HOY SE HABLA DE

Cuidado, estos consejos de la Guardia Civil en Twitter para detectar webs fraudulentas son insuficientes

Consejos Gc
2 comentarios Facebook Twitter Flipboard E-mail
marcos-merino

Marcos Merino

Nuestros lectores nos han llamado la atención sobre un tuit publicado por la Guardia Civil hace semana y media, en el que nos recomienda fijarnos en tres factores fundamentales, a su modo de ver, a la hora de "detectar una web de venta falsa". Se preguntan nuestros lectores si de verdad fijarnos en estas cosas resulta útil o no.

Veamos que habría que verificar, según el tuit:

  • Si el navegador tiene o no tiene certificado de seguridad, porque las webs falsas carecen del mismo.
  • Si el logo y las imágenes son o no de calidad, porque los de las imágenes reales superan siempre a los de las falsas.
  • Si el pie de la web contiene o no información de la empresa, sellos de confianza o certificados, porque las webs fraudulentas carecen de ellos.
Tweet By Guardia Civil 2

El tuit en sí no es más que un resumen de un artículo publicado por el INCIBE (y que la Guardia Civil también enlaza); pero estamos hablando de un artículo de 2018. En estos cinco años algunas cosas han cambiado… y alguno de esos consejos, en realidad, se había quedado ya algo atrasado en aquel entonces. Hagamos un repaso:

Un vistazo a…
¡QUE NO TE ENGAÑEN! Los principales TIMOS en COMPRAS ONLINE y CÓMO EVITARLOS

I. Los certificados

Existen (desde 2016) unos certificados —los de Let's Encrypt100% gratuitos y soportados por los principales proveedores de hosting web de Internet, o autoinstalables si usas alojamientos cloud o VPS. Es decir, es una herramienta fácil de usar y disponible para todos los ciberestafadores, a no ser que sean especialmente chapuceros (los hay así, es cierto).

Su inexistencia no indicará, en la mayoría de los casos, más que la web lleva varios años sin actualizarse.

Web Fake 2
¿Veis ese icono de 'candado cerrado' al lado de donde debería verse la URL? Eso indica que la web usa un certificado de seguridad. El problema es que es una web fraudulenta que suplantaba a la de La Caixa para robar datos bancarios.

Es la presencia de estos certificados lo que hace que las URLs empiecen por https:// en lugar de por http://. Sin embargo, la práctica totalidad de las webs de phishing utilizan https:// a estas alturas. Es por eso que carece de cualquier utilidad fijarse en ese detalle:

Screen Shot 2020 05 20 At 3 23 3
Tweet By Esotericbot
Una forma curiosa, pero eficiente, de explicarlo ==> "'HTTPS' y 'SSL' no significan "Confía en esto", sino "esto es privado". Podrías estar teniendo una conversación privada con Satán".
Prometen 'desbanearte' la cuenta de WhatsApp… pero es un timo con el que vas a tirar el dinero. Y hay alternativas gratis
En Genbeta
Prometen 'desbanearte' la cuenta de WhatsApp… pero es un timo con el que vas a tirar el dinero. Y hay alternativas gratis


II. Logos / imágenes de calidad

A estas alturas, las webs falsas pueden tener logos e imágenes de calidad idéntica a las de las webs oficiales. De hecho, utilizamos el término 'idéntica' a propósito, porque en muchos casos usan literalmente las mismas imágenes alojadas en la web real o, como mínimo, una copia de las mismas.

Los que seguís nuestras publicaciones de timos habréis visto que, en varios casos, destacamos que las webs a las que remiten los e-mails/SMS de phishing reproducen fielmente el 'look' de las de los bancos e instituciones que pretenden suplantar (siendo, en algunos casos, idénticos).

Web Fake
Captura de la web falsa que suplantaba a La Moncloa en el 'timo de los 431 euros'. ¿Tienen suficiente calidad las imágenes para engañarte o no?

III. El pie de página

El pie de página (o 'footer) de cualquier web también puede falsificarse sin mayor problema. Como las imágenes de cabecera, pueden también copiarse de la web original: es tan fácil como hacer Control+U, Control+C y Control+V. Si se quiere añadir verosimilitud, se pueden añadir secciones separadas como 'Términos de uso', 'Política de privacidad' o 'Contacto'…

cuyos contenidos puede proporcionarte en segundos ChatGPT solicitando un modelo básico de esa clase de documentos. O bien puedes ir a lo fácil y enlazar a los de la página real, como hemos comprobado que ocurría en muchas webs de phishing en los últimos meses.

Priva
Ahora cualquiera puede añadir en unos segundos una sección de 'Política de privacidad' a su web 'fake'.
Qué es el typosquatting, cómo funciona y cómo puedes protegerte de este tipo de estafa
En Genbeta
Qué es el typosquatting, cómo funciona y cómo puedes protegerte de este tipo de estafa


¿Entonces?

Entonces… todos esos elementos pueden ser un indicativo, efectivamente, si una web o no en fraudulenta, pero tal y como está expresado el tuit, parece dar a entender que son los tres aspectos principales a considerar, y que si supera esas tres pruebas podemos actuar con tranquilidad.

No es así: reflejan, a lo sumo, la realidad de las ciberestafas de hace media década o más… y actuar con base en esos consejos puede provocar una falsa sensación de seguridad que nos empuje a caer en una estafa.

La mejor forma de no caer en sitios web fraudulentos es llegar a ellos a través de un buscador (ojo, hablamos de los resultados orgánicos, no de los anuncios insertados en la página de resultados)

…no se recomienda recurrir a enlaces recibidos mediante mensaje de móvil o correo, o encontrado en alguna red social. Esto es porque las webs de phishing tienden a durar poco tiempo online, por lo que no llegan a posicionarse en (y  puede que ni a ser detectadas por) los buscadores.

Si el sitio web al que pretendes acceder es uno ya conocido, bastará con echar un vistazo a su URL (sabiendo, claro, que hay ciertos trucos que debemos tener en cuenta).

En Genbeta | Los correos de estafas suelen ser fácilmente identificables. Éste es tan real que da miedo

Temas
Comentarios cerrados

Ver 2 comentarios

Temas de interés
Subir

Tecnología

Videojuegos

Entretenimiento

Gastronomía

Estilo de vida

Latinoamérica

Inicio

Explora en nuestros medios