Buscar este blog

sábado, 16 de agosto de 2014

PHISHING



Un término inglés de reciente acuñación, ligado al mundo de la informática casera, de los ordenadores personales y de los teléfonos inteligentes, cuya traducción normal al español sería «pesca» pero que en el argot informático tiene otras connotaciones muy peligrosas si no somos precavidos, nos dejamos llevar por su contenido por lo general atractivo y «mordemos al anzuelo» que nos tienden. Por más que lleva mucho tiempo en el «mercado», las nuevas y masivas incorporaciones de personas en todo el mundo a los procesos informáticos de correo electrónico, cuentas bancarias y demás aplicaciones mantienen está práctica en plena juventud. El hecho de que siga en activo es el mayor y mejor indicador de que sigue proporcionando beneficios a los cibercriminales que diseñan los engaños y se aprovechan de los incautos. 

Por más que uno haya visto cientos y cientos de formas de engaño, siempre aparece alguna nueva que nos sorprende. Que me vengan a la memoria son los correos electrónicos de una supuesta persona rica de un país africano que necesita tu ayuda para sacar fondos de su país y te recompensará adecuadamente, ofertas de trabajo maravilloso que empiezan por qué sueltes de entrada algunos dineros, promesas y ofertas de viajes o premios a los que no te puedes resistir, artículos de rabiosa actualidad a precios imposibles…

La forma más corriente es un correo electrónico en el que nos invitan a realizar una acción que comienza, ahí está el peligro, por un enlace en el que debemos de hacer clic para iniciar la operativa. El texto o las imágenes del enlace están cuidadosamente estudiados para que pensemos que estamos yendo a un sitio conocido y facilitemos nuestros usuarios y claves de acceso a diferentes servicios, principalmente bancos o entidades de manejo de fondos.

Por lo general, los usuarios son confiados y una vez que deciden que lo que han recibido tiene validez, entregan todo tipo de datos sin sospechar que le están buscando las vueltas. Aunque no es una caso que pudiera entrar en el término «phishing» voy a referir aquí un suceso real ocurrido hace unos años. Llegaron un día unos operarios debidamente vestidos e instalaron en el área de salidas internacionales de un concurrido aeropuerto un cajero automático con el logotipo de uno de los bancos más conocidos. Nadie reparó en ello y nadie verificó si esa operación había sido autorizada. Muchos pasajeros que estaban esperando la salida de su vuelo no encontraron otra forma de matar el aburrimiento que ir a este cajero automático a consultar el saldo de su cuenta. La respuesta era la misma: «por problemas técnicos no podemos atenderle en ese momento. Por favor, inténtelo más tarde». El «aparatito» apuntaba cuidadosamente las identificaciones de las tarjetas y los «pines» de los incautos, cuyas cuentas empezaron a vaciarse rápidamente mientras ellos estaban de viaje a un país extranjero y tardarían un tiempo en ver lo ocurrido con escasas posibilidades de relacionarlo con la consulta de su saldo en el aeropuerto. Cuando se descubrió el engaño, cientos de personas habían caído en la trampa.

Tras conocer relatos como este, cada uno es muy libre de operar en cajeros que no estén instalados en oficinas bancarias. Centros comerciales y de ocio cuando no áreas de servicio en cualquier autopista nos ofrecen como una mejora este tipo de servicios pero no tenemos ninguna garantía de que estén debida y realmente conectados a la entidad bancaria que dice patrocinarlo.

Lo más buscado son los datos bancarios y de tarjetas de crédito porque se traducen de forma rápida en un asalto a nuestros ahorros en cualquier parte del mundo, y muchas veces por mucho cuidado que tengamos nos la pueden jugar. Otro ejemplo: la mujer de un amigo mío estaba comprando en una tienda de una localidad cercana a Madrid y al pagar con su tarjeta el comercio recibió una llamada del centro autorizador de VISA solicitando que retuviera al cliente lo más posible hasta que llegara la policía que había sido avisada y se dirigía al establecimiento. En ese mismo momento otra persona estaba comprando con esa misma tarjeta, un duplicado, en un comercio de Valencia. Mi amiga que no sospechó nada y que tenía todo «en regla» sufrió la espera hasta que llegó la policía, mientras que la clienta de Valencia en cuanto vio que la cosa se complicaba dejó el asunto y salió zumbando. Con el tiempo se descubrió que a mi amiga le habían duplicado su tarjeta en una gasolinera próxima a su domicilio, pero mientras tanto sufrió «desperfectos» en su cuenta del orden de los dos mil euros que al final recuperó pero le llevó su tiempo y sus disgustos.

Por mucho cuidado que tengamos nos la pueden acabar jugando, pero si tenemos poco caeremos como unos lechuguinos. Ahora están de moda las redes WIFI gratis en muchos sitios, a las que la gente se conecta con sus teléfonos que interaccionan y reciben correos cuando no consultas y datos de las más variadas aplicaciones. Todo este tráfico de información es debidamente guardado por el «malo» que lo empieza a utilizar casi de forma inmediata para sus intereses, que no son precisamente caritativos ni convenientes con los nuestros.

Lo repiten por activa y por pasiva. Nada de correos ni operaciones de crédito desde nuestro teléfono o portátil conectado a una red WIFI que no conozcamos, aunque sea la del hotel en que nos alojamos. Nada de dejar fuera del alcance de nuestra vista nuestras tarjetas de crédito o nuestras tarjetas de identificación personal tales como el d.n.i. en ningún momento, ni siquiera en las recepciones de los hoteles; podemos ser previsores y llevar una fotocopia como la de la imagen, mejor en blanco y negro, en la que habremos sobreimpreso una marca de agua indicando el propósito o el nombre del establecimiento, de forma que no pueda ser usada de forma posterior en alguna acción malintencionada. Nada de hacer clic en ningún enlace que recibamos o veamos por ahí para acceder a una supuesta página web y mucho ojo al facilitar de forma online nuestros datos. Empresas que te venden un helado por internet te solicitan hasta el tamaño del calcetín que no sé para qué lo querrán. Nada de utilizar ordenadores desconocidos de recepciones de hoteles o «cibercafés» para otra cosa que no sea leer el periódico o buscar información de la hora de misa en la parroquia más cercana.

Mi familia y mis amigos me tachan de exagerado y habrá que ver cómo se parten de risa sin algún día me pillan, lo cual no tendría nada de extraño dado mi alto índice de uso de compras por internet y modernas tecnologías. Pero, mientras tanto, me preocupo por estar al día y minimizar en todo lo posible el riesgo.