Nueva estafa de phishing usando el banco Santander

"Phishing" es un juego de palabras en ingles relacionado con la acción de "pescar incautos". El término es usado para identificar el robo de identidades por medios electrónicos. Las víctimas de este delito son millones de usuarios en todo el mundo.

La información robada consiste principalmente en números de tarjetas de crédito, nombres de usuarios y contraseñas, información financiera diversa, etc.

El engaño se hace mediante una página web igual o muy similar al sitio legal, pero se encuentra alojada en un servidor que no pertenece a la empresa involucrada. Cuando el usuario escribe sus datos en el formulario, estos son guardados y enviados al estafador para su posterior uso o venta.

Este tipo de fraude se recibe habitualmente a través de correo electrónico o de ventanas emergentes, que simulan ser de la compañía en la que el usuario tiene servicios contratados. La mayoría de estos mensajes hablan de un problema con los archivos de la base de datos o un nuevo sistema que se está implementando, por lo que se solicita visitar la página oficial para confirmar datos confidenciales.

Actualmente ha aparecido una variante en este tipo de estafa, se la llama "spear phishing" y tiene como objetivo el obtener datos personales pero de un grupo reducido de personas. Tiene como blanco específico los clientes o empleados de una empresa en particular.

Uno de los más recientes mensajes circulantes, lleva los logos y colores propios del Banco Santander.

De: Servicio Tecnico
Para: xxxxx@xxxxx.xxx (dirección de correo electrónico)
Asunto: La carta para el cliente del Banco Santander Central Hispano!

El texto del mensaje explica vagamente que un hacker alteró la base de datos y que el servicio técnico corroboró que la información es falsa, y que con el nuevo sistema de seguridad es necesario ingresarla nuevamente en forma urgente.

Los enlaces que figuran simulan ser la dirección del sitio original del banco. Si se coloca el ratón sobre el enlace, en la "barra de estado" aparece la dirección real, un servidor totalmente diferente del oficial, como muestra la imagen.

Cómo puede observarse, hay una "h" colocada dentro de la dirección que no existe en el nombre "santander", además de un dominio diferente (".hk" en lugar de ".es").

http : // gruposahtander . hk

Si se observa con más detenimiento el mensaje, aparecen demasiadas incoherencias.

Por ejemplo, el mismo dice ser escrito por el "Servicio Tecnico". No es normal que este departamento del banco contacte a los usuarios. Generalmente existe un área denominada "Atención al cliente" o "Recursos Humanos" (RR.HH) y ellos son los encargados de contactar o avisar al público sobre los asuntos relacionados con la empresa.

El texto ortográficamente y gramaticalmente carece de toda coherencia. Faltan todos los acentos. Hay errores en la sintaxis como la palabra "dados", cuando lo que se quiso decir fue "datos". El mensaje podría haber sido generado en otro idioma y luego haberse traducido electrónicamente, lo que delataría el origen extranjero del mismo.

Las entidades bancarias no solicitan las contraseñas de sus clientes. Solo si el cliente se olvida su clave, el banco genera una nueva contraseña, pero esta llegará por correo postal al cliente en un sobre cerrado. Y la misma es generada al azar.

Si el banco sufre alguna pérdida de datos, se solicitará al cliente que concurra directamente por la sucursal más cercana.

Un mensaje de una empresa es difícil que pueda contener errores tipográficos, dado el nivel académico que la entidad exige para ser empleado de la misma.

El mensaje de correo electrónico podría parecer auténtico, pero responder es arriesgado, tanto para usted como para su empresa, tanto si es dueño o empleado.

Es recomendable si se recibe un mensaje pidiendo datos personales, verificar telefónicamente que la empresa financiera haya enviado dicho correo electrónico, y no hacer caso de los mensajes que nos lleguen solicitando información confidencial, que se reciban de una institución de la que seamos (o no) miembros.

Por Gonzalo Alvarez (*)