Los clientes de Banco Popular, Banesto, BBVA, Caja Madrid y Cajamar, entre otros, han sufrido una avalancha de ataques para robar sus datos de acceso a los servicios bancarios. El fraude conocido como “phishing” emplea el envío masivo de correos electrónicos que simulan ser comunicados originales de entidades bancarias y financieras. En ellos se apremia a introducir información personal y contraseñas o se conduce a una página web falsa, un calco de la auténtica, donde los estafadores capturan los datos.
Robo de claves de acceso
En los últimos meses se han multiplicado los ataques de phishing contra los clientes de bancos españoles. Se trata de envíos masivos de correos electrónicos fraudulentos que solicitan datos personales y claves de acceso a los usuarios de banca “online”. Los mensajes simulan las comunicaciones originales de las entidades y enlazan con páginas idénticas a las de los bancos, desde las que se apremia a introducir los datos con la excusa de alguna verificación o actualización del sistema, e incluso se asegura que su objetivo es “evitar el fraude”. Algunos emails indican que si el usuario no confirma los datos en menos de 24 horas, la entidad se verá obligada “a bloquear su cuenta para su protección”.
El internauta jamás debe hacer caso a estos correos electrónicos; si se completa el registro los datos personales caen en manos de estafadores.
Crecimiento imparable
Tanto los expertos Alerta-Antivirus, de la entidad pública Red.es, como el Grupo de Delitos Telemáticos de la Guardia Civil y la Asociación de Internautas (AI) han advertido del gran aumento de este fraude en España. Según algunos estudios, los ataques de phishing han crecido en todo el mundo hasta un 5.000% a lo largo del año pasado.
En el mes de febrero hubo 13.141 nuevos (distintos) mensajes de phishing detectados por el Anti-Phishing Working Group (APWG), asociación para combatir este tipo de fraude que engloba a 1.200 miembros. Desde julio de 2004, APWG ha registrado un incremento del phishing del 26% de media mensual. El número de sitios web que apoyan los ataques por correo electrónico alcanzó el mes pasado los 2.625, según el informe de febrero (PDF).
APWG también lleva la cuenta del número de entidades bancarias y financieras que informan del secuestro de su marca, es decir, de la existencia de páginas web falsas con su misma apariencia. En febrero, el número de entidades víctimas del phishing fue de 64 (entre ellas, 8 bancos), igual que el mes anterior, para sumar un total de 149 desde noviembre de 2003.
En España, Banco Popular y Banesto primero, BBVA y Caja Madrid después y Cajamar recientemente han sufrido ataques de phishing. Esta última entidad ya ha puesto en conocimiento de la brigada de delitos informáticos de la policía el intento de estafa y, aunque no tiene constancia de que haya clientes afectados, ha colocado un aviso en su página web para prevenir este tipo de fraudes, en el que se recuerda a los clientes que no deben enviar sus contraseñas por correo electrónico.
Consejos para evitar el «phishing»
Ante el aluvión de estos correos electrónicos que se hacen pasar por mensajes de entidades bancarias, el Centro de Alerta Antivirus de Red.es ha publicado un documento con cinco normas sencillas para no caer en la trampa del phishing, al que define como “maniobra de ingeniería social por la que un usuario de correo electrónico es invitado a revelar sus claves bancarias o números secretos de acceso a cuentas financieras”. Los argumentos más comunes para justificar la necesidad de introducir los datos de acceso son, según Red.es, problemas de carácter técnico, recientes detecciones de fraude, recomendaciones de seguridad y cambios en la política de seguridad de la entidad. Y las recomendaciones para no caer en estos señuelos son:
- No atienda a correos electrónico escritos en idiomas que no hable: su entidad financiera no se dirigirá a Ud. en ese idioma si antes no lo han pactado previamente.
- No atienda a correos enviados por entidades de las que no es cliente en los que le pidan datos íntimos o que afecten a su seguridad.
- No atienda a sorteos u ofertas económicas de forma inmediata e impulsiva.
- No atienda a correos que le avisen del cese de actividades financieras recibidos por primera vez y de forma sorpresiva.
- No atienda a correos de los que sospeche sin confirmarlos telefónica o personalmente con la entidad firmante.
Además, el Centro de Alerta Antivirus cuenta con una página dedicada más ampliamente al Fraude Financiero a través de Internet.
Para evitar caer en páginas trampa, es recomendable teclear la dirección del banco “online” o ficharla en los “Favoritos”. En cualquier caso, hay que evitar acceder a su web través de mensajes de correo electrónico o páginas web de terceros.
La Asociación de Internautas ‘suspende’ a algunos bancos
La Asociación de Internautas (AI) ha recomendado a las entidades financieras que informen a sus clientes de este fraude en aumento para que no alberguen dudas sobre la falsedad de estos mensajes y actúen en consecuencia. Asimismo, la AI apremia a evitar las transacciones financieras o bancarias desde lugares públicos, como cibercafés o universidades, además de tener siempre presentes las normas de seguridad para acceder a la banca por Internet, entre las que está la regla básica para no caer en el phishing: “El banco NUNCA le solicitará que informe de sus claves o datos a través del correo electrónico”.
El presidente de la AI, Víctor Domingo, cree que a la mayoría de los bancos les cuesta reconocer que reciben ataques de este tipo u otros mayores, pero “tarde o temprano las noticias saltan a la prensa y el daño es mayor”.
Una de las formas de identificar una página web segura, que debe ser empleada por los servicios de banca “online”, es cerciorarse de que su dirección comienza por ‘https’, en lugar de ‘http’. La AI ha analizado las páginas web de 15 entidades bancarias para comprobar su protección ‘anti-phishing’, resultando que cuatro de los bancos que operan en España (gruposantander.es, lacaixa.es, caixacatalunya.es e ingdirect.es) suspenden en seguridad y dos (cajarural.com e ibanesto.com) están “a medio camino entre el suspenso y el aprobado”. Asimismo, Hispasec aseguró en un estudio que el 44% de los sitios web de entidades bancarias son vulnerables al phishing.
En noviembre del año pasado, CONSUMER EROSKI analizó 15 bancos “online” y, aunque se detectaron bastantes deficiencias, en el apartado de seguridad obtuvieron una calificación media de ‘muy bien’.
Ejemplos de mensajes fraudulentos
Uno de los mensajes recibidos por los internautas, remitido por ‘Supporte Banca BBVA’, pretende ser una comunicación del BBVA, pero se trata de un intento de fraude muy poco sofisticado: la mala adaptación de la palabra ‘support’ (soporte o ayuda) al castellano, la dirección del remitente (eddie@bbvan.es) y el destinatario del mensaje (ni está personalizado ni se utiliza un nombre genérico ‘creíble’) no invitan a picar en el cebo.
Si llega a pinchar en el enlace del correo electrónico, el receptor llegaría a la web trampa (http://bbva-support.com, ya inactiva), en lugar de a la legítima del BBVA (https://www.bbvanet.com). Quien no se fije en la dirección no apreciará ninguna diferencia con la original:
Otro correo electrónico, supuestamente enviado por Caja Madrid, ofrece “Recomendaciones de seguridad en Oficina en Internet”. En esta ocasión, el remitente (clientes@cajamadrid.es) y el asunto (‘Atención al cliente de Caja Madrid’) están más cuidados, y es el propio mensaje el que contiene un formulario para enviar los datos personales, que serán capturados por los estafadores:
A través del código HTML del mensaje es posible adivinar que los datos irían a parar a copilutzrau@yahoo.com a través de la web http://www.wave.co.nz/cgi-bin/mailform.cgi. Caja Madrid ha colgado un aviso de seguridad en su página web para advertir a sus clientes de este intento de estafa. En él recuerda que “Caja Madrid nunca solicita a sus clientes que revelen sus claves personales y confidenciales mediante teléfono, email o fax”.
También se han recibido correos que tratan de acceder a los clientes de varias entidades bancarias a la vez, como el remitido por ‘BANKING SUPPORT’ con el asunto ‘BBVA_Bank/Banesto /Cajamar/ Banco de_Valencia’. El mensaje está en inglés y las direcciones de los bancos apuntan a páginas con el dominio ‘.ru’ (de Rusia), ya inactivas:
Cajamar ha advertido a sus clientes de que no deben introducir sus claves en este correo fraudulento, enviado masivamente: