Vamos a comenzar con esta entrada una nueva sección, en la que analizaremos prácticas y consejos habituales de seguridad, para evitar problemas como el conocido phishing (suplantación de identidad) o similares. Antes de nada, conviene aplicar un poco de sentido común:
- Nunca facilites información confidencial si no estás muy seguro del destinatario.
- Un banco o una administración pública, nunca te va a enviar un e-mail solicitándote tus datos de acceso a una cuenta bancaria o el pin de tu tarjeta de crédito.
- Desconfía de mensajes en los que existan muchas faltas de ortografía o que parezcan escritos por una persona extranjera.
Ejemplo de phishing: supuesto mensaje de la «agencia tributaria»
En los últimos días, varios clientes nos han hecho llegar un mensaje en el que, supuestamente, la Agencia Tributaria se ponía en contacto con ellos para devolverles una determinada cuantía de dinero, por un aparente error de cálculo de la agencia. Ya de por sí resulta bastante inverosímil, ¿verdad? En la imagen podéis ver el mensaje:
Si nos paramos a leer el mensaje con calma, veremos varios detalles que deben hacernos sospechar:
- El asunto es: «Datos a conocer sobre el reembolso del impuesto para el ano 2012». Vemos que está escrito desde un teclado sin la letra «ñ» y que además resulta un tanto confuso.
- No se identifica al contribuyente en ningún momento, sino que es un mensaje genérico.
- El texto es poco coherente y utiliza muchos infinitivos, en lugar de conjugaciones verbales en segunda persona, luego hace pensar que ha sido escrito utilizando un traductor.
- si nos fijamos en el e-mail de envío, vemos que se utiliza la web «mail.agenciatributaria.es». Tecleando esa web en el navegador, comprobamos que no existe.
Aunque todo esto ya deja clara la falsedad del mensaje, para comprobarlo hemos hecho clic en ambos enlaces y los dos llevan al mismo sitio:
Lo primero que llama la atención es la url, pues la dirección no se corresponde precisamente a una url de la aeat, como se puede comprobar. Después, también hemos comprobado que se trata de un simple pantallazo de la página original, pues ningún botón ni ningún enlace funciona.
Únicamente el formulario que han insertado en la parte inferior derecha, en el que pone «proceso de devolución» funciona. Llama la atención también que en ningún momento solicita número de expediente o de referencia, sino DNI y fecha de nacimiento. Y una vez introducidos ambos datos, nos lleva a una plataforma de pago en la que nos solicita los datos de la tarjeta de crédito:
Aquí también comprobamos que ningún botón de la página funciona, salvo el formulario para introducir los datos de la tarjeta.
Toda precaución es poca para evitar fraudes y estafas de ese tipo, así que iremos compartiendo más ejemplos prácticos próximamente.