Comenzamos la semana analizando un interesante caso de phishing, por la calidad de la copia de la página oficial y por afectar a una de las plataformas de comunicación más utilizadas del mundo. Esta vez tenemos para compartir con nuestros lectores una página que simula ser la versión oficial de Skype con el objetivo de robar las credenciales de acceso y la información bancaria de los usuarios. Cuando la víctima ingresa su nombre de usuario y contraseñas respectivos, es direccionada a una página en donde se le solicitará una actualización de su información personal. En primera instancia, se pide al usuario los datos personales y la dirección de facturación y en la siguiente pantalla, toda la información perteneciente a su tarjeta de crédito. A continuación pueden ver que el sitio luce idéntico al oficial:


Este ataque, además, está realizado minuciosamente. El sitio web que simula ser el de Skype contiene todos los enlaces correctamente vinculados a la página web oficial de producto. Por lo tanto, la víctima no puede advertir el ataque buscando enlaces rotos o mal direccionados.


El atacante incluso, al momento de ingresar a la pantalla donde se piden los datos de la tarjeta de crédito, cambia el ícono (como se puede apreciar en la figura anterior) en la barra de direcciones por un logo de Skype con un candado adelante simulando establecer una conexión segura. Al cliquear sobre el mismo podremos notar rápidamente que se trata de un engaño ya que el navegador informa al usuario que el sitio web no posee información de identidad y que la información que será transferida no está cifrada. Adicionalmente, se ofrece más información en donde el usuario puede verificar que se trata realmente de un sitio web sospechoso.


Dado que muchos usuarios realizan pagos por Internet ofrecemos algunas sugerencias que podrían tomar en cuenta al momento de enviar información personal por la web:

  1. Datos tan sensibles como la dirección de facturación y sobre todo los números de tarjeta de crédito no deben ser pedidos al momento de realizar un ingreso sin que el usuario haya solicitado las actualizaciones.
  2. En caso de hacerlo, deben estar estrictamente relacionados con una compra. Por lo tanto, todos los usuarios que nunca compraron crédito en Skype no necesitan ingresar sus datos bancarios.
  3. Chequear siempre que la dirección URL que aparece en la barra de direcciones corresponde con el dominio de skype.com. Por lo general, estas direcciones falsas no contienen palabras relacionadas al producto y, además, no están verificadas por un certificado digital.
  4. Utilizar protocolos cifrados. En la barra de direcciones debe aparecer HTTPS y no HTTP. Es verdad que existen ataques al protocolo HTTPS, por lo que la existencia de una "s" no nos brinda un 100% de seguridad. No obstante, la ausencia de la misma ya es suficiente para pensar dos veces antes de ingresar información sensible en una página no segura.
  5. Este tipo de sitios nunca puede comprobar si los datos del usuario son correctos ya que no se trata de la página oficial del producto. Frente a la duda, recomendamos que el usuario ingrese un nombre de usuario falso con cualquier contraseña y comprobará que la página aceptará los datos, algo que en la página oficial es imposible ya que los datos ingresados no pertenecen a ninguna cuenta.

Siguiendo estas sugerencias los usuarios deberían disminuir el riesgo de ser víctima de este tipo de ataques. Además sugerimos que utilicen siempre una solución de seguridad proactiva para permanecer lo más lejos posible del blanco de estos atacantes.

Raphael Labaca Castro
Especialista en Awareness & Research