En Caso de Duda, Desconfía Siempre
Hace algunos días recibí un correo electrónico que, al parecer, venía remitido por Renfe. Su contenido me puso de inmediato en guardia: en él se afirmaba que la empresa ha instaurado un nuevo sistema de seguridad para el pago de billetes mediante tarjeta de crédito (llamado PUCE), y me instaba a que lo comprobase con vistas a futuras transacciones con la compañía. El aspecto pobrísimo y para nada profesional, del mensaje, junto con la captura del menú para VISA incluida en él, parecía mas cercano a un intento de phishing que a una comunicación oficial de empresa. De inmediato, puse el tema en conocimiento de la comisión anti-phising de la AI: ante la mas mínima duda, hay que desconfiar SIEMPRE.
Casi todos los días recibo dos o mas mensajes de "phishing" puro y duro: el filtro de Eudora es inflexible, y de momento no se le ha colado ninguno. Solo los veo, y muy por encima, cuando reviso la carpeta de "spam" antes de borrar su contenido, por si algún mensaje ha sido mal catalogado por error: a veces ocurre. Normalmente se trata de "phishing" dirigido a clientes de bancos y empresas con los que no trabajo: muchos ya me suenan y, si veo alguno nuevo o que destaca por algún motivo, lo contrasto con la información sobre "phishing" ofrecida en la página de la Asociación. En caso de que no haya constancia de él ahí, y el mensaje-trampa muestre una peligrosidad razonable, lo reenvio a phishing@internautas.net: así los compañeros de la Comisión de Seguridad pueden revisarlo y adoptar las medidas pertinentes.
Pero en el caso del mensaje de Renfe, se da la casualidad de que estoy registrado en este servicio, pues he comprado billetes de tren por Internet en mas de una ocasión. El "phishing" adopta un cariz mucho mas siniestro cuando tienes relación comercial con la empresa a la que se intenta suplantar. Siguiendo el protocolo antes mencionado, al no poder contrastar la autenticidad del mensaje, envié copia a la Asociación. Cierto es que el e-mail estaba redactado en un perfecto castellano, e incluía un teléfono de atención al cliente al que podías llamar para solicitar mas información... lo que tampoco me parece una prueba definitiva, puesto que los teléfonos pueden ser herramienta para la estafa también.
No tengo confirmación final del grupo de "phising" de la AI, pero a tenor de los mensajes que hemos intercambiado, tanto ellos como yo coincidimos en que es muy posible que el mensaje sea auténtico, y responda realmente a la implantación de un nuevo sistema de seguridad. El problema radica en el pésimo aspecto que presenta el mensaje, mas cercano a un intento burdo de "phising" que a una comunicación profesional de empresa.Una empresa, por desgracia, que no pasa por su mejor momento de imagen, por razones que son del dominio público, y a la que este detalle no beneficia.
Recuerdo que la primera vez que quise comprar billetes de tren a través de Internet, se me comunicó que, por motivos de seguridad, esa compra inicial debía ser realizada, de manera personal y con la tarjeta de crédito adecuada, en un punto de venta de Renfe. Realizado este trámite, quedaba constancia de tus datos, y las posteriores compras se podían hacer ya a través de la Web. No es mal mecanismo de seguridad, aunque muy incómodo para el cliente. La implantación de un nuevo sistema que evite esto significa un avance lo bastante importante como para dedicarle un esfuezo de difusión mejor planteado y que no alarme a los clientes.