Uno de los mayores problema que tiene la seguridad informática, es la capacidad de los usuarios para descubrir cuando están siendo víctimas de un engaño o de una trampa basada en ingeniería social.

El phising es el termino asignado a un tipo de ingeniería social por el cual se trata de acceder a información confidencial del usuario engañándolo, capturando su atención y creando una situación donde es el mismo usuario quien le entrega la información al delincuente sin percatarse de que esto ocurre.

En Chile este tema no es menor, la cantidad de mensajería donde se intenta aplicar phising crece rápidamente y los delincuentes han aumentado notablemente sus técnicas. A pesar de que la cultura en Chile tiende a ser bastante desconfiada, el engaño vía internet tiende a poner en jake a sus usuarios, básicamente por su poca experiencia y reducida cultura tecnológica.

Hoy me ha llegado este correo, donde se me indicaba que un usuario había estado tratando de acceder a mi cuenta bancaria y que por razones de seguridad esta había sido bloqueada. Se me solicita entonces que valide mi identidad para habilitar nuevamente la cuenta. Segundos más tarde mi cara contenía una enorme sonrisa, al darme cuenta que esto un bil engaño.

Cualquier usuario que le interesa mantener sus datos en privado y ahorrarse de paso un mal rato, debería al menos considerar preguntarse estos puntos antes de aceptar las instrucciones de cualquier mensaje.

• ¿Mi banco realmente envía estos correos en casos como este? ( cuando se han intentado acceder muchas veces a una cuenta y está queda momentáneamente bloqueada)
• ¿El remitente es real?
• ¿El link que aparece en el mensaje realmente apunta a la misma dirección?
• ¿La dirección url está bien escrita? ( generalmente se utilizan caracteres similares para tratar de engañar al usuario, como por ejemplo cambiar la l (letra L en minúscula) por la I (letra i latina en mayúscula) )
• ¿Donde está el certificado de autenticidad del sitio o de seguridad por https? ( generalmente los sitios serios, como los bancos, requieren utilizar certificados de autenticidad validados por entidades confiables )
• Llamar a la mesa de ayuda REAL no a la que sale en el mensaje.

Siempre es recomendable que los usuarios comiencen de la premisa que el mensaje que le ha llegado, es falso y que le tratan de engañar. Luego de verificar alguno de los puntos anteriores, entonces recién podría comenzar a sospechar que el mensaje podría ser verdadero 😀

Las siguientes imágenes corresponden al mensaje que he recibido, en el se puede ver claramente como la url incrustada en el mensaje no corresponde realmente a la que dice ser.

Una vez dentro del sitio falso que han preparado para nuestro engaño, podemos confirmar que efectivamente el url sitio no corresponde con el original, a pesar que el sitio parece totalmente autentico.

Bueno, este intento fue frustrado ( por ahora ). El banco santander frente a estos ataques solo se lava las manos e indica en su pagina web que no envían mensajes por correo. Pero seguramente debe ser mucha gente la cae en estos trucos, por eso aún se siguen enviando…

¿Y al final de quien es la culpa?