Phising y pharming: estafas y fraudes por internet

Merche Martínez

Escrito por Merche Martínez

¿Qué es el phising?

Phising es el término por el que se conoce a un tipo de fraude cuyo objetivo es el de pescar (fish) información confidencial,  como números de tarjetas de crédito, claves de acceso, datos de cuentas bancarias u otros datos personales de las víctimas. El motivo por el que tiene éxito es que aparentan entidades fiables y de confianza para los usuarios.

Existen distintas versiones de esta estafa, pero el modus operandi suele seguir los mismos patrones. Los estafadores Phising o estafa por internetutilizan tácticas alarmistas o solicitudes urgentes para que los usuarios se vean obligados a proporcionar la información solicitada.

Una de las formas de llevar a cabo esta técnica es mediante una llamada telefónica o SMS donde los estafadores se hacen pasar por una entidad bancaria o cualquier empresa de confianza para advertirle que necesitan algunos datos confidenciales con cualquier excusa que pueda convencer a la víctima.

Pero la forma más usada es mediante el correo electrónico.  Los mensajes de correo electrónico de phising tienen diversas formas:

  • Puede simular que viene de una entidad financiera, de una empresa conocida o incluso de las redes sociales.
  • El correo electrónico puede simular que proviene de un contacto de su libreta de direcciones de correo electrónico.
  • Pueden solicitarle que realice una llamada telefónica. Al realizar la llamada una persona o una unidad de respuesta de audio esperan para conseguir tu número de cuenta, tu número de identificación personal, tu contraseña u otros datos personales valiosos.
  • Pueden incluir logotipos de apariencia oficial y otra información tomada directamente de sitios web legítimos, y pueden incluir detalles convincentes acerca de tu historial personal. Los estafadores obtienen esta información de las redes sociales.
  • Pueden incluir vínculos a páginas falsificadas en los que se le solicita facilitar información personal.

Ejemplos de phising

Confirmar datos de acceso

Este caso es de los más conocidos, consiste en un e-mail de Hotmail donde se nos informa que debemos confirmar que somos usuarios activos introduciendo nuestros datos de acceso, en caso contrario nuestra cuenta se desactivará temporalmente.

 Estafa de phising para obtener datos de acceso de manera fraudulenta

Actualizar datos en entidades bancarias

Este caso es de los más peligrosos, consiste en un e-mail que al parecer proviene de nuestra entidad financiera. Supuestamente nos solicitan los datos de nuestra cuenta por seguridad, pero en otros casos también se justifica como mantenimiento de la entidad, mejorar el servicio prestado, encuestas, confirmación de su identidad o cualquier otra excusa.

Una vez obtenidos estos datos los estafadores tienen acceso a todos nuestros ahorros, pueden vaciarnos la cuenta directamente o realizar compras online.

Actualizar datos de entidades financieras en una página web falsa

¿Cómo reconocer un mensaje de phising?

Como he comentado anteriormente en el caso del phising mediante correo electrónico se incluye un enlace a una página web que aparentemente pertenece a nuestra entidad bancaria o empresa de confianza, pero que no lo es. Es un falsificación y la mejor manera de darnos cuenta es mirando la dirección real del enlace. Para ello debemos poner el cursor sobre el enlace y ver la dirección real a la que apunta el enlace.

Reconocer enlaces falsos de phising

En este ejemplo se ve claramente que la dirección real del enlace no se corresponde con la URL que se muestra.

También podemos cerciorarnos de la veracidad del sitio web fijándonos en la URL que aparece en la barra de direcciones de nuestro navegador. En ocasiones existen páginas falsas cuyo dominio es muy parecido al real y es difícil que el usuario se percate del peligro que supone introducir datos confidenciales en ese sitio. A esta práctica se la conoce como cybersquatting. Un ejemplo conocido fue el que sufrió la entidad bancaria Caja Madrid: la forma de acceder era http://www.cajamadrid.es y para navegar de forma segura https://oi.cajamadrid.es. Pues el fraude se realizó bajo el dominio http://oicajamadrid.net/, a simple vista era exactamente igual al real.

Verificar página web en entidades financieras

Pharming

Es una técnica avanzada para llevar a cabo el phising. Esta técnica consiste en modificar el sistema de resolución de nombres de dominio (DNS) para conducir al usuario a una página web falsa. La dirección que introducimos en el navegador se convierte en una dirección IP numérica, de esto se encargan los servidores DNS.

En este caso el usuario está más desprotegido ya que la dirección que está introduciendo es correcta.

El término pharming proviene de farm, que significa granja en inglés. Cuando se modifican los datos del servidor DNS, todos los usuarios de ese servicio son víctimas del engaño, lo que se interpreta como una granja de victimas.

Gráfico de ejemplo de funcionamiento del pharming

Consejos para protegerte del phising

  • No entregar datos personales por correo electrónico. Las empresas y bancos nunca solicitan datos financieros por este medio.
  • Si dudamos de la veracidad de un correo electrónico no hacer clic en el enlace, en vez de eso escribir la dirección directamente en el navegador. Y si continuamos teniendo dudas es recomendable consultar la veracidad del correo electrónico con la entidad financiera o empresa remitente.
  • Antes de introducir los datos en un sitio web asegurarnos que se trata de una dirección segura, para serlo debe utilizar el protocolo https:// y mostrar un pequeño candado cerrado en la barra de direcciones del navegador.
    Dirección https segura para evitar phising
  • Revisar periódicamente las cuentas bancarias para detectar transferencias o transacciones irregulares.
  • Si pensamos que hemos podido ser víctimas de phising debemos cambiar inmediatamente todas las contraseñas y notificar a la empresa o entidad bancaria lo sucedido.
  • Utilizar un buen antivirus y mantenerlo actualizado.

¿Cómo denuncio que he sido víctima de phising?

Para denunciar estas prácticas contamos con la brigada de investigación tecnológica de la policía nacional (BIT).

Según el Código Penal, la pena podría llegar hasta los tres años de prisión, más una multa, y la devolución del dinero estafado, con sus intereses, y en su caso los honorarios devengados por la correspondiente condena en costas de la acusación particular.

Merche Martínez
Autor: Merche Martínez
Consultora SEO en la agencia de marketing online Human Level, es experta en SEO nacional e internacional. También es certificada en Google AdWords.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *