Nueva técnica para estafar con el sistema 'phishing'

El phishing, una práctica delictiva que consiste en enviar mensajes electrónicos a clientes de bancos para que accedan a una web fraudulenta y dejen allí sus datos, se sofistica cada vez más. La empresa Hispasec Sistemas ha descubierto una nueva técnica que, aprovechando fallos en las webs reales de los bancos, hace que la estafa sea muy difícil de detectar.

Hasta ahora, la principal recomendación para evitar ser víctimas del phishing era comprobar si el sitio del banco al que se accedía era seguro, basándose en dos comprobaciones: que la dirección empezase por https en lugar de la tradicional http, y que apareciese un candado en la parte inferior del navegador en el que, al hacer doble clic, muestra el certificado del banco. Si se cumplían ambas condiciones, el sitio era seguro.

Hispasec ha descubierto que es posible aprovechar una vulnerabilidad, llamada Cross-Site-Scripting, presente en las aplicaciones web de diversos bancos, que permite modificar el contenido y hacer que los datos que se introducen vayan a los delincuentes mientras el sitio conserva sus atribuciones de seguridad intactas: el https en la dirección y el certificado.

Hispasec ha hecho un estudio en 50 sitios web de entidades bancarias españolas, y como mínimo seis son susceptibles de sufrir este ataque. Para hacerla más comprensible, Hispasec muestra en tres vídeos cómo se realiza la estafa.

HISPASEC:www.hispasec.com/directorio/laboratorio/phishing/demo