El phishing se ha vuelto tan habitual como sofisticado, los atacantes usan cada vez fórmulas más detalladas para hacernos creer que son quienes no son y conseguir nuestras claves de acceso al banco, un pago mediante pasarela virtual o un código de verificación por SMS mediante el que suplantar nuestra identidad.
En la carrera eterna entre policía y ladrón, los primeros van poniendo vallas más altas y los segundos van logrando palancas más fuertes. En esta fase, las vallas recién instaladas son códigos que nos adjuntan en cada comunicación, sea por SMS o por correo electrónico, para poder cotejar la autenticidad del emisor.
17 caracteres para prevenir fraudes
En los últimos tiempos hemos visto muchos ejemplos, pero quizás uno de los más refinados fue Flubot, que llegaba en forma de falso SMS de Fedex camuflando un peligroso virus capaz de vaciar la cuenta bancaria de la víctima. La banca o Correos son otros de los suplantados habituales.
El sistema habilitado por Correos consta de un código alfanumérico de diecisiete caracteres que nos llega junto a las notificaciones de la empresa para avisarnos de que un paquete nos está esperando en nuestra oficina más cercana.
Este es el aspecto que tienen los correos desde mayo, cuando se empezaron a implementar de forma progresiva, con el código al pie del mismo:
Una vez entramos a la web, en este caso de Correos, aparece un acceso al servicio 'Verificador de mail' en el que pegar el código y comprobar si obtenemos luz verde.
Un detalle importante es que este código solo puede ser verificado una vez, así que en casos de correos donde tenga acceso más de una persona puede ocurrir que alguien lo haya verificado antes y a la otra persona le aparezca como inválido.En ese caso, de toda formas, el verificador no dice no reconocer el código, sino que informa de que ya fue validado anteriormente. Así y todo, este último caso también podría ser sospechoso de phishing si hay un atacante avispado que reutiliza un código original.
Bancos como La Caixa no recurren de momento a este tipo de soluciones, pero también han desarrollado una forma de presentarse como genuinos cuando envian un correo electrónico a sus clientes. En su caso, incluyen el nombre de pila y los últimos dígitos del DNI del cliente al que se dirigen.
De esa forma consiguen empezar el correo dando una información que un atacante no suele tener a mano. En cualquier caso, un DNI es algo que puede ser obtenido de formas relativamente fáciles, por ejemplo si esa persona aparece en el BOE por cualquier motivo, como el acceso a una plaza de funcionario u otro tipo de proceso que se incluya en el boletín. Por lo que ante un ataque especialmente dirigido hacia una persona, esto podría ser una medida insuficiente. Un primer paso, quizás, para evitar al menos los envíos masivos, requiriendo un mayor esfuerzo al atacante.
En el caso de Correos, el agujero de seguridad más evidente sería uno muy similar al que ha reinado hasta ahora: que un atacante recree la propia web de Correos usando un dominio o un subdominio similares, y valide los códigos que él mismo ha proporcionado.
Así que el primer paso lógico para prevenir fraudes, con mecanismos de seguridad como el de los códigos, o sin ellos, sigue siendo ser consciente de cuál es el dominio web genuino de quien está ofreciendo un servicio que pueda ser suplantado.
Desde Correos explican a Xataka que se están realizando unas 80.000 consultas diarias de estos códigos, y que unos 500.000 usuarios únicos los han utilizado desde que se pusieron en marcha. También esperan que además de ser útil para sus clientes, pueda animar a otras empresas a "implantar soluciones que ayuden a detectar el fraude".
Aunque en esta fase inicial estos códigos se están aplicando a los envíos de paquetes, más susceptibles de intentos de phishing, también se irán incorporando a todas las comunicaciones de Correos.
Ver 21 comentarios
21 comentarios
Eflosten
Como desarrolláis en el artículo, es una solución completamente absurda cuando en el mismo correo te pueden redirigir a una web fraudulenta que te diga que el código es válido.
Hoy por hoy, la única forma de verificar esos correos o sms es entrar manualmente en la web o aplicación de correos o la empresa de turno (sin seguir ningún enlace del propio correo-sms), e iniciar sesión para comprobar si realmente hay alguna notificación ahí. O en su defecto una firma digital que se valide también desde una aplicación de confianza, no desde una web enlazada en el correo (que al final es lo mismo pero sin iniciar sesión). El resto de sistemas es tirar el dinero desarrollándolos.
TOVI
Yo con las estafas no me fio ni de las llamadas. Cuando cojo el teléfono y me dicen soy tu suegra, cuelgo.
imf017
No creo que tarden mucho en saltarse la protección. Como siempre, no hay mejor protección que el sentido común ... y un buen cortafuegos por hardware, como un Pi Hole.
binbin
Que comiencen por las propias operadoras.
Es insultante que en pleno 2023 solo con fingir el remitente (aunque sea El timo de la Estampita-BBVA), las operadoras agreguen en EL MISMO HILO de mensajes de BBVA, el SMS-timo de phishing.
sapito_uy
Yo ya no confío en los correos del banco. Hace un rato me llegó un mensaje de mi gerente en el banco con el asunto "Necesito que hagas este trabajo urgente" y no lo abrí por desconfianza.
jlmartin
Mi empresa, supongo que alguna más lo hará, manda correos tipo phising, sin decir que lo es, para ver cuánta gente pica, al cabo de un mes o así publican los datos del % de gente que ha picado y el % de la gente que lo ha reportado, con cada nueva "campaña" los números mejoran.
No digo que esto se tenga que implementar a nivel general, no tengo claro la legalidad de esto, en caso de que no existan aspectos legales que lo impidan correos o los bancos podrían crear su propio phising, y si caes te manden un correo o un enlace con instrucciones de cómo evitar ser víctima otra vez.
JGP
2FA con app de autenticación… no entiendo por qué los bancos no lo usan
iraes
El único email que envía La Caixa y muchos bancos y cajas, es para informarte que tienes un mensaje y lo puedes consultar en la propia App. Es lo primero que comentan a todo Dios.
La Caixa por su parte, tiene una App especial para validar (2FA). De hecho, es lo único bueno que tienen esos mangantes.
opineitor
Yo llevo en las dos últimas semanas recibiendo en mi correo electrónico mensajes de verificación de cuenta de paquetes de entrega y no he comprado nada online desde finales de agosto. Está claro que están intentando estafarme.
VolcoV
La forma más segura es pedirle al usuario que no haga click en ningún link y abra su navegador y teclee el sitio oficial (si no lo tiene en favoritos), acceda al sistema con sus credenciales y ahí le avisen de que hay un trámite pendiente.
Y aún así, todo esto (incluída la solución propuesta) es vulnerable a un ataque man un the middle provocado por algo como una extensión maliciosa que alguien haya instalado por desconocimiento en el navegador o código JavaScript inyectado en el sitio web de forma maliciosa por alguna dependencia (menos común pero posible, ya lo vimos con log4j2 en java hace unos meses).