Así clonan la web de Hacienda para robarte

Por Aroa Fernández, para hojaderouter.com

El miedo a sufrir un ciberataque hace que nos andemos cada vez más con pies de plomo cuando navegamos por la Red. Sin embargo, a la vez que nosotros extremamos precauciones, los ciberdelincuentes también perfeccionan sus técnicas para conseguir engañarnos.

La última institución española que ha advertido de un posible caso de phishing (o suplantación de identidad) ha sido la Agencia Tributaria. Según denuncia en su web, con motivo de la nueva campaña de la declaración de la renta que arranca este mes de abril, un año más se han detectado varios correos electrónicos y SMS fraudulentos que simulan la identidad e imagen del organismo público.

En ellos se hace referencia a falsos reembolsos de impuestos para los que el usuario, si quiere recibirlos, tendrá que acceder a una web maliciosa y rellenar un formulario con sus datos de cuentas bancarias y tarjetas de crédito. Además, se invita a descargar una supuesta nueva aplicación que, bajo el nombre de TAPE, no es más que un dañino malware. “Según los casos detectados, se encarga de cifrar archivos del equipo y exigir un pago para liberarlos o bien instala un troyano capaz de robar credenciales personales e información sensible”, advierten desde la entidad.

Para no dejarse engañar, la AEAT aconseja desconfiar de cualquier petición de información que no provenga directamente del dominio de su página web o de su sede electrónica. Sin embargo, detectar los fraudes puede resultar complicado en muchos casos dada la destreza de los ciberdelincuentes.

Qué es el phishing: definición y significado

Como ya hemos comentado, el phishing consiste, a grandes rasgos, en suplantar la identidad de una empresa o entidad, por lo que lo primordial para estos atacantes es elegir una marca en la que los usuarios confíen y copiarla lo mejor posible. Grandes empresas, bancos o instituciones públicas son los más suplantados.

El 91% de estos ataques comienzan con un simple correo electrónico. Tu banco solicita tus datos para mantener activa la cuenta o una marca de referencia te pide rellenar una sencilla encuesta: reclamos simples en los que cualquiera pudiera caer. El email puede contener textos originales, imágenes oficiales y enlaces que, en un principio, nos pueden parecer confiables.

Lo mismo ocurre con las webs a las que nos dirigen: el formato y los contenidos son idénticos. Para ello, los atacantes practican la ciberocupación, que consiste en hacerse con dominios de marcas que pertenecen a terceros. En los casos más llamativos, sin embargo, al tratarse de empresas o entidades reconocidas, lo que se buscan son dominios con ligeras variaciones que no levanten sospechas entre los usuarios: desde añadir al nombre de registro el objeto de la actividad (banco, tienda, shop…) hasta referencias geográfica que incluso vayan separadas por guión (-madrid, -es…).

Para copiar la información, estos ciberdelincuentes utilizan fórmulas automatizadas para que nada se les escape. Algunas de las herramientas más usadas son las conocidas como scrapers, muy usados para rastrear e integrar contenidos de páginas de terceros en sus webs copiadas. Además, en estas suplantaciones, es común ver formularios de registro que dicen recompensar de algún modo al usuario o enlaces a noticias o promociones llamativas. Los más avanzados incluso permiten que los internautas se registren y vean un falso perfil para no levantar sospechas. Incluso los hay que facilitan números de teléfono de contacto o invitan a la víctima a que se conecte por Skype para redondear el timo.

Todos estos mecanismos pueden darse a la vez o por separado. Así, puedes encontrar desde sitios totalmente clonados hasta aquellos que solo copian los contenidos y el logotipo o utilizan un nombre diferente.

Cómo protegerse del phishing

La mejor forma de evitar ser estafado es no responder jamás a una solicitud de información personal a través del correo electrónico, llamada de teléfono o SMS. Las empresas e instituciones nunca deberían solicitar (y no suelen hacerlo) contraseñas, números de tarjeta de crédito o cualquier información personal por estos medios. Si recibes una petición así, lo más probable es que se trate de un suplantador.

También se recomienda evitar el acceso a cualquier web a través de un enlace, en especial si lo hemos recibido por alguna de las vías antedichas. Mucho mejor introducir la URL directamente en la barra de direcciones del navegador o, al menos, buscar la web en Google y entrar desde su página de resultados.

En la mayoría de los casos, tu mejor aliado es el sentido común. No hay que navegar con miedo, ya que los bancos, plataformas de comercio electrónico y demás páginas que tienen acceso a nuestro dinero tienen certificados de seguridad que garantizan el uso de cifrado. Para evitar disgustos, intenta navegar únicamente por webs seguras cuya dirección empiece por «https://».

Si ya es demasiado tarde, lo mejor que puedes hacer cuando has sido estafado es recopilar toda la información posible (capturas de pantalla, enlaces, direcciones de correo, mensajes…) y presentar una denuncia. En la web de la Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad podrás encontrar información al detalle y actualizada sobre cómo y dónde hacerlo.