Phishing o suplantación de identidad es un término informático que denomina un modelo de abuso informático y que se comete mediante el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito otra información bancaria). El cibercriminal, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.

Los spammers (quienes envían, en grandes cantidades, mensajes basura, no solicitados, no deseados o de remitente no conocido) intentan conseguir tu información personal por dinero.  NUNCA, JAMÁS, ningún servicio cuya web NO hayas buscado previamente, te pedirá verificaciones posteriores por SMS, Whatsapp o email. Si contestas a esos requerimientos, vigila el saldo de tu cuenta bancaria. Te pongo estos ejemplos para que sepas inmediatamente de qué vamos a hablar.

Hoy día, para abrir una cuenta bancaria, contratar una línea de teléfono, un vuelo, una reserva de hotel o comprar unas entradas es necesario aportar información. Estamos muy acostumbrados a facilitar datos personales a través de Internet o por teléfono y, por eso, cuando recibimos un supuesto requerimiento de una entidad reputada como lo es un banco o una agencia del gobierno, nos lo creemos. Los malos lo saben y aprovechan la imagen de estas webs para que bajemos la guardia al recibir comunicaciones de origen confiable que nos resultan familiares.

A estos estafadores se les conoce como “phishers”. Los mensajes que recibes simulan portales donde siempre, con la excusa de actualizar, comprobar o no perder tu usuario, solicitan que introduzcas logins, contraseñas, números y códigos PIN de tarjetas de crédito. etc.

Artimañas para engañarnos con el phishing

Existen muchas, siempre y cuando logren que nos las creamos.  Encontrarás cientos de artículos en la Red en los que se explica cómo consiguen los malos que creas estar delante de una web confiable y te enseñan cómo detectarlos.  Básicamente te expongo las dos principales:

• Similitud o identidad en la apariencia de las webs. Mira este ejemplo que recogen webs o enlaces falsos de entidades financieras
• Enmascaran las URL´s (los nombres de las webs), tratando de hacerlas lo más parecidas posible a las originales: en vez de llevar el dominio www.seniat.gob.ve, puede reconducirte a alguno similar tipo www.impuestos.org (dominio inventado). Los phishers registran varios nombres de dominios parecidos a los suplantados en servicios de alojamiento web denominados “dedicados”, en los que la página fraudulenta únicamente puede ser usada una vez por la víctima. Se dan casos de estafas más elaboradas en las que al introducir y enviar los datos en estas páginas fraudulentas, el diseño de esta web oculta dicha barra de direcciones para aprovechar al máximo la pantalla útil, y la víctima la observará exactamente igual que la original.

¿Qué oscuros negocios se esconden detrás de esas webs?

El dinero frecuentemente acaba en terceros países, como es evidente, dificultan las pesquisas policiales. Detrás de estas webs no hay un criminal que espera a que introduzcas tus claves después de diseñar una web para robarte la información. Existe todo un entramado que ha planificado previamente, paso por paso: cómo hacerte llegar el señuelo y distraer el dinero de tus cuentas para intentar perder el rastro de las transacciones y el dinero.

Redes profesionales de cibercriminales

Habrá un técnico que estudie y diseñe la web fraudulenta, utilizando los mismos elementos visibles de una entidad financiera o pública. La manipulación del lenguaje en el que están programadas permite que se muestre un dominio aparentemente legítimo que, en realidad, redirige al sitio fraudulento imitado.
Otros malos se encargarán de hacerte llegar el enlace de la web por medio de emails o whatsapps con mensajes que resulten creíbles: “actualiza tus claves o contraseñas”, escrito en español.  Suplantar la web de Correos no resultaría eficaz si se cometen fallos de expresión.  Estas webs fraudulentas estarán alojadas en servidores “bullet proof hosting” o en servidores dedicados gestionados por criminales.

Una vez puesta la carnada, se enviarán indiscriminadamente millones de mensajes a víctimas potenciales. Está calculado que la efectividad del correo spam está en alrededor de un 1-3%. Si se mandan 3 millones de mensajes, 30.000 de usuarios caerán en el engaño. Sigue siendo rentable.
Otros criminales diferentes a los anteriores gestionarán la web fraudulenta donde vamos a introducir todos nuestros datos personales. Según vayan obteniendo nuestras contraseñas, harán packs de venta en el mercado negro (foros undergrounds o darkmarkets), o los pasarán a quienes van a ejecutar la distracción de dinero.

¿Dónde está el dinero, aquí o aquí?

Los más atrevidos harán compras online con nuestras claves por importes elevados en webs desconocidas y otros, realizarán múltiples transferencias intermedias. Para ello contarán con el apoyo de las mulas previamente seleccionadas, que transfieren los fondos a cuentas de su propiedad antes de redirigir el dinero a su destino final.  Todo ello para complicar las labores de rastreo.
Antes de introducir tus datos personales en estas webs, recuerda todo lo que te acabo de contar y de lo mucho que se llevará identificar a estos criminales. Todo esto no sería necesario si tomas conciencia de tu responsabilidad delante de un computador o dispositivo inteligente. Recuerda: la mejor protección es tu sentido común, pero si decides introducir cualquier dato bancario, empieza a vigilar el saldo de tu cuenta.