Si en el año 2020 se duplicaron las detecciones de ataques de ingeniería social, los casos de phising siguen golpeando con fuerza en el 2021. Esta técnica de suplantación y estafa parece estar más viva que nunca:
- Detectada campaña de phishing que suplanta a Ibercaja y que trata de robarte tus credenciales de acceso.
- La Policía Foral alerta de nuevos ataques phishing. Las victimas reciben un email que les indica que deben actualizar las credenciales de seguridad, ya que, en caso contrario, se bloqueará su acceso a los servicios de la entidad bancaria.
- ING alerta de un ataque nuevo de phishing a sus clientes que puede llegar por mail o por SMS
- Caixabank, víctima del phishing en medio de la crisis del coronavirus
- Una nueva campaña de phishing intenta robar tu cuenta de correo electrónico
- Cuidado con los SMS de Correos: la estafa repunta y es más peligrosa
- La Seguridad Social alerta de una estafa vía e-mail con suplantación de identidad
- Nuevo intento de fraude con falsos correos de Endesa
- Cuatro detenidos por una estafa de 34.000 euros a una empresa de Almadén mediante el método phishing.
- La Policía desmantela una red de estafa por Internet que suplantaba a entidades
El phishing es una de las estafas más antiguas y mejor conocidas de Internet. Podemos definirlo como un tipo de fraude en las telecomunicaciones que emplea técnicas de ingeniería social para obtener datos privados de sus víctimas. El delincuente, por tanto, intenta engañar a las personas para que compartan información confidencial como contraseñas y números de tarjetas de crédito.
Un ataque de phishing tiene tres componentes:
- El ataque se realiza mediante comunicaciones electrónicas, como un correo electrónico o una llamada de teléfono.
- El atacante se hace pasar por una persona u organización de confianza.
- El objetivo es obtener información personal confidencial, como credenciales de inicio de sesión o números de tarjeta de crédito.
Este es el engaño del que el phishing obtiene su nombre: el ciberdelincuente sale de «pesca» («fishing», en inglés, con la misma pronunciación que «phishing») con un «cebo» atractivo para ver si alguna víctima pica en el vasto «océano» de los usuarios de Internet. Las letras ph de «phishing» proceden de una afición de mediados del siglo XX, el llamado «phone phreaking», que consistía en experimentar con las redes de telecomunicaciones para averiguar su funcionamiento. Phreaking + fishing = phishing.
Spam frente a phishing
Si tenemos que elegir, es preferible el spam. La principal diferencia entre ambos es que los spammers no tratan de perjudicar al destinatario. El spam es correo basura: no es más que un montón de anuncios no deseados. Quien recurre al phishing quiere robar sus datos y utilizarlos contra usted. Más adelante, en este mismo artículo, examinaremos exactamente qué buscan los especialistas de esta técnica, y cómo lo hacen.
Por tanto, por molesto que pueda resultar el spam, y siguiendo con la analogía de la pesca, recuerde la siguiente rima: El spam es delicioso, el «phescado» es malicioso.
¿Cómo funciona el phishing?
Independientemente de si se desarrollan por correo electrónico, por redes sociales, por SMS o mediante cualquier otro sistema, todos los ataques de phishing siguen los mismos principios básicos. El atacante envía una comunicación dirigida con el fin de persuadir a la víctima para que haga clic en un enlace, descargue un archivo adjunto o envíe una información solicitada, o incluso para que complete un pago.
La naturaleza del engaño queda a la imaginación y la habilidad del atacante. Con la llegada de las redes sociales, los «phishers» tienen acceso a más información personal que nunca sobre sus objetivos. Armados con estos datos, pueden personalizar al detalle los ataques según las necesidades, deseos y circunstancias vitales del objetivo, y así crear una propuesta mucho más atractiva. En estos casos, las redes sociales hacen posible una ingeniería social mucho más potente.
¿Cuáles son los efectos del phishing?
La mayor parte del phishing puede dar como resultado el robo de identidades o de dinero, y también es una técnica eficaz para el espionaje industrial y el robo de datos. Algunos hackers llegan incluso a crear perfiles falsos en redes sociales, invierten un tiempo en desarrollar una relación con las posibles víctimas y esperan a que exista confianza para hacer saltar la trampa. ¿Cuál es el coste del phishing? No solo hay daños financieros: en estos casos también se produce una pérdida de confianza. No es nada agradable ser estafado por alguien en quien creíamos poder confiar; además, la recuperación puede ser lenta.
¿Cuáles son los distintos tipos de estafa de phishing?
Vamos a profundizar un poco: ¿cómo funciona el phishing? ¿De dónde puede proceder un ataque y qué forma puede adoptar? Vamos a obtener algunas respuestas.
Vectores de phishing: más allá del correo electrónico
Phishing por correo electrónico: los mensajes de correo electrónico son, de largo, el método más común para entregar el cebo del phishing. Estos mensajes suelen contener enlaces que llevan hasta sitios web maliciosos o archivos adjuntos infectados con malware. Más adelante en este artículo veremos qué aspecto puede tener un correo electrónico de phishing, para que sepa qué mensajes debe evitar.
Smishing: el smishing es phishing mediante SMS. Recibe un mensaje de texto donde se le pide que haga clic en un enlace o descargue una aplicación. Sin embargo, al hacerlo se le engaña para que descargue en su teléfono un malware que puede captar su información personal y enviarla al atacante.
Phishing por sitio web: los sitios web de phishing, también conocidos como sitios falsificados, son copias falsas de sitios web que conoce y en los que confía. Los hackers crean estos sitios para engañarlo de modo que introduzca sus credenciales de inicio de sesión, que a continuación utilizarán para conectarse a sus cuentas. Las ventanas emergentes son otra fuente habitual de phishing por sitio web.
Vishing: esta abreviatura de «voice phishing» (phishing de voz) hace referencia a la versión sonora del phishing de Internet. El atacante intenta convencer por teléfono a las víctimas para que revelen información personal que pueda utilizarse más adelante para el robo de identidad. Muchas robo-llamadas son intentos de vishing.
Phishing por redes sociales: algunos atacantes pueden colarse en las cuentas de redes sociales y forzar a la gente a enviar enlaces maliciosos a sus amigos. Otros crean perfiles falsos y los utilizan para engañar a sus víctimas.
Estrategias habituales de phishing
Por medio de los vectores principales de phishing que hemos expuesto, los hackers pueden lanzar una amplia gama de ataques que van desde lo técnicamente admirable hasta el timo más clásico. No deje que le suceda nada de lo siguiente:
- Phishing de engaño: un momento… ¿No llevamos desde el principio diciendo que todo el phishing es un engaño? Vale, sí. El phishing siempre trata de engañarlo. Pero «phishing de engaño» es un término que se refiere específicamente al intento de los hackers por hacerse pasar por empresas o personas legítimas con el fin de obtener su confianza.
- Phishing personalizado: las campañas de phishing a gran escala son como barcos pesqueros industriales que intentan capturar todo lo que pueden con sus redes de arrastre. Por el contrario, el phishing personalizado adapta sus ataques a cada objetivo concreto. Redes sociales profesionales como LinkedIn han popularizado el phishing personalizado dirigido contra empresas, ya que los hackers pueden encontrar fácilmente y en un mismo sitio toda su información laboral.
- Whaling: para completar las metáforas náuticas tenemos el whaling («pesca de ballenas»), que consiste en ataques de phishing dirigido contra una personas concreta de alto valor. Es igual que el phishing personalizado, pero con objetivos mucho más ambiciosos. Ni siquiera los grandes ejecutivos son inmunes a los ataques de whaling.
- Fraude de CEO: los phishers se hacen pasar por el director ejecutivo (CEO) o por cualquier otro alto cargo de una empresa con el fin de obtener un pago o información sobre los empleados. Las campañas de fraude de CEO son habituales tras un ataque de whaling, pues el atacante ya ha obtenido las credenciales del directivo.
- Pharming: los ataques de pharming (combinación de «phishing» y «farming», «cultivo») utilizan trucos tecnológicos para engañarlo, en sustitución del cebo habitual. Por ejemplo, la suplantación de identidad de DNS, también conocida como envenenamiento de la memoria caché de DNS, es una técnica de pharming que puede redirigirlo hasta la versión falsificada de un sitio web. Si no presta atención, no notará el engaño hasta que sea demasiado tarde.
- Phishing por Dropbox y por Google Docs: los servicios de cloud populares son objetivos atractivos para el phishing. Los atacantes apañan versiones falsificadas de las pantallas de inicio de sesión, consiguen las credenciales del destinatario cuando las introduce y, a continuación, se dan un buen atracón con sus archivos y datos.
- Phishing de clonación: los atacantes toman un correo electrónico legítimo, lo «clonan» y envían una copia exacta a todos los destinatarios previos, con un cambio fundamental: ahora los enlaces son maliciosos.
- Manipulación de enlaces: los phishers envían enlaces que parecen conducir a una dirección URL, pero al hacer clic en ellos lo llevan a otra parte. Entre los trucos habituales están los errores ortográficos deliberados (p. ej., «luna» y «Iuna» parecen iguales, pero el segundo emplea una i mayúscula) o el uso del nombre de un sitio web de confianza como texto visible de un enlace. Estos ataques también se conocen como homógrafos.
- Scripting entre sitios: phishers sofisticados pueden aprovechar debilidades en los scripts de un sitio web para secuestrarlo y emplearlo con distintos fines. El scripting entre sitios es difícil de detectar porque en el sitio web todo parece legítimo, desde la URL hasta los certificados de seguridad.
Principales recomendaciones para prevenir el phishing
Una buena educación de los usuarios y un software antiphishing forman una doble barrera contra el phishing en el nivel empresarial. Las empresas deberían invertir en programas de formación integral para enseñar a sus empleados cómo se reconoce el phishing y por qué deben estar prevenidos. Los equipos de seguridad pueden reforzar estas directrices con eficaces contramedidas de software que bloqueen las estafas de phishing, independientemente de si un objetivo pica o no.
Desde el punto de vista personal, esto es lo que puede hacer para no caer víctima del phishing:
- Fórmese: la buena noticia es que ya lo ha hecho al leer este artículo. Manténgase un paso por delante de los phishers profundizando en su conocimiento de las estafas más recientes.
- Sea escéptico: peque por el lado de la prudencia ante cualquier correo electrónico sospechoso. Antes de hacer clic en cualquier enlace o de descargar cualquier archivo adjunto, revise las señales de alerta de phishing que hemos mencionado en el artículo. Si cualquiera de esas señales se aplica al mensaje en cuestión, denúncielo y bórrelo.
- Confirme antes de actuar: las empresas auténticas nunca se pondrán en contacto con usted por correo electrónico o teléfono para solicitarle datos personales. Si sucediera, llame usted mismo a la empresa con los datos de contacto que aparecen en su sitio web legítimo para confirmar cualquier cosa que se le haya dicho en el correo electrónico o la llamada. No responda directamente a los correos electrónicos sospechosos. Comience siempre una nueva comunicación mediante los canales de atención oficiales de la empresa.
- Verifique los certificados de seguridad: no envíe ninguna información personal que no quisiera que tuviera un hacker salvo que esté convencido de que un sitio web es seguro. Verifique que la URL comienza con HTTPS y busque un icono de candado junto a la URL.
- Cambie las contraseñas con regularidad: los phishers no pueden hacer mucho con sus contraseñas si ya no son válidas. Actualice las contraseñas de vez en cuando y emplee un administrador de contraseñas para que sean seguras y queden almacenadas de forma segura.
- Examine sus cuentas: Revise escrupulosamente todos los extractos bancarios. Si no lo hace, podría pasar por alto un cargo fraudulento. A los bancos y a las tarjetas de crédito se les suele dar bien detectar fraudes, pero usted también debe prestar mucha atención a sus cuentas y extractos.
- Utilice un bloqueador de anuncios: este consejo también podría titularse «no haga clic en ventanas emergentes», pero si utiliza un bloqueador de anuncios, este detendrá la mayor parte de los anuncios emergentes. Las ventanas emergentes son vectores de phishing frecuentes: si ve una, nunca haga clic en el anuncio, aunque haya un gran botón donde pone «Cerrar». Utilice siempre la pequeña X en la esquina.
- Lea los correos electrónicos como texto sin formato: este un buen truco que ayuda a detectar estafas de phishing por correo electrónico. Convierta un mensaje a texto sin formato y podrá detectar URL de imágenes ocultas que no serían visibles en modo HTML.
Fuentes: Avast
Malwarebytes
Incibe
Welivesecurity
Genbeta
Ministerio del Interior
Gustavo Romero Sánchez
Gestor de Redes y Recursos Informáticos en el sector de la Seguridad.
Criminólogo y Antropólogo Forense
Tutor Tecnológico en Curso Superior de Ciberseguridad