Se encuentran circulando en Internet algunos correos que intentan engañar a los clientes de los bancos BBVA Bancomer y BANBANJIO para obtener las claves de acceso de los usuarios de la banca en linea.

Se trata de un correo phishing que informa al destinatario sobre la deshabilitación de la "Tarjeta de Códigos" para el acceso de la banca en línea por falta de "sincronización" por parte del usuario y así continúa con un mensaje muy convincente aunque pobremente redactado.

Hasta este momento nada sospechoso para un usuario de este servicio; remitente, logotipos, cuerpo del correo, etc. Sin embargo, al revisar el "enlace" al que intenta redirigir al usuario, es muy notable el URL con un nombre de dominio sin relación alguna con la entidad bancaria.



Suponiendo que no tuvimos la suficiente precaución para verificar el "enlace", este nos llevará a un sitio en apariencia idéntico al de esta entidad Bancaria:



Sin embargo, en estos momentos nos encontramos ante un sitio especialmente manipulado para que al momento de que el usuario ingrese sus claves de acceso, éstas sean enviadas hacia criminales para su beneficio.

Investigando un poco mas a fondo este caso particular de phishing, nos fué posible detectar que este ataque se encuentra distribuido en diversos servidores, primero un servidor que registra los accesos de las víctimas y los redirecciona a un segundo servidor que es el que contiene el sitio falso. Además pudimos detectar que en el mismo servidor se encuentra otro "enlace" que también es parte de un phishing que intenta suplantar a la entidad bancaria BANBAJIO.

Al momento de la investigación pudimos notar en los registros almacenados por el servidor que al menos 313 usuarios han hecho click en los sitios que suplantan el sitio de Bancomer, y 203 al que suplanta el sitio de BANBAJIO.

Los servidores involucrados al momento de la redacción de esta nota están relacionados con un sitio de Publicidad en Colombia, un mayorista de cómputo en la Ciudad de Mexico y una universidad del estado de Puebla. Esto no significa que la red de criminales necesariamente tenga que ver con alguna de estas entidades o instituciones mas bien es posible que los administradores de estos servidores tengan prácticas de seguridad pobres o nulas, lo cual permitió que un grupo de criminales lograran abusar de estos servidores.


Para evitar ser victimas de este tipo de fraudes las recomendaciones son las siguientes:

• Siempre revisar que los "enlaces" (links) de los correos corresponden al sitio en cuestión.
• Para realizar alguna transacción bancaria, escribir MANUALMENTE la dirección de nuestro banco en la barra del navegador, núnca utilice "enlaces" dentro de correos electrónicos o algún otro medio.
• Verificar en la barra de direcciones que al sitio del banco preceda el prefijo "https" y no hacer caso omiso a las advertencias de seguridad que pudiera desplegar el navegador.
• Habilitar algún tipo de filtrado de correos y sitios web con capacidad para la detección de phishing.