Al navegar en internet, se debe ser consciente de los innumerables peligros que se enfrentan; uno de ellos es ser víctima de un phishing, una amenaza en donde las consecuencias pueden afectar tanto el plano individual hasta, en los casos más graves, poner riesgo a toda una organización. Los ciberataques son tan antiguos como el internet mismo, y los ciberdelincuentes están buscando siempre nuevas formas de poder perpetrarlo; es por eso que cada vez se vuelve más importante estar alerta y contar con un buen sistema de ciberseguridad.
El phishing es la ciberestafa más común en todo el mundo, y, según el portal Network Digital 360, durante la pandemia aumentó exponencialmente ya que las personas volcaron la mayor parte de sus actividades al mundo digital; un cambio propiciado también por la conocida Transformación Digital a la que hoy, la mayoría de las empresas le están apostando debido a los retos y demandas del mundo hiperconectado en el que vivimos actualmente; y que de cierta forma, nos vuelve más vulnerables, pues los criminales informáticos se aprovechan de esto para engañar diariamente a miles de usuarios.
¿Qué es el phishing?
El phishing es una técnica de ingeniería social que consiste en el envío de un email en el que los ciberdelincuentes suplantan la identidad de una compañía conocida o de una entidad pública para solicitar información personal o financiera a las personas. Para efectuar el ataque, se incluye un enlace en el correo electrónico para que este redirija a la víctima a una página web fraudulenta muy parecida a la oficial, y así conseguir que esta introduzca su número de tarjeta de crédito, identificación, la contraseña de acceso a la banca digital, etc.
Un email de tipo phishing también puede llevar un archivo adjunto infectado con software malicioso. El objetivo de este malware es infectar el equipo del usuario y robar su información confidencial.
Este tipo de ataque también es ejecutado por los ciberdelincuentes a través de mensajes SMS (smishing) y de llamadas telefónicas (vishing).
La palabra phishing viene de «pesca» («fishing», en inglés, con la misma pronunciación que «phishing») que usa un «cebo» atractivo para ver si alguna víctima pica en el vasto «océano» de los usuarios de Internet. Las letras ph de «phishing» proceden de una afición de mediados del siglo XX, el llamado «phone phreaking», que consistía en experimentar con las redes de telecomunicaciones para averiguar su funcionamiento. Phreaking + fishing = phishing.
Un ataque de phishing tiene tres componentes:
1. El ataque se realiza mediante comunicaciones electrónicas, como un correo electrónico o una llamada de teléfono.
2. El atacante se hace pasar por una persona u organización de confianza.
3. El objetivo es obtener información personal confidencial, como credenciales de inicio de sesión o números de tarjeta de crédito.
¿Cuál es la diferencia entre Spam y phishing?
Si tenemos que elegir, es preferible el spam. La principal diferencia entre ambos es que los spammers no tratan de perjudicar al destinatario. El spam es correo basura: no es más que un montón de anuncios no deseados. Quien recurre al phishing quiere robar datos y utilizarlos contra la víctima.
Características comunes de los correos electrónicos de phishing:
1. Demasiado bueno para ser verdad: Se trata de ofertas llamativas que están diseñadas para atraer la atención de las personas de inmediato. Por ejemplo: anuncios que afirmas que se ha ganado un iphone, un auto o cualquier premio lujoso. No se debe hacer clic en ningún correo o link que sea de este tipo. Es importante recordar que, si parece muy bueno para ser verdad, probablemente no lo sea.
2. Sentido de la urgencia: La táctica favorita de los ciberdelincuentes para estos robos, es pedirle a la persona que actúe rápido ya que las ofertas son por “tiempo limitado”. Algunos, incluso, dirán que tiene solo minutos para responder. Si se encuentra con algún correo de este tipo, debe ignorarlos. En ocasiones, le dirán que su cuenta se suspenderá a menos que actualice sus datos personales de inmediato. La mayoría de las organizaciones confiables dan tiempo suficiente para cancelar su cuenta y nunca piden a los usuarios que actualicen su información personal a través de internet o por vía telefónica. En caso de tener dudas, visite la fuente directamente en lugar de hacer click en un enlace de correo electrónico.
3. Hipervínculos: Un enlace puede no ser lo que parece. Al pasar el cursor sobre cualquier link, este le muestra el URL real donde será redirigido al hacer click en él. Un link malicioso lo puede redirigir a un sitio completamente diferente o un sitio web popular con alguna falta de ortografía leve a simple vista , por ejemplo: bancodearnmerica.com: la “m” es en realidad una “r” y una “n” simulando ser una “m”. Esté atento a esos detalles.
4. Archivos Adjuntos: Si en el correo hay algún archivo adjunto sospechoso, que no tiene sentido, ¡no lo abra! A menudo, estos contienen cargas útiles como ransomware u otros virus, el único archivo en el que siempre es seguro hacer clic es un archivo .txt.
5. Remitente Inusual: Ya sea que el correo sea de alguien conocido o de alguien desconocido, si parece algo fuera de lo común, inesperado, fuera de carácter o simplemente sospechoso, no haga click en él.
Estrategias de phishing más habituales:
Dentro de este tipo de ataque, se encuentran diversas estrategias que los ciberdelincuentes han ideado para poder llevar a cabo la estafa:
Phishing de engaño: Si bien, como se ha dicho hasta ahora, el phishing siempre se trata de engañar; el «phishing de engaño» es un término que se refiere específicamente al intento de los hackers por hacerse pasar por empresas o personas legítimas con el fin de obtener su confianza.
Phishing personalizado: las campañas de phishing a gran escala son como barcos pesqueros industriales que intentan pescar lo que puedan a su alrededor. Sin embargo, el phishing personalizado adapta sus ataques a cada objetivo concreto. Redes sociales profesionales como LinkedIn han popularizado el phishing personalizado dirigido contra empresas, ya que los hackers pueden encontrar fácilmente y en un mismo sitio toda su información laboral.
Whaling: Traduce «pesca de ballenas» consiste en ataques de phishing dirigido contra una persona concreta de alto valor. Es igual que el phishing personalizado, pero con objetivos mucho más ambiciosos. Ni siquiera los grandes ejecutivos son inmunes a los ataques de whaling.
Fraude de CEO: los phishers se hacen pasar por el director ejecutivo (CEO) o por cualquier otro alto cargo de una empresa con el fin de obtener un pago o información sobre los empleados. Las campañas de fraude de CEO son habituales tras un ataque de whaling, pues el atacante ya ha obtenido las credenciales del directivo.
Pharming: En este tipo de ataques (combinación de «phishing» y «farming», «cultivo») se utilizan trucos tecnológicos para engañar, en lugar del cebo habitual. Por ejemplo, la suplantación de identidad de DNS, también conocida como envenenamiento de la memoria caché de DNS, es una técnica de pharming que puede redirigirlo hasta la versión falsificada de un sitio web. Si no se presta atención, no se notará el engaño hasta que sea demasiado tarde.
Phishing por Dropbox y por Google Docs: los servicios de cloud populares son objetivos atractivos para el phishing. Los atacantes apañan versiones falsificadas de las pantallas de inicio de sesión, consiguen las credenciales del destinatario cuando este las introduce y, a continuación, tienen accesos a todos sus archivos y datos.
Phishing de clonación: los atacantes toman un correo electrónico legítimo, lo «clonan» y envían una copia exacta a todos los destinatarios previos, con un cambio fundamental: ahora los enlaces son maliciosos.
Manipulación de enlaces: los phishers envían enlaces que parecen conducir a una dirección URL, pero al hacer clic en ellos lo llevan a otra parte. Entre los trucos habituales están los errores ortográficos deliberados (p. ej., «luna» y «Iuna» parecen iguales, pero el segunda emplea una i mayúscula) o el uso del nombre de un sitio web de confianza como texto visible de un enlace. Estos ataques también se conocen como homógrafos.
Scripting entre sitios: phishers sofisticados pueden aprovechar debilidades en los scripts de un sitio web para secuestrarlo y emplearlo con distintos fines. El scripting entre sitios es difícil de detectar porque en el sitio web todo parece legítimo, desde la URL hasta los certificados de seguridad.
¿Cuándo es más común?
Como se mencionó, la cantidad de casos de phishing se incrementó desde el comienzo de la pandemia. Por lo tanto, los usuarios están expuestos a este ciberdelito durante todos los días del año. Sin embargo, existen momentos específicos donde su aparición es mucho más frecuente.
El primero de ellos son las fiestas. Navidad y Año Nuevo, por ejemplo, suelen ser la oportunidad perfecta para los delincuentes digitales porque las personas invierten mucho dinero en compras de todo tipo. Desde regalos y comida, hasta entretenimiento y servicios, los gastos durante esas semanas se incrementan y los casos de phishing también.
A estas festividades también se le pueden sumar otras más específicas como el Día de la Madre o el Día del Niño. Es muy frecuente que días antes de sus celebraciones, circulen mails o mensajes para ganar regalos como perfumes o juguetes. Los criminales apuestan por la intención de las personas de conseguir un obsequio de forma gratuita y aprovechan eso para robar información personal.
Otros eventos que son aprovechados por los cibercriminales son los que fomentan el e-commerce como el “Black Friday” o el “Ciber Monday” ya que los comercios y empresas realizan campañas de marketing enviando correos con distintas promociones y descuentos constantemente, y si bien la mayoría de ellos son verdaderos; al ser tan masivos, es muy fácil para los criminales virtuales esconder engaños entre ellos.
¿Cómo protegerte del Phishing?
Refuerce la seguridad de sus dispositivos y mantenga actualizados el sistema operativo, el navegador y las aplicaciones. Una combinación que puede evitarle muchos problemas económicos.
No introduzca nunca sus datos personales en una página web a la que ha accedido a través de un correo. En el caso de que sí la conozca, entre tecleando la dirección oficial directamente desde el navegador.
Revise sus cuentas periódicamente para tener controlados los movimientos que se realizan en ellas y el total acumulado. Si ve alguna operación que no reconoce, póngase inmediatamente en contacto con atención al cliente para solucionarlo.
Recuerde que una empresa confiable nunca le solicitará información bancaria o información personal por email o SMS, así que no la proporcione por estos canales.
Revise bien la URL de cualquier enlace que le envíen; hasta el más mínimo detalle (una letra distinta, un punto o un guion, por ejemplo) puede ser clave para no caer en la trampa. También debe comprobar que el enlace comience por “https”, sello inequívoco de seguridad.
Verifique que el remitente del email sea el oficial. Los ciberdelincuentes suelen utilizar técnicas para simular que se trata de la compañía o entidad real, incluyendo algún carácter especial entre ellas (bbv-a, por ejemplo) o cambiando alguna letra por otra parecida (bbua).
No siga leyendo el mensaje si es extremadamente alarmante o si lo obliga a tomar una decisión en un periodo corto de tiempo. Si se da alguno de los dos casos, la compañía contacta con su cliente por una vía más segura.
No descargue un archivo adjunto en un correo electrónico, más sin pasarlo por un antivirus, salvo que sepa que proviene de una fuente segura.
¿Qué hacer con los correos electrónicos de Phising?
Se recomienda denunciar y borrar el email que llegue. Su proveedor de correo electrónico debería tener una opción que le permita denunciar directamente las estafas de phishing.
Hecho esto, redirija los mensajes a la Federal Trade Comission (FTC, en la dirección spam@uce.gov) y al Anti-Phishing Working Group (reportphishing@apwg.org). Denuncie también su experiencia en el sitio web de quejas de la FTC.
Por último, póngase en contacto con la empresa suplantada para que sepan que un phisher está utilizando su marca para intentar estafar a la gente y diríjase al departamento de tecnología de su organización y repórtelo.
¿Quiere conocer soluciones que lo ayuden a contrarrestar estas amenazas?
Fuentes: