La pesca de datos

El mundo de la estafa y los timadores es un clásico. Desde el famoso Hampa de Pío Baroja, hasta los carteristas que hoy acechan al despistado viandante, siempre ha habido personas dispuestas a invertir su tiempo en quitar a otros de forma ilegal, lo que legítimamente les pertenece. De manera lógica este tipo de personas avanzan con los tiempos, y buscan formas más sofisticadas de estafa encontrando el hueco de nuestra debilidad. Y así es como triunfa el phishing, el cual se sustenta en nuestra falta de conocimiento tecnológico. La palabra proviene del inglés, fishing (pescar), ya que su objetivo es apropiarse, mediante una suplantación de identidad, de los datos confidenciales de una persona: claves, cuentas bancarias, números de tarjetas de crédito, identidades...

El objetivo es apropiarse, mediante la suplantación de identidad, de los datos confidenciales de una persona

Sus métodos son de lo más variados: a través de Internet, correo electrónico, a través del teléfono, a través de mensajes del móvil. La modalidad que se ha hecho más popular es aquella que consiste en la recepción de un correo electrónico de una entidad financiera, pidiéndonos que por motivos de seguridad actualicemos los datos de nuestra cuenta.

El mensaje imita perfectamente, en diseño, logotipo y firma, el utilizado por el banco, por lo que si el receptor no está al tanto de este tipo de estafa, pulsa en el enlace que aparece en el e-mail, introduciendo en una página web falsa sus datos personales, y dejándolos, a su parecer, actualizados.

Sin embargo, nuestra buena voluntad ha puesto en bandeja a los usurpadores, el acceso a nuestra cuenta bancaria, desde la cual comienza el desfalco, de 3.000 en 3.000 euros.

Esta forma de hacking es denominada ingeniería social, que se define como la manipulación de personas para que voluntariamente realicen actos que normalmente no harían. Se trata del método de ataque más sencillo, menos peligroso para el atacante, y uno de los más efectivos.

Hay otra modalidad, menos conocida pero que también está haciendo estragos. Consiste en el mismo mecanismo de solicitud de datos confidenciales, pero en vez de a través de un correo electrónico, a través de una ventana emergente de Internet.

El origen es un troyano que, una vez instalado en nuestra máquina, vigila la actividad del usuario. Cuando el internauta visita las páginas de una serie de bancos que el troyano tiene registrada en su código, muestra una ventana emergente que, por supuesto, imita perfectamente la web de nuestro banco, y nos solicita datos confidenciales.

También se realiza a través del teléfono: llaman en nombre de nuestra entidad financiera, o de una empresa, pidiéndonos datos confidenciales. Por ejemplo, una llamada de nuestro supuesto proveedor de Internet, diciendo que ha habido un problema con los servidores, y que necesitan resetearlos, con lo que van a perder las contraseñas, así que necesitan obtener la contraseña antigua y la nueva: si la consiguen, tienen la puerta de acceso a toda la información de la compañía a través de su sistema informático. Posiblemente la falta de conocimiento tecnológico hace más fácil sucumbir al engaño en Internet.

Las medidas de protección recomendadas por la organización creada en Estados Unidos para combatir este fraude, Anti-Phishing Working Group, son sencillas:

- Para visitar la página web de su entidad financiera, teclee usted mismo la dirección en la barra del explorador. Nunca pulse un enlace procedente de otro sitio, porque puede ser una página suplantadora.

- Nunca responda a la solicitud de información personal a través del correo electrónico, llamada telefónica o mensaje corto.

- Tener siempre muy presente que las entidades u organismos nunca solicitan contraseñas, números de tarjeta de crédito o información personal, puesto que ellos ya los tienen. En todo caso, son ellos quienes nos envían datos o información, porque nosotros los hayamos perdido.