Éstas están siendo unas semanas muy prolíficas para los mensajes de correo electrónico del tipo phishing, en los cuales los cyber delincuentes se hacen pasar por entidades bancarias enviando emails a usuarios con la esperanza de que los más descuidados piquen e introduzcan sus credenciales de acceso para poder robarlas.

No sabemos si serán las lluvias que hacen que pasen más tiempo en casa pensando como realizar sus estafas o la proximidad de la navidad, lo cual hace que busquen un refuerzo económico para comprar los regalos, pero lo cierto es que en los últimos días se han detectado nuevas campañas de emails maliciosos en busca de víctimas incautas.

El primero fue del Banco Santander el pasado mes de Octubre, un correo bastante burdo, claramente realizado mediante un patético traductor a tenor de la cantidad de faltas de ortografía que se ven en su interior cosa que ya nos debería alertar de que el correo no ha sido escrito por una empresa con una mínima seriedad.

Phishing Banco Santander


El segundo correo detectado la pasada semana fue una suplantación de La Caixa, bastante mejor redactado, sin faltas de ortografía y con enlaces a la página web de la entidad bancaria, aunque sólo para el ojo del usuario, dado que el texto que se lee en un enlace, el conocido como anchor text, no tiene porqué coincidir con el enlace real de la página a la que se accederá. Como primera pista se puede observar que el correo ha sido enviado desde la cuenta de correo serv@card.com, aquí vemos lo burdo del engaño, que no han pensado siquiera en modificar ésta cabecera, algo bastante sencillo de hacer para cualquier programador web.

Phishing La Caixa


La tercera entidad suplantada, una bastante inusual, ha sido Barclays, un gran trabajo de diseño para llevar a buen término la suplantación, incluso en la web desde donde se intentan recoger los datos de los usuarios que pulsen sobre el enlace de contenidos se han esmerado mucho y se puede ver en la siguiente imagen una comparativa de la página web falsa y la real para ver el enorme parecido que han conseguido para despistar a los usuarios más avispados, algo no demasiado complicado, pero demuestra las molestias que se han tomado.

Phishing Barclays


Los avisos de phishing no son ninguna novedad, y prácticamente cada semana aparece alguna alerta, no sólo de bancos y cajas, empresas como Dropbox, iTunes, WhatsApp e incluso la mismísima Agencia Tributaria Española han sido víctimas de campañas de phishing suplantando su identidad para engañar a los usuarios, normalmente escogidos al azar y poder recabar cuentas de acceso y contraseñas, por lo que cualquiera de  nosotros podemos ser víctimas de un intento de engaño o estafa, todos funcionan igual, la recepción de un correo que nos alerta de alguna anomalía que ha provocado un bloqueo de nuestro acceso y nos insta a que accedamos a alguna página para poder insertar nuestras credenciales y así desbloquearla y ahí es donde los delincuentes ya tienen nuestros datos.

Desde Técnicos Web les recordamos las reglas básicas de seguridad.

  • No abrir enlaces recibidos en correos electrónicos, aunque sean de conocidos y menos desde un dispositivo móvil, sin corroborar la autenticidad
  • No descargar ni instalar programas ni aplicaciones desde ninguna página a la que no hayamos accedido voluntariamente y que sea de confianza
  • No dar nunca nuestras claves ni contraseñas sin asegurarnos que las comunicaciones son seguras y con la entidad deseada
Pueden ver más consejos en nuestra guía de detección de correos de phishing