El otro día llegó a una de mis
cuentas de correo electrónico un e-mail fraudulento haciéndose
pasar por un mensaje auténtico de Bancomer, para que subiera a
internet información confidencial de mi cuenta bancaria. Este tipo
de fraude se llama phishing, este es un delito en el cual el
delincuente se hace pasar por personal de un banco y mediante un
correo electrónico solicita a un posible cliente del mismo banco que
proporcioné información confidencial de su cuenta bancaria, usando
para este fin un sitio web falso que, sin embargo, puede verse
idéntico al sitio web oficial de la institución bancaria.
Aprovechando esta oportunidad voy a
desglosar cómo detectar este tipo de fraude.
Primero, el mensaje de correo
fraudulento llegó a una cuenta que no tengo asociada a ninguna
cuenta bancaria. Por lo tanto, esto indicaría que es un correo
electrónico enviado por un remitente que desconoce al destinatario,
en otras palabras no es el banco quien envía esto.
Segundo, el contenido del mensaje tiene
errores ortográficos, como ejemplos, el cuerpo del mensaje no tiene
ningún acento y hay verbos mal conjugados o incluso cambiados por
preposiciones (“a” en lugar de “ha” del verbo haber). Muchos
correos fraudulentos como este son creados y enviados por gente que
no siempre conoce el idioma en el que están escritos.
Tercero, los links del final del
mensaje llevan a un sitio web que está registrado en Chile (véase
abajo de la imagen, subrayado, la terminación .cl del dominio), no
en México. Bancomer no tiene necesidad de contratar otro dominio
fuera de México, si ya tiene uno registrado aquí y sobre el cual
opera su servicio de banca en línea. Probablemente en unos días el
mismo dominio esté inaccesible, ya que estos sitios web aparecen y
desaparecen rápidamente sólo para robar datos de cuentahabientes
descuidados, y así dificultar que las autoridades actúen en contra de
los delincuentes.
Por curiosidad quise seguirles el juego
a estos estafadores, pero dando datos falsos y hasta ridículos (solo
poniendo ceros “0”, tantos como hiciera falta, en cualquier
campo, incluso en donde solicitan nombre).
En este momento ya es obvio que se
trata de un engaño, pero por si hicieran falta más pruebas, al intentar
entrar al sitio web al que lleva el mensaje del falso Bancomer, el
navegador web (probé tanto con Firefox como con Google Chrome)
advierte de que se trata de un sitio sobre el que pesa la sospecha de
tratarse de un fraude de phishing.
Al entrar al sitio web, se ve un clon
casi perfecto de la página oficial del banco, salvo por varios
errores o detalles, algunos que detecté fueron los siguientes:
- El dominio no es el del banco, el auténtico es https://www.bancomer.com y el falso es http://www.y*g**d.c*m.mx/httpwww-bancomer.com.mx/serviciosonline/ (cambié algunas "o" por asteriscos para tratar de no posicionar mejor este sitio web de delincuentes en los resultados de los buscadores). Algo parecido, pero totalmente falso, ya que el dominio es y*g**d.c*m.mx, no bancomer.com lo que viene después de la "/" sólo es para aparentar, igual podría decir robancomer.com.mx, teroboporquetevicarademenso.com o lo que sea. Detectar esto es clave para evitar ser víctima de este delito.
- Cualquier institución bancaria o tienda en línea, debe tener un https que indica que las operaciones que se hagan en su sitio web están protegidas mediante un método de cifrado (o encriptado como algunos dicen), de modo que la información que se envíe a través de estos sitios no sea vista por ninguna persona. Pero verla es lo que quieren los estafadores.
- Ninguno de los vínculos del sitio falso llevan a una página diferente, sólo salen mensajes de Error 404, es decir, sólo tiene la fachada del sitio auténtico del banco.
- Lo único que funciona es la falsa aplicación para entrar al servicio de banca en línea, donde piden los números de la tarjeta de crédito o débito.
Para continuar interactuando con el
sitio fraudulento, escribí ceros en donde se solicitan los números
de la tarjeta.
A continuación, nos lleva a otra
página donde solicitan más datos. Véase que arriba en la barra de
direcciones del navegador están los 16 ceros que introduje como
número de la tarjeta. Es obvio que los datos que se envían por este
sitio web los va a ver cualquiera, incluso alguien que esté detrás
de mí podría estar viendo los números de la tarjeta.
Después se solicita el número que da
el Dispositivo de Acceso Seguro, que es (casi) como Bancomer llama al
token de seguridad, que es un dispositivo con el que las personas
morales o físicas con actividad empresarial acceden a la banca en
línea, mediante una contraseña dinámica, es decir, que cambia cada
vez que se usa el token y el servicio en línea del banco.
En la siguiente acción, nuevamente los
estafadores solicitan más datos del cuentahabiente, y le recuerdan
al usuario incauto que la clave es sensible a mayúsculas y
minúsculas. No vaya a ser que cuando los delincuentes usen estos
datos sólo les falle una contraseña.
Continuando, aparece otra página web
en donde se le solicita al usuario todos sus datos personales, como
nombre, dirección, teléfonos, todo lo que se pueda saber de la
tarjeta, si es de crédito o débito, los números del frente, los 3
números del código de seguridad de la cara posterior de la tarjeta,
fecha de expiración y NIP. Todos estos datos esenciales para fregar
a la gente robándoles su patrimonio.
Ahora veamos como es el auténtico
sitio web de Bancomer.
Lo primero que vemos es que arriba, en
la barra de direcciones del navegador aparece un símbolo que representa un
candado al lado del https://www.bancomer.com.
Y al darle clic con el mouse al icono del candado sale un mensaje que
nos confirma la autenticidad del sitio y el tipo de cifrado con el
que los datos enviados se protegen para que esta vez nadie los vea.
Al verificar esto nos podemos sentir más tranquilos de estar visitando un sitio web legítimo.
Siempre recomiendo tener cuidado con
los correos electrónicos que se reciben, es necesario desconfiar de
todo para no ser sorprendidos y perjudicados, ya que, como en este
caso, se trata de un fraude.
También recomiendo no enviar cadenas
de correo. Pero si es necesario enviar un correo a varios
destinatarios que no se conocen entre sí y no tienen por qué
conocer las direcciones de correo electrónico de los otros, entonces
que se use el envío de mensajes CCO, es decir Con Copia Oculta (el que está a un lado o abajo del Para que casi todo mundo usa para designar a los destinatarios), para
evitar que los delincuentes conozcan esta información y la usen para
estafar a la gente.
