La suplantación de identidad -o phishing-  es un método para realizar estafas por internet conocido desde la década de 1980 y comenzó a hacerse popular en los años siguientes, con la popularización de la red de redes. El término phishing fue inventado por el hacker y spammer Khan C. Smith y la primera estafa que se conoce estaba relacionada con robar contraseñas y datos financieros de los usuarios de America Online, según los archivos de la Universidad Cornell. De hecho, la palabra está relacionada con “pescar usuarios de AOL (“pescar en inglés es “fishing .

Una forma habitual es enviar un mail avisando de una deuda o de la falta de actualización de datos de contacto o de pago con una institución conocida. Ese correo incluye un sitio web que, en ocasiones, es similar al de la institución. Cuando se entra al sitio web, la pantalla que aparece solicita una serie de datos que luego usará para obtener dinero (de cuentas bancarias o tarjetas de crédito) o datos directamente para venderlos.

En la actualidad, es uno de los métodos de estafa online más populares, más que nada en su modalidad “bulk (en criollo, envían mails al voleo). Sin embargo, el número de sitios únicos de phishing identificados por el Antipishing Working Group bajo en el último trimestre de 2017 (180.757 frente a 190.942 en el tercero) y en el año contra año (de un total de 277.693 en el último trimestre de 2016). Esta caída podría deberse a un cambio en la metodología de medición, ya que ahora se computan direcciones web que suelen aparecen con URL personalizadas pero que dirigen al mismo lugar, según consigna el blog Segu-info.

Como puede verse en la imagen dada a conocer desde la cuenta del Twitter del blog mencionado, el correo en cuestión llega en este caso sin enlace (para evitar las medidas de seguridad de los distintos clientes de correo) pero con un archivo PDF adjunto. En él se informa que los datos propios en la cuenta de PayPal son incorrectos y que si el usuario quiere seguir utilizando la cuenta deberá actualizar. Por supuesto, en el PDF sí aparece una dirección web  que lleva a un sitio web que comienza con “country0-mypapal y que pide mail y contraseña. Una vez que el usuario introduce los datos, los ladrones se habrán hecho con los datos de PayPal. En el caso de Apple, pide información para quedarse con el Apple ID de los usuarios de la manzanita.

Según Borghello, en este caso se trata tan solo de los datos más básicos del usuario, ya que luego de introducirlos en la pantalla mostrada arriba, el sitio web redirige a la página oficial de PayPal. ¿Qué pueden hacer con esos datos? Si bien no pueden acceder a los datos de las tarjetas de crédito y débito, si pueden utilizar el saldo precargado que se pueda tener en la cuenta, tal como lo confima Camilo Gutiérrez , jefe de Laboratorio de la compañía de ciberseguridad ESET.

Además -dice Rodríguez-, "cuando uno se loguea utiliza el mismo correo electrónico y la misma clave que usa en otros servicios, algo que hacen muchos usuarios; ahí pueden matar muchos pájaros de un tiro". Si consiguen ingresar a la cuenta de email, desde allí podrán modificar y hacerse con las contraseñas de muchos otros servicios, como las de las redes sociales. 

Un dato a tener en cuenta es que quien roba los datos no es quien necesariamente lo va a utilizar. "Estos suelen ponerse a la venta en mercados de la Deep Web. Se trata de bases de datos de, por ejemplo, 10.000 cuentas de correos electrónicos con contraseñas -no todas funcionan, por supuesto- y hay personas que luego utilizan esa información. Así que un posible objetivo es obtener la información para obtener ganancias con ella."
 

Desde ya, la recomendación es no hacer caso a este tipo de email. ¿Cómo darse cuenta? Si uno mira el mail, vera que más allá del nombre de fantasía de la cuenta (Centro de Ayuda de PayPal), la dirección real está llena de números y no tiene mucho sentido. En el PDF, hay una serie de errores de edición que las empresas suelen cuidar mucho (la prolijidad en las comunicaciones es parte de la imagen corporativa): dos, puntualmente –como puede verse en la imagen-, un salto de línea en el medio del párrafo que habla de lo rápido del proceso y luego dos puntos en lugar de uno en el final del último párrafo. El sitio web, con todos esos caracteres, no tiene sentido: la URL de PayPal es www.paypal.com.

Más allá de esto, la propia página de PayPal dedicada a este tipo de estafas señala que nunca le va a pedir al usuario números de tarjeta de crédito y débito, números de cuenta bancaria, número de documento de identidad, direcciones de correo electrónico, contraseñas y el nombre completo. O sea, justamente lo que solicitan las web falsas involucradas en un phishing. En caso de recibir este correo PayPal solicita que se denuncie a spoof@paypal.com. Otro lugar para denunciar es phishing@antiphishing.com.ar, de Segu-Info, que se ocupa de avisar a las compañías.

Cristian Borghello, director de Segu-Info, además de lo ya dicho, recomienda "nunca hacer clic en los enlaces recibidos" y aclara que no alcanza con chequear la dirección de correo electrónico o la URL. No es suficiente, de hecho, que los sitios web comienzen con el HTTPS. Se deben dar ambas condiciones, ser el sitio real y comenzar con HTTPS. "Esto es muy importante porque los delincuentes suelen crear dominios parecidos al real. Por ejemplo: HTTPS://www.sitioseguro.com vs HTTPS://www.sitiosegur0.com (ambos son HTTPS pero en el segundo se cambió la letra "o" por el nro "0")", desarrolla el experto en ciberseguridad.

"Una táctica común en casos de correos falsos es la de intentar asustar al destinatario. Es común que los asuntos del correo sean intimidatorios como 'bloquearemos su cuenta' o 'su tarjeta ha caducado'", puntualiza. "En cada correo recibido, utilizar el sentido común. Si algo es demasiado bueno o demasiado malo seguramente el correo es falso", recomienda.

El caso reciente que llegó a las noticias es el de Netflix: ofrecían una suscripción por $1 por año pero, claro, era solo una estafa más. La estafa apareció repetidamente en Instagram.