Portada » Tecnología » Seguridad en el correo electrónico

Seguridad en el correo electrónico

phishing

Te contamos algunas prácticas que te permitirán gozar de una mayor seguridad en el correo electrónico.

Vamos a desarrollar un caso real de una suplantación de identidad que hemos recibido en una de nuestras cuentas de correo.

En esta ocasión se trataba de un email que nos llevaba a una dirección de internet con un formulario virtual. Este formulario trataba de recoger nuestras credenciales de acceso al banco. Querían robarnos la clave de acceso a nuestro banco.

Para ello deberíamos ser nosotros los que escribiésemos en los diferentes campos del formulario, nuestro identificador y clave.

Estas prácticas de suplantación por email son, normalmente, fácilmente detectables. Así que a poco que nos fijemos en ella no nos la colarán.

Ten presente siempre la siguiente máxima:

Banco = Dinero = Cuidado

Existe un patrón que utilizan comúnmente los hackers malvados para intentar conseguir nuestro acceso al banco mediante correos electrónicos.

Buenas prácticas comunes

Desconfía inmediatamente de cualquier correo electrónico recibido si el remitente no está en tu libreta de contactos.

Marca com spam los correos que vengan de desconocidos

Hola quiero conocerte. Hola estoy muy cali…Mentira! La gente no utiliza el e-mail para comenzar una relación de amistad.

Lo más probable es que si recibes un correo de este tipo sea publicidad. Si no te interesa y sobretodo si no has solicitado esa información, márcala como spam. Esto evitará en gran medida que vuelvas a recibir otro e-mail parecido de la misma empresa. Además de ser más seguro, optimizarás tu tiempo.

No abrir ni descargar archivos del correo electrónico

Es importante destacar que no hay que descargar ni abrir ningún archivo anexado a un correo electrónico si no lo has solicitado.

Es decir si no sabemos con antelación que nos van a remitir una información mediante fichero anexado no debemos abrirlo. De lo contrario podría ser una trampa mortal para nuestro PC.

Inclusive no abrir los anexos aunque conozcamos al emisor del correo. Pues es común que se pirateen ordenadores y que un usuario infectado por un virus, esté remitiendo emails a sus contactos sin saberlo. Así el virus puede ganarse la confianza de sus contactos.

Sólo abriremos los anexos si previamente nos han avisado de que nos los van a remitir. Sea por teléfono o whatsapp, si no nos preavisan, bien podemos preguntarle antes de abrirlo, un «me has enviado algo».

Al igual que con los ficheros anexados no abras ningún enlace que esté en un correo electrónico. A menos que conozcamos al remitente y que dicho enlace tenga una lógica sobre un tema que estemos tratando con él.

A veces un conocido o familiar puede tener infectado su ordenador y sin el saberlo el usuario, este se pone a emitir correos a toda su libreta de direcciones. Correos con archivos anexados infectados o enlaces hacia páginas web que contienen otros tipos de infección, esta es una manera de propagarse. Si dudas, llama a tu amigo o escríbele un email con un:

  • ¿Pedro me has enviado tu este archivo? ¿Qué es este enlace que me envías?

Seguridad con los banco

Ahora vamos a ver algunas buenas prácticas para que tengas en cuenta con tu propio banco, lo primero, habla con ellos y asegúrate que tu banco no permite realizar transferencias de dinero por un importe elevado.

En la mayoría de entidades bancarias podemos restringirlas a cantidades pequeñas de 100 euros. Llegada la necesidad de realizar una transferencia mayor solicitar previamente a la entidad que nos amplíe esa cantidad o desplazarnos físicamente hasta una oficina bancaria de nuestro banco para realizarla.

Si el banco lo permite, enlazar el número de tu móvil con tu cuenta bancaria de forma que si haces un pago o transferencia a través de la página web del banco u otra web estas te soliciten un código de un sólo uso que te remiten al móvil mediante SMS, de esa forma sólo podrán ejecutar la transferencia si además de tus datos de acceso también tienen tu teléfono móvil físicamente.

Cambia tu clave de acceso al banco frecuentemente, sin paranoias pero una o dos veces al año sería lo más correcto, por ejemplo antes de marchar de vacaciones.

Si tienes más de un banco utiliza claves diferentes para cada banco.

Si tu banco te permite modificar el «usuario» en lugar de utilizar tu número de DNI utiliza esa opción de esa forma convertirás de alguna manera el campo de «usuario» en un campo que no sea fácil de adivinar y por tanto sería como un sistema de doble clave.

Suplantación de identidad, un caso real

También denominado comúnmente por su palabra inglesa phising que viene de la palabra «fishing» que significa pescar, morder el anzuelo. Ahí lo dejo.

Sin ir más lejos, os hago una captura de pantalla de mi bandeja de entrada con este correo malicioso que me ha llegado a mi cuenta personal que tengo en Yahoo! y eso que Yahoo! como Gmail, Microsoft y otros muchos de los grandes players de internet (los que mueven el cotarro vaya) disponen de avanzados servicios de protección para sus usuarios, incluyendo servicios antiphishing pero esto es la carrera del ratón y el gato.

El encabezado del mensaje lo veo en mi bandeja de entrada tal cual así: (tacho la dirección de correos)

Cuidado con estos mensajes

Parece que el emisor es Bankia, procedo a abrir el correo y vemos lo siguiente:

Intento de Phishing

Empezamos a usar la lógica, si bien vaya por delante que nuestro banco nunca nos hará una petición donde se incluya la introducción de claves a través de un enlace:

  1. ¿Tengo yo una cuenta en la entidad bancaria llamada Bankia?
  2. ¿El mensaje nos llega de una dirección @bankia.es ?
  3. ¿Está escrito en perfecto castellano?
  4. ¿Dónde lleva ese enlace?

Respuesta a la pregunta 1

¿Tengo yo una cuenta en esa entidad bancaria?

Si empezamos a contestarnos a nosotros mismos esas respuestas veremos que se puede dar el caso de que:

No tengo una cuenta en Bankia, por tanto la comunicación es un bulo, hay que marcarla como spam y no hará falta que sigas leyendo.

Respuesta a la pregunta 2

¿El mensaje llega de donde parece?

Si hago una búsqueda en Google.es veo que la página de internet de Bankia es exactamente:

www.bankia.es o bankia.es pero sin nada más por delante. No es por ejemplo «somosbankia.es» o «tubankia.es»

Por tanto el dominio principal del banco real es «bankia.es» y lo más lógico es que remitan los correos desde una dirección de correo electrónico desde el dominio oficial. Es decir, acabada en «@bankia.es» por ejemplo: [email protected] pero si me fijo en la captura del email el correo que la emite es [email protected], el dominio no es @bankia.es

Podríamos ya marcar dicho correo electrónico como spam, no obstante vamos a seguir estudiando el caso, pues podría estar bien hecho y superar esta pregunta 2.

edpnet.org es el dominio que nos ha remitido el correo y este claramente no es el dominio bankia.es así que vamos a buscar en internet que es esa empresa de edpnet.org

Vemos que es un proveedor de servicios de internet, aquí os capturo su pantalla principal:

Investigando el origen del mensaje

Se trata de una empresa que proporciona servicios de Internet y que seguramente ha sido hackeada recientemente.

Sabemos que Bankia no enviaría un e-mail desde una dirección que no es suya.

Respuesta a la pregunta 3

¿Está escrito correctamente?

Muchos hackers son de procedencia lejana, allí donde hay un mayor volumen de población hay más sujetos, y por tanto habrá más de todo tipo, me refiero a usuarios buenos y usuarios mal intencionados.

Muchos hackers son de los países más poblados del planeta y donde tienen una lengua que difiere mucho a la nuestra. Tanto en las palabras como en el sentido que les dan y la gramática. Por tanto es fácil que utilicen sistemas de traducción de idiomas al estilo de Google Translator. Traducciones que en muchas ocasiones son esperpénticas y pueden darnos pistas delatando que el email recibido no se ha enviado desde tu propio país.

En este caso se trata de Bankia y es fácil pensar que cualquier comunicado de una empresa española estará bien escrito en Español, sin faltas y con todo el sentido, pues bien en esta caso también descubrimos que patina. Si te fijas en la captura del e-mail dice algo así como:

«…haga click en el lazo de abajo»

La expresión «lazo» no se usa en España ni en español para referirse a un «Enlace» o «link» por lo que a buen seguro ese e-mail es un e-mail ilícito.

Desconfía.

Respuesta a la pregunta 4

¿Dónde te lleva ese enlace?

IMPORTANTE, a menos que domines el tema no sigas leyendo este párrafo 4 y ni mucho menos intentes lo que vamos a desarrollar en él, o en el caso de aventurarte NUNCA introduzcas en el formulario que te aparecerá tus datos reales.

No obstante quizá esta dirección ha sido eliminada pues nosotros hemos denunciado el caso a la Policía para evitar que caigan personas en dicha estafa.

Si pulsamos al enlace que viene en el correo electrónico es del tipo

REDIRECCIONADOR/QGGr8lQQfK

t.co es un redireccionador o acortador de URL que en este caso pertenece a Twitter, redireccionador que hemos sustituido en la cadena anterior para evitar ser identificados como «enlazadores» hacia un formulario maligno.

Si vamos a esa dirección nos redireccionará a una página web bajo el dominio bankia pero en la que si nos fijamos no comienza exclusivamente por https si no por:

data:text/html;https://

Es decir el enlace redirecciona a una dirección de internet que tiene un formulario incluído en la barra de direcciones, esto suena raro, pero si copiamos y pegamos toda la dirección en un editor de texto que tenga algún contador de palabras veremos que esta tiene una longitud de 15.050 caracteres, larga no, larguísima, tengamos en cuenta que una dirección de internet completa y bastante larga puede ser de entre 100 y 250 caracteres, por tanto esta dirección lleva ahí algo más que un simple enlace, lleva código para renderizar un formulario pero dejando visible la cadena «bankia.es» para que nos creamos que es la página del banco.

Analizando con mayor detalle la dirección vemos que es:

data:text/html; https://www.bankia.es/es/; base64,PCFET0NUWVBF…

Tras los puntos suspensivos vemos una larga cadena de letras y números sin sentido aparente. Pero si que podemos entender «base64»

Pues es a partir de la definición de Base64 donde encontramos ese aparentemente indescrifable código de letras y números sin sentido, código que si procedemos a copiarlo en el portapapeles para decodificarlo con alguna de las numerosas herramientas online que permiten decodificar base64, como:

https://www.tools4noobs.com/ online_php_functions/ base64_decode/

Nos mostrará el código fuente en lenguaje HTML del formulario del que te ofrecemos una captura:

Web fake, falsa

Este formulario llevará los datos que recoja en él, y estos son:

Nº de Documento y Clave a la dirección web

http://xxx.com/upload /content/page/ inc/intro.php

Esta vez hemos escrito xxx en lugar del dominio original para como antes evitar en mayor medida ser considerados como enlazadores a un lugar que contiene un enlace maligno. La página web destino tiene una sección de noticias que nos desvela que no se ha actualizado desde diciembre del año 2012, un montón de tiempo y probablemente no son los autores directos de este phising, pues casi pondría la mano en el fuego que ha sido por algún individuo y se aprovecha de ella para recabar información, incluso los reales propietarios de la página no deben ni conocer el problema.

Pero… ¿No basta con un antivirus?

Realmente no, si bien el antivirus es indispensable en la actualidad no todos estos programas incorporan sistemas antiphising para el correo electrónico y de incorporarlo no siempre son perfectos, pues esto es literalmente imposible.

Cada día aparecen nuevas alertas, muchas no denunciadas y por tanto no controladas por los creadores de sistemas de seguridad.

La mejor protección es la prevención acompañada de grandes dosis de sentido común, sentido común que deberemos ubicar siempre por encima de la curiosidad, si nos remiten un archivo por e-mail algo o alguien que no conocemos, si nos remiten algo que no hemos solicitado, desconfiemos.

Denunciar un caso de phishing

Si te encuentras con algún tipo de suplantación de identidad como el que te hemos reseñado en este artículo, no lo dudes, denúncialo aprovechando el formulario que la policía tiene en su página web, de esa forma todos navegaremos más seguros.

Denuncia aquí

Además en esta web puedes leer sobre otras alertas de seguridad informática que van detectando, para ello visita la dirección:

Otras alertas de seguridad aquí