El reciente robo de contraseñas de más de 30.000 cuentas de mail despertó nuevamente el alerta entre los usuarios, que en muchos casos no conocen cómo deben comportarse ante ciertos mails.

En la era de internet las nuevas tecnologías ayudaron a democratizar el conocimiento y a construir una sociedad más inclusiva.

Pero las mismas herramientas que revolucionaron la vida cotidiana de millones de personas en todo el mundo, ampliando sus posibilidades de trabajo y estudio, y permitiéndoles desarrollar su máximo potencial, también pueden ser utilizadas por criminales para cometer delitos llamados comúnmente cibercrímenes.

Uno de estos cibercrímenes es el phishing, que consiste en un engaño donde los criminales crean sitios de internet y correos electrónicos que imitan a empresas legítimas o a instituciones financieras.

El engaño consiste que uno cree que está respondiendo a solicitudes de información de su banco o de una empresa conocida, pero en realidad estás enviando información personal valiosa -como números de tarjetas de crédito, contraseñas, información de cuentas, etc.- a criminales.

Las estafas son otra táctica en la que el criminal envía un mensaje diciendo que recibirás una buena suma de dinero si le envías una pequeña cantidad a cierta persona o empresa mencionada en el correo electrónico.

En ocasiones, este engaño se esconde detrás de anuncios sobre supuestas herencias de parientes lejanos o triunfos en la lotería; al recibir estos mails eres instruido a enviar dinero para procesar la liberación de los fondos, lo que constituye una mentira.

Escenarios para el engaño

Hay diferentes maneras o casos de engaño a través de un correo electrónico, los dos escenarios más comunes y conocidos son:

Escenario 1: el archivo adjunto

Un ejemplo de este tipo de engaño es cuando se recibe un correo en donde te “informan” que tu servicio de banca en línea ha sido suspendido por diversas causas, y que debes seguir las instrucciones contenidas en el archivo adjunto para restablecerlo.

En el momento que ejecutas el archivo adjunto (haciendo doble click), un código troyano (keylogger) es instalado en tu propia computadora de manera imperceptible.

A partir de ese momento, ese código malicioso se encargará de almacenar todo lo que hagas en el equipo, lo que escribas en el teclado, los programas que ejecutes, los movimientos del mouse, etc., para enviar esa información continuamente y en forma invisible vía internet para ser revisada por los delincuentes, quienes pueden fácilmente distinguir cuáles son Nombres de Usuario, Contraseñas y otros datos necesarios para cometer sus fraudes.

Escenario 2, el sitio falso

En este caso, un correo electrónico explica que, por diferentes causas (todas falsas), cierta institución financiera requiere que confirmes algunos datos.

Para ello se solicita que ingreses a tu homebanking, que parece ser el habitual, e ingreses los datos (usuario y clave). A partir de ese momento quedará claro –por el mensaje recibido- que no era la página real (quizás diga, por ejemplo, que momentáneamente el servicio no está disponible y que es necesario volver más tarde), pero los delincuentes se habrán quedado con los datos de acceso para ir al sitio real y robar.

Generalmente incluyen un link para “facilitar” el acceso, y al hacer clic el usuario será llevado al sitio falso donde se pedirá toda la información. Algunos esquemas más avanzados logran llevar a la víctima a estos sitios con sólo hacer click sobre cualquier parte del texto del correo, no necesariamente sobre el link en cuestión. Esto sucede cuando el texto completo del mensaje es en realidad una imagen única.

Una variante de este escenario es cuando al visitar el sitio fraudulento, un código troyano (keylogger) es automáticamente instalado en el equipo sin tu consentimiento, creando entonces el mismo riesgo a la privacidad presentado en el escenario 1.

Para concluir, es importante tener presente que bajo ningún concepto hay que ingresar datos de tarjetas de crédito, cuentas bancarias ni alias de cuentas o contraseñas, solicitados por correo electrónico.

Esta modalidad no la utiliza ninguna empresa proveedora de servicios. Recomendamos cambiar las contraseñas cada 90 días, también no descargar archivos adjuntos de mails de personas desconocidas o que nos soliciten información personal. Para mayor información podes entrar en www.navegaprotegido.org.

Infobae: * Por Jorge Cella, gerente de Iniciativa de Seguridad de Microsoft para la Argentina y Uruguay