Phishing es un término informático que se refiere a un tipo de delito encuadrado dentro del ámbito de las estafas, y que se comete al intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas[12]. Se deriva del vocablo inglés “fishing” o pesca, por la metáfora de “pescar” víctimas incautas a través de señuelos.
De hecho, Kevin Mitnick se hizo famoso por su Phishing telefónico, con el cual pudo obtener información sensible de numerosos usuarios, mediante llamadas telefónicas realizadas.
Estafa Nigeriana
Una de las primeras variantes del Phishing se conoce como “Estafa Nigeriana”, que a su vez tiene al menos cinco (5) tipos:
1. La clásica estafa nigeriana o africana, en la que una supuesta autoridad gubernamental, bancaria o petrolera africana solicita al destinatario los datos de su cuenta bancaria con el objeto de transferir a ella grandes sumas de dinero que desean sacar del país, por supuesto a cambio de una sustanciosa comisión. Caso de aceptar y tras una serie de contactos por correo electrónico e incluso por fax o teléfono, en un momento dado se solicita al incauto algún desembolso con el que poder hacer frente a gastos inesperados e incluso sobornos. Por supuesto ni las cantidades adelantadas serán nunca restituidas, ni se recibirán jamás los beneficios prometidos.
2. En el timo de la lotería, el mensaje indica que el destinatario ha obtenido un premio de la lotería, aún cuando no haya participado en sorteo alguno. A partir de aquí la mecánica es similar al caso anterior, tras sucesivos contactos se acaba solicitando algún tipo de desembolso al efecto de sufragar los gastos ocasionados por algún ineludible trámite.
3. El Tío de América, consiste en un mensaje de correo electrónico en el que los supuestos albaceas de un desconocido y adinerado pariente anuncian su fallecimiento y notifican al destinatario su inclusión entre los beneficiarios del testamento. Como en los otros casos, en algún momento del proceso los timadores acabarán solicitando que el incauto afronte algún tipo de gasto. Es de reseñar que en este caso se utilizan técnicas de ingeniería social, ya que el apellido del difunto se hace coincidir con el del destinatario.
4. El prisionero español o peruano. Este timo tiene un origen muy anterior a los previos, a comienzos del siglo XX. En esta versión, uno de los timadores, el confidente, contacta con la víctima para explicarle que está en contacto con una persona muy famosa e influyente que está encerrada en una cárcel española (o según versiones más modernas, de algún país africano) bajo una identidad falsa. No puede revelar su identidad para obtener su libertad, ya que esa acción tendría repercusiones muy graves, y le ha pedido al confidente que consiga suficiente dinero para pagar su defensa o fianza. El confidente ofrece a la víctima la oportunidad de aportar parte del dinero, a cambio de una recompensa extremadamente generosa cuando el prisionero salga libre. Sin embargo, una vez entregado el dinero, surgen más complicaciones que requieren más dinero, hasta que la víctima ya no puede o quiere aportar más. En ese momento se acaba el timo y el confidente desaparece.
5. La venta del teléfono móvil (celular) en eBay. En este fraude, los timadores localizan a usuarios particulares de eBay que tengan a la venta teléfonos móviles. Ofrecen una puja muy alta en el último momento, ganando así la subasta. A continuación se ponen en contacto con el vendedor para explicarle que desean enviar el móvil a un supuesto hijo que está trabajando como misionero en Nigeria pero que el pago se efectúe mediante Paypal, por lo que necesitan conocer la cuenta del vendedor para depositar el dinero. A continuación envían un falso mensaje con las cabeceras falsificadas para que parezca que proviene de Paypal, confirmando que el pago se ha realizado. Si el vendedor intenta comprobarlo desde el enlace que se da en el mensaje será reenviado a una web falsa con la apariencia de ser de Paypal, donde se les explica que, por motivos de seguridad, el pago, aunque ha sido realizado, no será transferido a su cuenta hasta que no se realice el envío. Obviamente, si envía el móvil al comprador, nunca recibirá el dinero.
Lavado de Dinero
También se presenta la modalidad de Lavado de Dinero mediante el Phishing.
Empresas ficticias reclutan teletrabajadores por medio de e-mails, chats, irc y otros medios, ofreciéndoles no sólo trabajar desde casa sino también otros jugosos beneficios. Aquellas personas que aceptan la oferta se convierten automáticamente en víctimas que incurren en un grave delito sin saberlo: el blanqueo de dinero obtenido a través del acto fraudulento de phishing.
Para que una persona pueda darse de alta con esta clase de empresas debe rellenar un formulario en el cual indicará, entre otros datos, su número de cuenta bancaria. Esto tiene la finalidad de ingresar en la cuenta del trabajador-víctima el dinero procedente de estafas bancarias realizadas por el método de phishing. Una vez contratada, la víctima se convierte automáticamente en lo que se conoce vulgarmente como mulero.
Con cada acto fraudulento de phishing la víctima recibe el cuantioso ingreso en su cuenta bancaria y la empresa le notifica del hecho. Una vez recibido este ingreso, la víctima se quedará un porcentaje del dinero total, pudiendo rondar el 10%-20%, como comisión de trabajo y el resto lo reenviará a través de sistemas de envío de dinero a cuentas indicadas por la seudo-empresa.
Dado el desconocimiento de la víctima (muchas veces motivado por la necesidad económica) ésta se ve involucrada en un acto de estafa importante, pudiendo ser requerido por la justicia previa denuncia de los bancos. Estas denuncias se suelen resolver con la imposición de devolver todo el dinero sustraído a la víctima, obviando que este únicamente recibió una comisión.
Uso de Xploits
Los Ingenieros Sociales gustan de usurpar o suplantar identidades en cuentas de correo ya existentes. Para eso se sirven de los llamados “xploits”, que no son más que portales que envían tarjetas postales (por ejemplo de Gusanito.com) a las víctimas potenciales, y que antes de ser leídas pide que se introduzca la contraseña de la cuenta de correo. Por supuesto que esa contraseña se le envía de regreso al Ingeniero Social, quien luego toma el control del buzón de correos respectivo.
Phishing bancario
Otra variante es el Phishing bancario, en el cual se envía un correo electrónico a las víctimas potenciales, solicitando que sean actualizados sus datos personales. Por supuesto que lo dirige a una dirección falsa, donde se capturan datos sensibles de la víctima que serán usados para vaciar sus cuentas bancarias.
Phishing Bancario (Haga clic para agrandar)
Algunos consejos de seguridad para evitar el Phishing Bancario
- Nunca debe informar su clave a terceros, aún cuando se identifiquen como empleados del Banco. No complete formularios o responda mails con su clave, no es política del Banco solicitar esa información por mail.
- No ingrese a nuestra página Web a través de enlaces ubicados en otras páginas o vínculos que reciba por correo electrónico.
- No utilice claves fáciles de deducir, no elija su fecha de nacimiento, número telefónico, dígitos repetidos.
- Visualice el candado cerrado en la parte inferior de su navegador.
- No ingrese a nuestra página Web a través de enlaces ubicados en otras páginas o vínculos que reciba por correo electrónico.
- Realice la actualización periódica tanto del sistema operativo de su computador como de las versiones del navegador.
- Instale y mantenga actualizado el antivirus y otros programas que utilice como mecanismo de protección.
- Notifíquenos inmediatamente si sospecha de fraude o robo de su información o claves de ingreso.
Phishing telefónico
El ya mencionado Phishing telefónico, que mediante la voz agradable de un hombre o mujer, que supuestamente pertenece al equipo de soporte técnico de nuestra empresa o de nuestro proveedor de tecnología, requiere telefónicamente de información para resolver un inconveniente detectado en nuestra red.
Ingenieria Social 