Vuelven a proliferar los ataques phishing a Bancos | A las pruebas me remito - Blogs elcomercio.es

Guillermo Díaz Bermejo — Thu, 22 Jan 2009 15:40:00 +0000

En estos últimos días han vuelto a circular por la red los típicos correos que, enviados al azar, pretenden llegar a usuarios de Bancos para tratar de confundirlos. Unas veces con mensajes bastante alarmistas, y en otros casos con indicaciones bastante creíbles, los delincuentes cibernéticos pretenden provocar que el usuario pinche un enlace que los dirige a una web falsa, a través de la que podrán apropiarse de datos bancarios, números de tarjetas, claves u otras informaciones confidenciales del cliente.

He tenido la oportunidad de analizar uno de estos correos dirigido a usuarios del Banco de Santander, y otro a clientes del Banco Popular y he de decir que me he quedado muy sorprendido de la gran calidad que tenía la falsificación de sus páginas Web.

Por ello y aunque sé que la mayor parte de los ciudadanos conocen estos riesgos, para evitar que algún desprevenido pueda caer en esta trampa, voy a dar algunos consejos, indicaciones y recomendaciones que ayuden a evitar este riesgo.

En primer lugar conviene recordar que ningún Banco o entidad financiera solicita a sus clientes datos personales o de sus cuentas y tarjetas de crédito, por correo electrónico, mensaje a móvil o llamada telefónica. Por tanto, caso de recibir un correo de estas características lo que nunca se debe de hacer es acceder a ese enlace que trae insertado, ya que, aun cuando no dejemos en el dato alguno, desde este enlace pueden tratar de introducirnos cualquier gusano que contamine nuestro ordenador.

Refiriéndonos ya al enlace (página web falsa) al que los delincuentes pretenden dirigirnos, voy a dar algunas observaciones para que cada uno pueda distinguir una página falsa de la auténtica.

Las transacciones bancarias se realizan mediante un servidor seguro con protocolo SSL que se activa automáticamente. Este servidor establece la conexión de modo cifrado de tal manera que los datos intercambiados no pueden ser manipulados por terceros.
Este servidor seguro se identifica mediante una dirección URL que comienza por https:, en vez de la http: normal de la mayor parte de las páginas.
En el navegador aparecerá un botón con la imagen de un candado cerrado, en vez de abierto como aparecería en una navegación no segura. También puede aparecer la imagen de una llave entera, en vez de una llave rota como aparecería en un navegador no seguro.
Si pinchamos en ese candado nos aparecerá la identificación del sitio. Por ejemplo: Veri Sing identificó este sitio como BBVA.net, o portal caixa.es, etc. Nos informará que la conexiòn con el servidor está cifrada y además nos dirá la fecha de caducidad del certificado de seguridad y si el dominio del certificado está vigente.
Una vez que estamos dentro de la página del banco, para mayor seguridad nos informará sobre la fecha y la hora de nuestra última conexión al sistema, lo que nos permitirá tener aun mas certeza de que es la página auténtica.
Por último, para evitar que utilicemos nuestro teclado y con ello impedir que los intrusos averiguen las claves que hemos tecleado, las páginas auténticas suelen estar dotadas de un teclado virtual en la pantalla, de modo que, al usar este teclado, no pulsemos las teclas de nuestro ordenador.

Además de todo esto, cuando operamos y realizamos este tipo de transacciones bancarias o comerciales en internet, nunca debemos de olvidar la necesidad de tener incorporadas todas las actualizaciones de nuestro navegador así como los parches de seguridad. Igualmente es necesario tener vigente y actualizado un buen antivirus y activo el cortafuegos.

Y para terminar, aunque se da por sabido, recomiendo la necesidad de no revelar nunca las claves de seguridad, de no dejarlas anotadas en sitios fácilmente encontrables, y de elegirlas de un modo que no puedan ser facilmente identificables por su relación con datos nuestros conocidos (fechas de nacimiento, nombres, apellidos, teléfonos, etc.