menu MENÚ
MALDITA TECNOLOGÍA

¿Por qué a veces un enlace fraudulento nos lleva a un caso de 'phishing' si lo abrimos desde el móvil pero nos deriva a una página legítima desde el ordenador?

Publicado
Actualizado
Claves
  • Una página web se puede programar para que, en función del navegador que se utilice, tenga un comportamiento u otro.
  • A los timadores les puede interesar crear una campaña dirigida sólo a usuarios de dispositivos móviles.
  • La mejor comprobación para saber si se trata de un enlace a una página web fraudulenta es observar la dirección web completa.
Comparte
Etiquetas

Probablemente te ha pasado que cuando has tratado de verificar un enlace que te han enviado a través de un SMS a nombre de una empresa de paquetería o de una entidad bancaria, lo has introducido en el navegador de un ordenador para comprobar si era un timo y te has llevado la sorpresa de que te dirigía a una página que nada tenía que ver con lo que decía el mensaje.

Para entenderlo de forma gráfica. Hemos seleccionado uno de los SMS que habéis recibido y por el que nos habéis preguntado y que suplanta al BBVA con el mensaje: "Acceso no autorizado en su cuenta online. Si no reconoce este acceso verifique inmediatamente: “http://tinyurl.com/BBVA-clientes". 

Si abrimos este link desde un teléfono móvil, comprobamos que nos lleva a una página que se hace pasar por el área de clientes del BBVA, con el fin de engañar a la víctima. Sin embargo, cuando llevamos la URL a un ordenador, lo que nos aparece es la página web de venta de flores a domicilio Interflora. ¿Por qué el enlace solo suplanta al BBVA si lo abrimos desde el móvil y no desde el ordenador? 

Página a la que nos lleva la URL desde el móvil.
Página a la que nos lleva la URL desde el ordenador.

Un cebo dirigido específicamente a quienes lo abran desde el móvil

“Analizando el código podemos ver que son los ciberdelincuentes los que redireccionan al usuario a, en este caso, la web de Interflora, aunque podrían haber elegido cualquier otra página web”, explica a Maldita.es Miguel Calvo, graduado en Ingeniería del Software y maldito que nos ha prestado sus superpoderes. ¿Con qué intención? “Tratar de dificultar su detección y hacer la redirección en los casos en los que consideran que el engaño no va a funcionar”.

“Cuando haces una página web puedes programarla para que en función del navegador que se utilice tenga un comportamiento u otro, como ocurre con las webs que tienen una versión para ordenador y otra para dispositivos móviles, por ejemplo”, nos comenta la experta en ciberseguridad y jefa de Auditoría en GMV, Paula González. Por tanto, “si se detecta desde un navegador de móvil, redirigen a un lado u a otro para 'esconderse', ya que lo que buscan es explotar algo de los teléfonos”, en este caso que la persona se crea que está en la página de BBVA e introduzca sus datos.

El ataque, según señala la maldita y especialista en ciberseguridad, Susana Regalado, "no lo quieren hacer para cualquier sistema sino solo para dispositivos móviles en los que normalmente no se muestra la URL por lo pequeña que es la pantalla, ya que en un sistema de escritorio el usuario captaría al momento que esta es falsa".

En resumen, al tratarse “de un timo en formato SMS, no van a arriesgarse a que los curiosos vean que está todo orientado a una pantalla pequeña”, es decir, al timo de suplantar la aplicación del BBVA, concluye Víctor Jesús Agulló, analista de seguridad y maldito que también nos ha prestado sus superpoderes.

¿Qué pasos debemos seguir cuando recibimos un enlace en el móvil?

Si sospechas de un enlace que has recibido en el móvil o te envían una página web con un enlace acortado (en el caso de BBVA, sabemos que el enlace proviene del acortador Tinyurl), Agulló recomienda seguir siempre el mismo protocolo: llévala a un ordenador que tenga instalado un antivirus y ábrela desde ahí

¿Por qué es importante que llevemos el enlace al ordenador? “Lo hacemos por dos motivos:  al ver la URL 'larga' podemos valorar si se trata de un sitio legítimo o no (ya que en el móvil puede ser que no la veamos entera) y si buscan 'explotar' alguna vulnerabilidad de un teléfono móvil, en el ordenador no debería funcionar”, comenta González. Esta especialista recomienda además, abrirla “desde un navegador que no sea el que usemos habitualmente para otros trámites”. Eso sí, no facilites ningún dato personal o bancario.

Para Calvo, insertar el enlace en el ordenador “no siempre va a ser una buena solución”: En cualquier caso, la mejor comprobación para saber si se trata de un enlace en una página web fraudulenta es observar la dirección web completa”, explica.

El experto en Ingeniería del Software nos recuerda que los bancos no utilizan páginas como Tinyurl, que acortan enlaces. Por tanto, el enlace de una entidad bancaria no va a aparecer como el que hemos visto que suplanta al BBVA (http://tinyurl.com/BBVA-clientes). También nos aconseja que observemos los nombres de sus dominios: “son muy característicos y no incluyen sufijos ni nombres extraños”, como puede ocurrir con los enlaces a los que nos derivan los casos de phishing.

En este artículo han colaborado con sus superpoderes los malditos Miguel Calvo y Victor Jesús Agulló y la maldita Susana Regalado.

Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de WhatsApp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.


Primera fecha de publicación de este artículo: 20/10/2021

Hazte maldito, Hazte maldita
Te necesitamos para combatir los bulos y la mentira: sólo juntos podemos pararla. En Maldita.es queremos darte herramientas para protegerte contra la desinformación, pero sólo con tu apoyo será posible.

Eres muy importante en esta batalla para que no nos la cuelen. Seguro que tienes conocimientos útiles para nuestra batalla contra los bulos. ¿Tienes conocimientos de idiomas? ¿Lo tuyo es la historia? ¿Sabes mucho sobre leyes? ¡Préstanos tu Superpoder y acabemos juntos con los bulos!

También puedes apoyarnos económicamente. Maldita.es una entidad sin ánimo de lucro y que sea sostenible e independiente, libre de publicidad y con profesionales bien remunerados dedicados a luchar, contigo, contra la desinformación depende de tu ayuda. Cada aportación cuenta, cualquier cantidad es importante.