mucho cuidado al acceder a nuestras cuentas. Como hemos visto, podemos evitarnos un disgusto simplemente comprobando que, primero, se trata de un enlace “correcto” y segundo y sobre todo, que se trata de una página segura (https).
Miguel Ángel Alcaraz, Técnico de soporte y asistencia a usuarios.