Es 2021, y hace ya mucho más tiempo del que sería deseable de la aparición del phishing. Sin embargo, el fenómeno de estas estafas a través de webs, correo electrónico y mensajería, en lugar de ir a menos, crece cada año. Por ejemplo, según Retruster, los intentos de phishing crecieron un 65% el último año.
Aquí en España es algo que sabemos bien, pues en 2019 se ha dado el que probablemente sea uno de los casos más mediáticos y populares, el del phishing de correos. Para evitar ese y otros ataques ya dimos ciertos trucos, y en ese caso era necesario, porque el mensaje estaba bien escrito y resultaba creíble.
Sin embargo, pese a la sofisticación que hemos alcanzado en traducciones automáticas (porque muchos mensajes de phishing son meras traducciones) y a los muchos sistemas de corrección que existen en Internet, la mala redacción de los mensajes sigue siendo el mejor truco para identificar que nos quieren estafar. Sí, en 2021.
Un mensaje oficial de un banco o administración pública rara vez estará mal escrito
Sabemos que estamos en 2021, y dado que pasó con el SMS de Correos, sabemos de buena mano que existe el SMS spoofing, una técnica con la que los atacantes pueden modificar el remitente para hacerse pasar por una entidad legítima y conocida. Pero los mensajes de phishing son tan cutres, porque no tiene otro nombre, que hasta en suplantar identidad de forma consciente fallan.
Lo pensaba leyendo este tuit de David Bonilla, en el que daba a entender que ese SMS de su cuenta de Bankia le parecía falso:
No sé Rick, parece falso... pic.twitter.com/zySW1LLswX
— David Bonilla (@david_bonilla) March 9, 2020
Analicemos. El remitente es 'SMSBancia', muy lejos de 'Bankia'. Hasta 'Banquia' podría resultar más convincente, porque leído una igual que la palabra original. Siguiendo con el texto, hay una coma antes del comienzo de la primera oración: ",Su cuenta". Después, a nivel de signos de puntuación, aunque están bien puestos, no se respeta el espacio después de puntos y comas: "bloqueada.Para" o "cuenta,pueda".
Por último, el "pueda acceder" en lugar de "puede acceder" delata claramente que estamos ante algo falso. Solo es cuestión de detectar que está muy mal escrito para no caer. La URL indicada después es la última confirmación de que estamos ante 'phishing'.
Pero hay más casos. Mi compañera Gabriela ha recibido en 2019 estos tres SMS que vemos a continuación. Por supuesto, plagados de fallos y datos sospechosos:
En primer lugar, vemos un SMS cuyo remitente es '7054' y se hace pasar por Amazon. De por sí no significa nada, pues por ejemplo, en mi caso, todos los SMS de entregas que recibo de la empresa de Bezos llegan con 'Amazon' como remitente. Tras ello, vemos mayúscula después de coma, con "Hola, Confirme'. Luego vemos que faltan tildes en "sera" y en "número", aunque eso sí es común en los SMS automatizados y en particular en los de Amazon. También es algo que vimos en el famoso SMS de Pablo Casado.
En segundo lugar, hay un SMS de 'Pablo', que debería ser de Media Markt. Se hace pasar por un mensaje típico de que has ganado algo, pero ni siquiera se dirige a nosotros solamente, sino a tres personas. Nos pide que confirmemos, pero no algo más específico como "Recoja su premio". Lo más inquietante es que una de las personas premiadas es Gabriela, que es el mismo nombre de la propietaria del móvil. No está del todo mal escrito, pero hay evidencia de que es falso.
Y por último volvemos a un caso relacionado con Bankia. El remitente, que debería ser el banco, resulta ser 'sms'. El SMS nos avisa de que una cuenta de seis dígitos, que no existe, ha sido bloqueada temporalmente, y lo hace espaciando mal los dos puntos entre "Nº" y "#324572". Por último, volvemos a ver otro error con "pueda acceder". Parece que los estafadores aún no han aprendido que el tiempo verbal correcto es "puede acceder". Tampoco utilizan bien los dos puntos tras el "desde", y en su lugar los pegan a la URL.
El último caso que vamos a repasar es un mail recibido por mi compañera Anna Martí:
En este caso, el banco con el que nos intentan engañar es el Santander. Antes de entrar en lo más flagrante, veamos que en el texto no hay ninguna tilde, y aquí no hay problemas de coste para escribir bien, a diferencia de lo que ocurre con los SMS. Además, el mail es de Santander México, cuando Anna es española. Santander en España tampoco diría "Apreciable" + correo electrónico, que es lo que he desenfocado.
Por último, lo más flagrante es la línea que parece el asunto, donde podemos ver tan mal escrito algo parecido a "USuArio BLoquEADo PoR SEguRIDAD". Anna me cuenta que ahora ni tiene cuenta con el Santander, y cuando la tuvo, no estaba asociada al mail al que le ha llegado el mensaje.
Así, como vemos, pese a que los ataques de phishing se están sofisticando, muchos de los intentos más habituales siguen llenos de problemas nada corrientes en comunicaciones oficiales. Lo recomendable, antes de ver cosas más serias como la URL sigue siendo leer bien y con mucha atención a detalles como los que hemos repasado. Entiendo que no para todo el mundo será fácil detectar estos errores, porque si estos mensajes se siguen enviando es porque mucha gente picará. De ahí que aconsejemos estas cosas tan aparentemente obvias. Si los atacantes contrataran a personas que hicieran una mínima revisión, sería mucho menos evidente.
Ver 3 comentarios