Cómo detectar un fraude de Phishing: ejemplo Bancomer (México)

El otro día llegó a una de mis cuentas de correo electrónico un e-mail fraudulento haciéndose pasar por un mensaje auténtico de Bancomer, para que subiera a internet información confidencial de mi cuenta bancaria. Este tipo de fraude se llama phishing, este es un delito en el cual el delincuente se hace pasar por personal de un banco y mediante un correo electrónico solicita a un posible cliente del mismo banco que proporcioné información confidencial de su cuenta bancaria, usando para este fin un sitio web falso que, sin embargo, puede verse idéntico al sitio web oficial de la institución bancaria.

Aprovechando esta oportunidad voy a desglosar cómo detectar este tipo de fraude.

Primero, el mensaje de correo fraudulento llegó a una cuenta que no tengo asociada a ninguna cuenta bancaria. Por lo tanto, esto indicaría que es un correo electrónico enviado por un remitente que desconoce al destinatario, en otras palabras no es el banco quien envía esto.

Segundo, el contenido del mensaje tiene errores ortográficos, como ejemplos, el cuerpo del mensaje no tiene ningún acento y hay verbos mal conjugados o incluso cambiados por preposiciones (“a” en lugar de “ha” del verbo haber). Muchos correos fraudulentos como este son creados y enviados por gente que no siempre conoce el idioma en el que están escritos.

Tercero, los links del final del mensaje llevan a un sitio web que está registrado en Chile (véase abajo de la imagen, subrayado, la terminación .cl del dominio), no en México. Bancomer no tiene necesidad de contratar otro dominio fuera de México, si ya tiene uno registrado aquí y sobre el cual opera su servicio de banca en línea. Probablemente en unos días el mismo dominio esté inaccesible, ya que estos sitios web aparecen y desaparecen rápidamente sólo para robar datos de cuentahabientes descuidados, y así dificultar que las autoridades actúen en contra de los delincuentes.

Por curiosidad quise seguirles el juego a estos estafadores, pero dando datos falsos y hasta ridículos (solo poniendo ceros “0”, tantos como hiciera falta, en cualquier campo, incluso en donde solicitan nombre).

En este momento ya es obvio que se trata de un engaño, pero por si hicieran falta más pruebas, al intentar entrar al sitio web al que lleva el mensaje del falso Bancomer, el navegador web (probé tanto con Firefox como con Google Chrome) advierte de que se trata de un sitio sobre el que pesa la sospecha de tratarse de un fraude de phishing.

Al entrar al sitio web, se ve un clon casi perfecto de la página oficial del banco, salvo por varios errores o detalles, algunos que detecté fueron los siguientes:

• El dominio no es el del banco, el auténtico es https://www.bancomer.com y el falso es http://www.y*g**d.c*m.mx/httpwww-bancomer.com.mx/serviciosonline/ (cambié algunas "o" por asteriscos para tratar de no posicionar mejor este sitio web de delincuentes en los resultados de los buscadores). Algo parecido, pero totalmente falso, ya que el dominio es y*g**d.c*m.mx, no bancomer.com lo que viene después de la "/" sólo es para aparentar, igual podría decir robancomer.com.mx, teroboporquetevicarademenso.com o lo que sea. Detectar esto es clave para evitar ser víctima de este delito.
• Cualquier institución bancaria o tienda en línea, debe tener un https que indica que las operaciones que se hagan en su sitio web están protegidas mediante un método de cifrado (o encriptado como algunos dicen), de modo que la información que se envíe a través de estos sitios no sea vista por ninguna persona. Pero verla es lo que quieren los estafadores.
• Ninguno de los vínculos del sitio falso llevan a una página diferente, sólo salen mensajes de Error 404, es decir, sólo tiene la fachada del sitio auténtico del banco.
• Lo único que funciona es la falsa aplicación para entrar al servicio de banca en línea, donde piden los números de la tarjeta de crédito o débito.

Para continuar interactuando con el sitio fraudulento, escribí ceros en donde se solicitan los números de la tarjeta.

A continuación, nos lleva a otra página donde solicitan más datos. Véase que arriba en la barra de direcciones del navegador están los 16 ceros que introduje como número de la tarjeta. Es obvio que los datos que se envían por este sitio web los va a ver cualquiera, incluso alguien que esté detrás de mí podría estar viendo los números de la tarjeta.

Después se solicita el número que da el Dispositivo de Acceso Seguro, que es (casi) como Bancomer llama al token de seguridad, que es un dispositivo con el que las personas morales o físicas con actividad empresarial acceden a la banca en línea, mediante una contraseña dinámica, es decir, que cambia cada vez que se usa el token y el servicio en línea del banco.

En la siguiente acción, nuevamente los estafadores solicitan más datos del cuentahabiente, y le recuerdan al usuario incauto que la clave es sensible a mayúsculas y minúsculas. No vaya a ser que cuando los delincuentes usen estos datos sólo les falle una contraseña.

Continuando, aparece otra página web en donde se le solicita al usuario todos sus datos personales, como nombre, dirección, teléfonos, todo lo que se pueda saber de la tarjeta, si es de crédito o débito, los números del frente, los 3 números del código de seguridad de la cara posterior de la tarjeta, fecha de expiración y NIP. Todos estos datos esenciales para fregar a la gente robándoles su patrimonio.

Ahora veamos como es el auténtico sitio web de Bancomer.

Lo primero que vemos es que arriba, en la barra de direcciones del navegador aparece un símbolo que representa un candado al lado del https://www.bancomer.com. Y al darle clic con el mouse al icono del candado sale un mensaje que nos confirma la autenticidad del sitio y el tipo de cifrado con el que los datos enviados se protegen para que esta vez nadie los vea.

Al verificar esto nos podemos sentir más tranquilos de estar visitando un sitio web legítimo.

Siempre recomiendo tener cuidado con los correos electrónicos que se reciben, es necesario desconfiar de todo para no ser sorprendidos y perjudicados, ya que, como en este caso, se trata de un fraude.

También recomiendo no enviar cadenas de correo. Pero si es necesario enviar un correo a varios destinatarios que no se conocen entre sí y no tienen por qué conocer las direcciones de correo electrónico de los otros, entonces que se use el envío de mensajes CCO, es decir Con Copia Oculta (el que está a un lado o abajo del Para que casi todo mundo usa para designar a los destinatarios), para evitar que los delincuentes conozcan esta información y la usen para estafar a la gente.