No voy a decir mucho sobre el phishing y cómo funciona porque… en serio… no soy el más indicado.
En su lugar, me quiero centrar en uno de los consejos de prevención que le damos a todo el mundo que puede ser objetivo de un ataque de este tipo (a todo el mundo, vaya): presta atención a la ortografía y la gramática o si se dirigen a ti de forma genérica.
Como persona que ha recibido innumerables emails que comienzan con “Querido Bien-amado” (y que los ha borrado de inmediato), o “Querido señor” (¿Señor? ¿Pero por qué querría nadie llamarme eso a mí?) esa parte la tengo bastante controlada.
La de la gramática, bueno. No me voy a quejar de gramática, aunque tampoco soy un Camilo José Cela (ni quiero, ¡gracias!). Pero la ortografía. Esa es harina de otro costal.
Veréis, tengo dislexia. Y discalculia.
Para quien no tenga familiaridad con los términos, tanto la dislexia como la discalculia son dificultades especificas del aprendizaje de origen neurobiológico que se caracterizan por la dificultad a la hora de reconocer caracteres escritos, ya sean palabras en el caso de la dislexia, o números en el caso de la discalculia.
Se estima que el 10% de la población tiene dislexia y aproximadamente el 65% del fracaso escolar se debe a ella (y yo debería saberlo).
Uno de los problemas más típicos y acuciados es la dificultad a la hora de leer o comprender lo que se lee. Aunque esto no es estrictamente con palabras. Leer mapas puede ser extremadamente difícil (motivo por el cual es una mala idea que me pidáis a mí que siga una ruta) y seguir instrucciones, como un tutorial, también puede ser una tarea monumental. Y si me pedís que lea código de programación, me matáis.
Por supuesto, viene con consecuencias más allá de la capacidad de leer y comprender. Ser disléxico no te hace analfabeto, pero si te puede hacer suspender exámenes y que te digan que “es que no vales” o “lo tuyo no es estudiar” o “no sirves para escribir”.
En nuestro país y con nuestras lenguas tan exquisitamente regladas, las faltas de ortografía y gramática se suelen responder con desdén en lugar de pararnos a pensar que, quizá, solo quizá, la persona no sepa que está cometiendo esos errores. Nos quedamos en la forma, nos perdemos el mensaje y, al mismo tiempo, desechamos a la persona que nos lo da porque el formato no es el que nos han dicho que debe ser (o quizás esa persona no ha tenido el privilegio de recibir una educación, que también es posible).
Y ese es uno de los motivos por los que mucha gente esconde la dislexia. O decide no escribir. Y ojo, que no es que no podamos. Llevo varios libros escritos y publicados y docenas de artículos y reseñas. Y en inglés.
Así que cuando veáis un email o un post lleno de faltas de ortografía, además de que es posible que sea un estafador, también es posible que sea de alguien con neurodiversidad (no, no se puede depender del corrector tampoco. Me niego a creer todo lo que me dice un programa que quiere
cambiar “discalculia” por “descalcaría”).
Y esto es algo que los cibercriminales, a sabiendas o no, no lo sé, pueden aprovechar.
Permitid que os cuente una pequeña historia.
Hace ya muchos años, como 15, trabajaba para una empresa pequeña llamada Spidersnet donde diseñaba páginas web. Era en la edad media del desarrollo web hasta el punto de que usábamos FrontPage (quienes lo recordáis seguro que tenéis una expresión de horror en vuestro rostro. Los que no lo conocéis, tenéis mucha, mucha suerte).
Que era un poco pesadilla, vaya.
La cosa es que a veces tenía que poner hipervínculos a otras páginas web. Y en una de esas ocasiones el enlace no funcionaba.
Lo miré y lo remiré. Comprobé el texto no veía nada raro. Me devané los sesos un buen rato hasta que decidí preguntarle a un compañero de trabajo (de hecho, EL compañero de trabajo… solo tenía uno) y, desde la distancia de su escritorio me dice “es que tienes cuatro uves dobles en lugar de tres”.
Recogí mi mandíbula del suelo y procedí a borrar la “W” intrusa.
Pues así funciona la dislexia, en parte.
En aquel momento todavía yo no sabía que era disléxico. Harían falta varios años más hasta que surgió una situación lo suficientemente problemática como para hacer los tests necesarios.
A mis 37 años.
¿Por qué es esta historia relevante?
Porque la dislexia, además de ser poco o mal diagnosticada en mucha gente, hace que algunas cosas que vemos en pantalla o papel parezcan perfectamente normales. Y mucha de la gente que sabe que tiene dislexia lo esconde para evitar estigmas sociales.
Una O y un 0 pueden ser prácticamente iguales para mucha gente dependiendo de la fuente que se use, así como una l y un 1 o la repetición de una letra como la w o la m.
Y si no podemos ver bien eso en un email, lo tendremos mucho más difícil para identificar si una dirección en un enlace es correcta o es fraudulenta, por lo que pedirle a la gente que “preste atención a la ortografía o gramática” puede ser fútil, sobre todo si es gente que no sabe que tiene dislexia.
“Bah… estás sacando los pies del tiesto, Paco” oigo pensar a alguna gente, “tampoco puede ser para tanto” o “tampoco hay tanta gente”.
Bueno, cuando veamos que hay una empresa en la que entra un ataque de phishing porque alguien no ha visto ese 0 en lugar de O en FACEBO0K.COM o podido distinguir entre ENDESA Y ENDE5A quizá la opinión cambie.
La realidad es que no se puede depender de que la gente pueda leer lo que tiene delante de la forma correcta.
No voy a ser yo quien determine qué hacer además de prestar atención porque estoy muy lejos de ser un experto en el tema, pero sí soy un experto en saber que prestar atención no es siempre suficiente y puedo mostrar mi método para evitar errores en la medida de lo posible.
Recomendar una metodología de pruebas además de prestar atención es un buen paso.
Para poner un ejemplo reciente, ha habido una campaña bastante bien hecha intentando suplantar a SEUR. Como persona que compra cosas y luego se olvida (nada que ver con la dislexia, es un vicio llamado Kickstarter) a veces recibo paquetes de mensajerías diversas cuando estoy fuera de casa, por lo que no me resulta raro recibir un mensaje de texto en el teléfono diciendo que pinche en un enlace para volver a gestionar una entrega.
Mi método es tan sencillo como mirar el número de seguimiento directamente en la web de SEUR –o la empresa que sea– en lugar de hacerlo en el teléfono, pero hay gente que no caerá en ese detalle.
Pedirle a alguien que mire los enlaces para tener una segunda opinión es otra.
Pero la realidad es que no hay un método que vaya a funcionar un 100% de las veces con un 100% de efectividad. Y los cibercriminales lo saben.
¿Qué más hacer?
Pues no lo sé… os entrego la batuta