Pishing bancario

De: Fondo Monetario Internacional.
Notificación: Guardafaro, sírvase comunicar con nosotros de inmediato. En caso contrario, en las próximas 24 horas procederemos a bloquearle sus cuentas bancarias en todo el mundo, incluidas las que tiene en Suiza e Islas Caimán; su tarjeta de crédito Royal Diamond Platinium y la caja de seguridad en donde guarda las acciones de su participación mayoritaria en Google, Terra, Yahoo, Amazon, Microsoft e Intel; también sus 12 blogs y páginas web, su acceso mundial a Internet 2 vía satelital Wi-Fi 40, la puerta del garage en donde guarda su deportivo Audi TT Coupe; la perrera climatizada de sus dos boxer y la cerradura de la puerta del piso en Miami que le tiene a su amante. ―También secuestraremos judicialmente a su gato Rufo y publicaremos la relación amorosa que tuvo con Julia Roberts― Para facilitarle la comunicación inmediata, directa y segura con nosotros, pulse sobre la frase destacada que aparece a continuación… si se atreve.

Gracias, amigos lectores, por atreverse a pulsar y seguir leyendo.

Han escuchado del método de estafa conocido como Pishing. Afecta a una gran cantidad de instituciones financieras. Los estafadores suplantan el nombre de ellas y envían masivamente e-mails dirigidos principalmente hacia los usuarios de banca online, intimidando de alguna forma y pretendiendo recabar información personal. Esos datos pudieran ser ―y de hecho lo serán― utilizados para perjudicarles, bien sea entrando en sus cuentas bancarias, en sus blogs o de cualquier otra forma. Es decir, son vulgares intentos de estafa.

Si piensan que están a salvo de estos avatares, sepan que ya los intentos están rondándoles. Si no les han llegado aún es por pura casualidad. Cuenta la Petite Claudine que a ella le han “pishingado” ―me estoy inventando el término con mi amplísima licencia literaria― un blog, según explica en el artículo que titula Pisching por la cara. La revista Consumer.es EROSKY habla también de este particular fraude, en el artículo ‘Phishing’: páginas web falsas para robar datos.

El día 19 de diciembre yo fui también atacado por el Pishing, en un intento de fraude bancario. A través de mi cuenta de correo electrónico en Yahoo recibí un mensaje. Pretendía provenir de la entidad bancaria Caja Madrid, y que transcribo tal cual lo recibí, incluidos los errores y los colores utilizados. ―Como podrán darse cuenta, tan solo cambié una cosilla, para no divulgar mi dirección de Yahoo… que al parecer ya es conocida por los estafadores―

Fecha: Mon, 19 Dec 2005 01:20:14 +0900
Para: minombre@…
Asunto: Numero 96322 De la Atencion De CajaMadrid
De: Info@cajamadrid.es añadir a libreta de contactos

Estimado cliente de Banco Caja Madrid!
Por favor, lea atentamente este aviso de seguridad. Estamos trabajando para proteger a nuestros usuarios contra fraude. Su cuenta ha sido seleccionada para verificaciyn, necesitamos confirmar que Ud. es el verdadero dueco de esta cuenta. Direccion de internet para acceder.
Por favor tenga en cuenta que si no confirma sus datos en 24 horas, nos veremos obligados a bloquear su cuenta para su protección.
Gracias.

¿Qué hubiera hecho usted?

De mi tiempo viviendo en Venezuela he acumulado una cierta experiencia, tanto con numerosos correos electrónicos que intentaban aplicarme cualquier modalidad de la Estafa Nigeriana, como de no se cuantas llamadas telefónicas procedentes de mis supuestos bancos, tarjetas de crédito, compañía telefónica, servicio de acceso a Internet, seguro del auto, seguro de la casa y ya no recuerdo cuales otros sitios, pidiéndome actualizar mis datos personales. Por eso, la primera lectura de este correo no me dio buena sensación. Procedí a leerlo nuevamente, cual si fuera un perito grafológico en un análisis forense. Encontré los siguientes aspectos anómalos, al menos en mi opinión:

• No me parecieron lógicos los dos errores de tipeo en un mensaje de esta índole, procediendo de un banco.
• Era “demasiada amabilidad” colocar el enlace de añadir a libreta de contactos, para que yo pulsara sobre él, de forma que esa dirección de correos falsa se incluyera automáticamente en mi lista de contactos. ―De haberlo hecho, lo más seguro era que mi lista hubiera sido infectada por algún gusano, y/o copiada y retransmitida a quienes intentaban el fraude―
• La segunda intención de hacerme abrir una página de Internet bajo el enlace automático: Direccion de internet para acceder.
• La ausencia de acentos.
• Que un Banco español utilizara un sistema de correo electrónico que colocara la fecha en formato inglés.

Para suspicaz no necesito ayuda de nadie, me basto yo solo. Si no lo han hecho, al finalizar esta nota les invito a leer mi artículo del 18 de diciembre, que titulé: ¿Dirección de e-mail obligatoria? Y hay quienes piensan que soy un tanto excesivo en mi recelo. Pero son centenares los blogs y sitios web en donde voy dejando las direcciones de correo en cada comentario, inscripción o registro. Fíjense como son las cosas, al día siguiente de publicar ese artículo recibí el correo con Pishing.

Puedo entender que hayan encontrado mi dirección de correo electrónico de Yahoo en cualquier lugar de la Web. Pero me llama la atención que lo relacionaran conmigo como cliente de Caja Madrid. Por ahora prefiero pensar que fue una casualidad que, el correo generado automáticamente por los robots de los estafadores, se refiriera precisamente a esa entidad bancaria. Y digo que por ahora, porque me resulta contradictorio, ya que cuando suscribí mi cuenta con Yahoo, hace ya algunos años, utilicé mi dirección de residencia en Venezuela, y Caja Madrid es netamente española, por lo que no hay una relación espacial.

Quienes utilizan el Pishing usan de gancho a los grandes bancos. Son millones los intentos diarios por este método aleatorio, y algunos dan en la diana. Sin embargo el procedimiento empleado conmigo fue algo más sutil que con anterioridad. Están mejorando. Pero hay que ser muy ingenuos para pretender creer que, un banco, te va a llamar por teléfono, o te enviará por fax o por e-mail un formulario para que notifiques o “actualices” datos personales de tus cuentas y tarjetas, solicitándote además los números de las claves secretas de acceso, y que, encima, tú respondas a la dirección electrónica que te indican.

Pero seguro que esos ingenuos existen, y muchos de ellos caen en la trampa. Algunos han recibido supuestos correos del BBVA, otros fueron con la Caixa, y otros bancos más. Y ahora también existen los Pishing con dominio .es y los Pishing en los marketplaces.

Seguro de que se trataba de un intento de fraude, cerré aquel correo. Lo saqué de la bandeja de entrada, colocándolo en cuarentena para evitar problemas. Si el origen era cierto, poco me importaba que el Banco bloqueara mi cuenta. Ese era el mal menor. Ya aclararía el asunto y la desbloquearían. Pero yo tenía que confirmar su origen. Era una medida elemental en situaciones como esta. Así que, con la diligencia que el caso requería, envié sendos correos de advertencia a mi hijo e hijas en España, por si acaso recibían algo igual. También, por vía de otro correo electrónico, notifiqué a Caja Madrid, ―a la verdadera― enviándoles copia del correo recibido. Con gran prontitud me respondieron. Confirmaron lo que yo había sospechado, que se trataba de un elaborado intento de fraude. Como también me dijeron que habían puesto el caso en manos del Grupo de Delitos Tecnológicos de la Policía Nacional, no quise escribir sobre ello y publicarlo, hasta ahora.

En ocasiones encontramos algún programa de software que asegura protegernos contra ese problema, como la Extensión contra el pishing en Firefox de Google, que encontré hace días vía error500.net. Pero pudiera ocurrir que el resultado fuera otro muy diferente, como opinan en Redondear.com en el caso del Google Pishing. Hay que andarse con bastante tiento y no irse de bruces por causa de la primera opinión.

Tengan algo muy en cuenta. Como muy bien indican las entidades financieras en la campaña que están llevando contra el Pishing: Ellas nunca solicitan a sus clientes que revelen sus claves personales y confidenciales mediante teléfono, e-mail o fax. Y en caso de duda sobre la autenticidad de cualquier e-mail o sitio de Internet que diga estar remitido o ser propiedad de alguna de ellas, para verificar su autenticidad contáctelos usted personalmente en sus oficinas, o bien por vía telefónica en su respectivo Centro de Atención al cliente, ―a los números conseguidos en la guía telefónica― o por vía de Internet en la página Web oficial que usted normalmente utiliza y conoce como segura. Pero nunca, nunca contacte por los enlaces o direcciones que le indiquen en el correo que recibió y del cual sospecha, o habrá caído en el juego de los estafadores.

Con respecto a la notificación con que encabezo este artículo, yo no pude creer que me dijeran que me dejarían sin mi apreciado Audi TT Coupe quattro.

Y a duras penas logré controlarme cuando leí que podrían llegar a secuestrar a mi querido gato Rufo.

Pero que amenazaran con divulgar mi vieja relación con Julia Roberts me resultó indignante. Vamos, que uno es como es.

En este enlace podrán encontrar la explicación que da Héctor García sobre el origen de la palabra Pishing Scan y sus usos.

Actualización: 12-01-2006 Aunque creo que es bien obvio, aclaro que la notifiación con que inicio este artículo, que supuestamente me envía el Fondo Monetario Internacional, no es más que una broma por mi parte. Y con respecto a «mi» Audi TT Coupe Quattro, pues, sinceramente… me gustaría tener uno.
Artículos relacionados ¿Dirección de e-mail obligatoria?

Al inicio