El asunto del mensaje era casi irresistible. Y el correo procedía de una amiga que solo me escribe cada diez meses o así, cuando viene de visita. Se pueden imaginar mi preocupación al ver el mensaje siguiente:

Siento mucho no haberte avisado de que venía de viaje. Te estoy escribiendo con lágrimas en los ojos. He venido a Odesa Ucrania para pasar unas breves vacaciones por desgracia me han atracado en el parque del hotel donde me alojaba. me han robado todo el dinero, la tarjeta de crédito y el móvil pero por suerte me queda el pasaporte.

He ido a la embajada y a la policía pero no me están ayudando con nada y mi vuelo sale en menos de horas pero no puedo pagar las facturas del hotel. el gerente del hotel nos tiene retenidos hasta que paguemos las facturas, estoy atacada de los nervios.

Podía oir la voz de mi amiga en el texto del correo. A ella también le gusta viajar por el mundo, le interesan mucho los países de Europa Central y Oriental, y es normal que se dé una vuelta por Odesa en un fin de semana largo para ver la escalera Potemkin o visitar la ciudad de camino hacia el mar Negro. Los errores de puntuación y espaciado me desconcertaron, pero, al fin y al cabo, estaba asustada y tenía muy poco tiempo.

En otras palabras, mordí el anzuelo. Así que respondí.

Cuando los correos equivocados llegan a las mentes débiles

Usar varios canales de comunicación para conseguir dinero o información con artimañas es una práctica que viene de lejos. Muchas de las estafas se basan en la promesa de una gran rentabilidad. El príncipe nigeriano es un buen ejemplo. Este timo se parece al caso del prisionero español del siglo XIX, pero sus medios de difusión principales son el fax y el correo postal y electrónico, y se dirige a personas con dinero suficiente para, supuestamente, ayudar a sacar de contrabando millones de dólares de un país africano, que suele ser Nigeria (de ahí el nombre). A los que pican el anzuelo y pagan los (falsos) gastos de transferencia se les promete una rentabilidad exponencial de la inversión que nunca llega. Existen montones de variaciones de la estafa. Por ejemplo, un pariente lejano le deja a una persona una suma de dinero; para conseguir la herencia, la persona ha de pagar todos los honorarios legales. Pero, en general, la mayoría de estos timos echan mano de la codicia para despertar el interés.

En cambio, los ataques de phishing del «amigo que se queda tirado» se aprovechan de la buena voluntad del lector. Todos queremos ayudar a las personas que conocemos y nos caen bien. Yo, por lo menos, sí. En mi caso, los estafadores usaron un tipo de malware (probablemente un troyano) para hackear la cuenta de correo de mi amiga y acceder a sus contactos. El mensaje que recibí estaba dirigido a unas 25 personas. No está confirmado si los hackers crearon la lista de víctimas usando el historial de comunicaciones entre mi amiga y sus contactos o las ubicaciones geográficas, pero es muy posible teniendo en cuenta que otras estafas emplean tácticas semejantes. Por ejemplo, las listas de direcciones hackeadas de organizaciones benéficas permiten a los delincuentes crear fundaciones falsas y usar de diana a las personas con más probabilidad de donar según su historial.

Un correo electrónico es barato y fácil de escribir. Los timadores pueden, robando o comprando bases de datos robadas, obtener acceso a cientos de miles de direcciones. Haciendo una ligera segmentación, aumentan las probabilidades de que alguien pique el anzuelo.

Suspenso en la versión de la amistad del test de Turing

En mi caso, mi falsa amiga respondió que tenía que enviarle un giro de varios miles de dólares a una oficina de Western Union en Odesa. Antes de aceptar, le pedí que nombrara a algún conocido común que hubiera cenado con nosotros alguna vez. No fue capaz, lógicamente. Así que llamé a mi amiga al fijo (en otro país) y le dejé un mensaje de voz para alertarla de que alguien había entrado en su cuenta de correo electrónico.

A mí me gusta pensar que soy lo bastante listo como para no caer en estas trampas, pero los delincuentes tienen acceso a los mismos análisis que los gobiernos y las grandes corporaciones. Además, llevan décadas practicando sus argucias (en ocasiones, siglos), así que saben muy bien cómo influir hasta en las mentes más fuertes. Para no caer en las trampas, se pueden adoptar varias medidas:

  • Infórmese sobre el phishing. La información es un gran paso hacia la prevención. Saber que los estafadores se hacen pasar por contactos de confianza es de mucha ayuda para reconocerles.
  • Infórmese sobre lo que buscan. Cualquier correo electrónico (o mensaje en una red social) en el que le pidan dinero debe ser motivo inmediato de sospecha, así como las peticiones de datos personales o nombres y contraseñas de cuentas.
  • Esté atento a las señales. Además de las peticiones de dinero o los indicios de que puedan necesitarlo, fíjese en si hay errores ortográficos y gramaticales, así como cosas extrañas en la redacción. Prácticamente ningún banco y casi ningún gobierno u organización comercial pide nunca información personal, datos de inicio de sesión ni dinero por correo electrónico. Por lo tanto, si esta información se incluye en la solicitud, debe sospechar.
  • Fíjese en la dirección de correo electrónico. Puede parecerse a la del presunto remitente, pero mire si faltan caracteres o si hay alguno de más.
  • Nunca haga clic, copie, pegue ni reenvíe. Si un mensaje de correo es remotamente sospechoso, no haga clic en nada, no copie texto y lo pegue en otro correo o documento ni lo reenvíe. Para documentar el correo electrónico (si quiere poner sobre aviso a un amigo o a una empresa), lo mejor es hacer una captura de pantalla.
  • No responda. Ya, yo lo hice a pesar de las señales. Pero, al responder, enviamos a los estafadores el mensaje de que ponemos atención a este tipo de correos y los abrimos. Los delincuentes tomarán buena nota de ello y, muy probablemente, guardarán su dirección para otra estafa más tentadora en el futuro.

Quizás estos pasos no sean infalibles, pero sirven para que estemos más atentos a la seguridad, desde luego.

AVG AntiVirus FREE Descarga GRATUITA