Cómo evitar los ataques de phishing

La evolución de toda tecnología parece ser muy positiva, pero también supone que surjan problemas como los ciberataques, hachkers o el phishing, concepto (y problema) en auge. ¿Qué significa el phishing y cómo se involucra este malware en nuestro día a día?

El phishing es un método que trata de recopilar información personal utilizando correos electrónicos y sitios web engañosos. El arma principal es el correo electrónico, con el que se pretende engañar al destinatario mediante la suplantación de identidad para que crea que el mensaje es algo que quiere o necesita (una solicitud de su banco, de un proveedor, de un cliente, de alguien de su propia empresa…). Y al hacer «click» de ratón en un enlace o descargar un archivo adjunto.

Lo que realmente distingue el phishing es la forma que toma el mensaje. Los atacantes se hacen pasar por una entidad o ente confiable de algún tipo (usurpación de identidad). A menudo usan una persona real o que parezca que es real, o una compañía con la que la víctima podría hacer negocios. Es uno de los tipos de ciberataques más antiguos, que data de los años 90, y sigue siendo uno de los más generalizados y perniciosos, con mensajes y técnicas de phishing cada vez más sofisticados.

Solo debemos fijarnos en estas cifras: casi un tercio de todos los ciberataques en el último año fueron phishing. Para los ataques de ciberespionaje, las cifras se aproximan al 80%. Y lo que es peor, es que los atacantes están mejorando mucho, gracias a las nuevas herramientas y plantillas comerciales bien desarrolladas.

Ejemplos pishing

Algunos ejemplos de phishing de los últimos años han sido realmente espectaculares.

Por ejemplo, uno de los ataques de phishing más importantes ocurrió en 2016, cuando los piratas informáticos lograron que el presidente de la campaña de Hillary Clinton, proporcionara su contraseña de Gmail.

El famoso ataque de «fappening«, en el que se hicieron públicas fotos íntimas de varias celebridades, se comentó que era un problema de seguridad en los servidores iCloud de Apple, pero en realidad fue producto de intentos exitosos de phishing.

También en 2016, los empleados de una universidad americana de prestigio, respondieron a un correo electrónico de phishing y entregaron el acceso a su información bancaria respecto al depósito de cheques de pago, lo que provocó que sus nóminas fueron a parar a ciberatacantes.

La razón por la cual están creciendo mucho los delitos de phishing o usurpación de identidad son los «kits de phishing«, que hace que sea muy fácil para los ciberdelincuentes, incluso aquellos con habilidades técnicas mínimas, lanzar campañas de phishing. Un kit de estos incluye recursos y herramientas que solo necesitan instalarse en un servidor. Una vez instalado, todo lo que el atacante debe hacer es enviar correos electrónicos a posibles víctimas. Los kits de phishing y las listas de correo están disponibles por estos ciberatacantes.

Tipos de phishing

Si hay un denominador común entre este tipo de ataques es la forma en que disimulan la usurpación de identidad. Los atacantes falsifican su dirección de correo electrónico para que parezca que proviene de otra persona, crean sitios web falsos que se parecen a los que la víctima confía y usan conjuntos de caracteres extranjeros para disfrazar las URL.

Propósito del intento de phishing

Hay diversas técnicas de phishing. Existen formas diferentes de dividir los ataques en categorías.

Una es por el propósito del intento de phishing . En general, una campaña de phishing intenta hacer que la víctima haga una de dos cosas:

Entregar información sensible. Estos mensajes tienen como objetivo engañar al usuario para que revele datos importantes, a menudo un nombre de usuario y contraseña que el atacante puede usar para entrar en un sistema o cuenta. La versión clásica de este tipo de phishing consiste en el envío de un correo electrónico a la medida para que parezca un mensaje de un banco importante. Al enviar el mensaje a millones de personas, los atacantes se aseguran de que al menos algunos de los destinatarios sean clientes de ese banco. La víctima hace clic en un enlace en el mensaje y es llevada a un sitio malicioso diseñado para parecerse a la página web del banco, y con suerte escibe sus credenciales con su nombre de usuario y contraseña. A partir de aquí, el atacante ahora puede acceder a la cuenta de la víctima.

Descargar malware. Este tipo de correos electrónicos de phishing tienen como objetivo lograr que la víctima infecte su propio ordenador con malware. Por ejemplo, se puede enviar algún mensaje a algún miembro del personal de Recursos Humanos con un archivo adjunto que simula ser el currículum. Estos archivos adjuntos suelen ser archivos .zip o documentos de Microsoft Office con código malicioso incrustado.

Spear phishing

Cuando los atacantes intentan elaborar un mensaje para atraer a un individuo específico, a eso se llama «spear phishing». La idea es de un pescador que apunta a un pez específico, en lugar de simplemente lanzar un anzuelo cebado en el agua para ver quién muerde. Los phishers identifican sus objetivos (a veces usan información en sitios como LinkedIn) y usan direcciones falsas para enviar correos electrónicos que podría parecer que provienen de compañeros de trabajo. Por ejemplo, el phisher podría dirigirse a alguien en el departamento de finanzas y pretender ser el gerente de la víctima y solicitar una transferencia bancaria.

Whaling

El phishing de whaling (caza de ballenas), es una forma de phishing dirigido a los peces más grandes, como CEO’s u otros objetivos de alto nivel jerarquico. Muchas de estas estafas se dirigen a los miembros de la junta de una empresa, que se consideran vulnerables. Tienen una gran autoridad dentro de una empresa, pero como no son empleados a tiempo completo, a menudo usan direcciones de correo electrónico personales para la correspondencia relacionada con el negocio, lo que no tiene las protecciones que ofrece el correo electrónico corporativo.

Recopilar suficiente información para engañar a un objetivo de alto nivel jerárquico puede llevar tiempo, pero puede tener una recompensa sustancial. Un simple descuido de descarga de un keyloggers en un ordenador de un ejecutivo, puede representar un auténtico desastre para una compañía.

Otros tipos de phishing son el phishing de clones, vishing, snowshoeing…

Cómo prevenir el phishing

La mejor manera de aprender a detectar correos electrónicos de phishing es verificar la ortografía de las URL en los enlaces de correo electrónico antes de hacer «click» con el ratón o escribir nuestras credenciales.

Se ha de tener especial cuidado con los redireccionamientos de URL, donde nos envían sutilmente a un sitio web diferente con un diseño idéntico.

Si recibimos un correo electrónico de una fuente que es conocida, pero parece sospechoso, comunicarse con esa fuente con un nuevo correo electrónico, en lugar de simplemente presionar responder.

Y sobretodo, no publicar datos personales, como la del cumpleaños, viajes de vacaciones o dirección o número de teléfono, públicamente en las redes sociales.