Todo el mundo habla del pishing estos días - normalmente correos electrónicos que intentan hacer ver que provienen de su banco o de otro servicio online que pueda usar, pero que realmente sólo es una buena falsificación que le conduce a introducir su login secreto o los datos de su tarjeta de crédito en un sospechoso y falso sitio web.

Esto no ocurrirá si mantiene en secreto su dirección de correo electrónico, pero tan pronto como reciba el primer correo basura, su dirección de correo electrónico dejará de ser secreta y probablemente será vendida de un spammer a otro, y podría recibir también correos electrónicos que emplean técnicas pishing. Hemos reunido una docena de estos correos electrónicos que practican estas técnicas y decidí escribir este pequeño artículo para dejar que conociera que aspecto tienen estos correos y como pueden ser reconocidos fácilmente.

Todos los correos electrónicos que le piden introducir sus datos de login en un sitio web deberían ser considerados primero como sospechosos, y luego comparados con la siguiente lista de comprobación.

• Algunos correos que siguien esta técnica ponen el texto entero en un gráfico para evitar que ser detectados por los filtros de correo basura. Otros han insertado texto adicional en letras del mismo color que el fondo para molestar a los filtros de correo basura. Puede pulsar Ctrl+A (o usar Seleccionar todo desde el menú Editar) con tal de ver si el texto es seleccionable y hay texto oculto allí. Si no puede seleccionar palabras simples del texto, eso indica que el texto está dentro de un gráfico, lo que es absolutamente improbable para un servicio de fiar. También, si lee algún texto sin relación alguna con el resto, esa es una buena señal que el correo no es auténtico.
• La mayoría de estos correos tienen un enlace que parece ser válido pero no lo es. El enlace de texto que se muestra parece ser un enlace de fiar a un sitio web de servicios, mientras que el enlace que realmente esconde le lleva a una página absolutamente distinta. Puede mover el ratón sobre el enlace y observar la barra de estado de su cliente de correo , el cual muestra la dirección real del enlace. Siempre que este enlace no sea exactamente el mismo que el mostrado en el texto (o que éste no sea una dirección que ya conoce, y esto incluye cada uno de los puntos en particular - wwwv1-paypal.com por ejemplo, no es lo mismo que www.paypal.com), no debería clic en él nunca. Algunos correos de este tipo acostumbran a tener unos pocos enlaces reales, pero tan pronto como pueda tener una duda en uno de los enlaces, no haga ningún clic en ellos. El mejor método es visitar un sitio web de servicios online sólo mediante la introducción de su URL conocida en su navegador, y nunca haciendo clic en los enlaces de cualquier correo.
• Es bastante común en estos correos electrónicos que le adviertan de que no debe compartir su password con nadie. Estos correos también hacen uso de los gráficos originales de eBay, PayPal, CitiBank y otros servicios que son burlados. Avisos y apariencia no son criterios para determinar si un correo es de fiar.
• Estos servidores falsos a los que puede llegar mediante correos que practican estas técnicas phising, no tienen ninguna forma de validar su información. Esto es, si ha llegado algún sitio web que considere sospechoso de estas técnicas (ya sea porque ha ignorado todos nuestros avisos o porque le ha pasado inadvertido), puede probar de entrar alguna información totalmente inventada. Si el sitio web lo acepta, hay algo que no está bien. Aún, si el sitio web le dice que los datos son incorrectos, eso no es señal de que el sitio es el auténtico.

Importante: No introduzca datos importantes en ningún formulario que no esté encriptado mediante SSL (las direcciones SSL empiezan con https:// en lugar de http://).
Importante: Nunca use los enlaces que aparecen en los correos electrónicos que le lleven a servicios protegidos con password en los que esté suscrito (bancos, cuentas de correo, cualquiera que necesite un login).
Importante: Siempre realice el ingreso (log in) desde un marcador o tecleando la URL únicamente, y siempre verificando que el campo de URL que permanece es el correcto.

Le adjuntamos una lista de capturas de pantalla donde podrá encontrar algunos correos con técnicas pishing que hemos recopilado como ejemplo:

• CitiBank, CitiFinancial: El texto es un gráfico, si mueve el ratón sobre el enlace verá que no apunta realmente al servidor de citibank.com.
• eBay: el enlace del fonde no apunta a eBay. The pressure (update within 24 hours) is also a good indicator.
• PayPal #1,PayPal #2: estos correos tienen exactamente el mismo diseño que un correo original de PayPal. También puede ver un enlace incorrecto.
• SunTrust: sino es por el enlace, también hay esta increíble amenaza de cargar al cliente 50 dólares si no cambia la contraseña tan pronto como le sea posible.
• PostBank: este correo es bastante inteligente en lo que se refiere a su enlace, pero el lenguaje falla en aspectos técnicos y es bastante inverosímil (cada frase finaliza con una exclamación). También, no he visto ningún banco que recomiende un producto antivirus especial. Diferentes clientes de correo muestran diferentes comportamientos con este correo: Outlook Express mostrará la URL maliciosa en la barra de estado, y abrirá la página maliciosa cuando haga clic en él. Mozilla Thunderbird muestra el enlace real de Postbank, pero también abre la página real de Postbank si hace clic en él.

En los últimos meses, hemos recopilado correos phising en múltiples cuentas de correo y hemos hecho una estadística. Por favor, entiendan que los bancos o sitios de esta relación son sólamente víctimas y las escogen por tener una larga lista de clientes. Esto es, no es culpa suya. Debería prestar especial atención a cualquier correo que supuestamente provenga de su banco, sin olvidar quien es su banco, claro está.