“Este es un aviso de PayPal: su cuenta se desactivará en los próximos días”. “Usted es el ganador de un premio de lotería”. “Su cuenta ha sido bloqueada temporalmente tras detectar una actividad inusual”. Todos estos son mensajes que llegan de forma habitual a la bandeja de entrada de los correos electrónicos de todo tipo de usuarios. Tienen tres cosas en común: el enunciado es muy llamativo, el remitente parece una organización o persona de confianza y su objetivo final es estafar a los receptores.
Este tipo de engaños tienen un nombre: phishing. Se trata de ataques que utilizan técnicas de ingeniaría social que buscan robar información profesional y personal. Los ciberdelincuentes se hacen pasar por una entidad legítima, como un banco, un organismo oficial –por ejemplo, la Agencia Tributaria–, o una empresa sobradamente conocida –Netflix o Amazon–, para generar confianza y conseguir así que el usuario entregue sus datos de manera voluntaria.
Los mensajes tienen un carácter de urgencia para que quien lo reciba actúe lo antes posible y lo habitual es que contengan un enlace web al que hay que dirigirse para completar los datos que nos piden (nombre y apellidos, dirección, DNI, cuenta bancaria…), ya sea para evitar el cierre de nuestra cuenta u optar al cobro de una cuantiosa suma de dinero. Una vez que los estafadores disponen de esa información, inician su ataque.
Su fin último es económico, ya sea por la estafa directa, así como por la venta de datos obtenidos o secuestro de los mismos. En ocasiones el phishing tiene otros propósitos: convertirse en la puerta de entrada para otro tipo de ataques. Con determinada información personal, los ciberdelincuentes pueden instalar software malicioso (malware) en los dispositivos de nuestra propiedad para controlarlos o secuestrar datos sensibles (ransomware) que únicamente se pueden recuperar tras el pago de un rescate.
Según el informe “2021 State of the Phish”, elaborado por la compañía de ciberseguridad Proofpoint, los ataques de phishing durante el pasado año han supuesto una pérdida de datos en el 60% de los casos, seguida de cerca por un compromiso de la cuenta (52%) y de infecciones por ransomware (47%). Otros impactos registrados han sido las infecciones por malware (29%) y fraudes financieros (18%).
Variedades de phishing
Aunque el correo electrónico suele ser el medio más recurrente para realizar este tipo de ataques, no es el único. Las llamadas telefónicas, el envío de SMS o el uso de redes sociales también son utilizadas por los ciberdelicuentes para suplantar la identidad de otras personas u organizaciones y conseguir información financiera y sensible de los usuarios.
Vishing: es la abreviatura de ‘voice phishing’. Se trata de la versión telefónica del phishing. En este caso, el atacante en lugar de usar el correo electrónico se pone en contacto con su posible víctima a través de una llamada de teléfono. Es habitual que la intenten engañar diciendo que ha habido un problema con su cuenta (del banco, por ejemplo) y que necesita determinados datos para solucionarlo.
Smishing: es la abreviatura de ‘SMS phishing’. El ‘gancho’ es un mensaje de texto en el que se pide al usuario que entre en una página web o descargue un archivo. Una vez hecho el atacante tiene la puerta abierta a la información del dispositivo, acceso a aplicaciones, instalación de malware, etc.
En redes sociales: Instagram, Twitter y Facebook son algunas de las plataformas donde los usuarios comparten vivencias y, por tanto, se han convertido en una buena fuente de información donde los delincuentes recaban datos personales que les ayudan a construir mensajes con los que atraer a posibles víctimas. En el caso de LinkedIn, estos datos se extienden al entorno profesional facilitando el acceso a información sensible de las empresas.
Fraude del CEO: en este caso el cebo es la supuesta persona que envía el mensaje. El ciberdelincuente se hace pasar por el directivo de una empresa que manda a sus empleados un correo electrónico donde les pide ayuda para realizar algún tipo de operación financiera. Si el trabajador le da credibilidad puede aportar datos sensible de su organización o realizar acciones que pueden conllevar un fraude financiero, como por ejemplo hacer una trasferencia bancaria a los cibercriminales.
Whaling: es la abreviatura de ‘whale phising’. Hace referencia a las ballenas (whale) de la empresas, es decir, a las personas que forman parte de la cúpula directiva y los ataques de phishing dirigidos a ellas con el fin de recabar datos especialmente delicados de sus compañías.
Consejos para prevenirlo
Como se adelantaba más arriba, aunque el remitente de un mensaje sea aparentemente de confianza no siempre lo es. Para poder identificar el phishing y evitar el robo de datos hay algunos indicios que deberían hacer saltar las alertas para prevenirlo:
- Inmediatez: se trata de mensajes urgentes que piden al usuario que lleva a cabo una acción a antes de que sea demasiado tarde y no pueda recuperar su cuenta.
- Faltas ortográficas: los textos de los correos electrónicos, SMS y redes sociales pueden tener fallos en su ortografía.
- Enlaces web: se debe evitar acceder a la dirección de internet que incluye el mensajes desde el propio texto. Para ver donde te lleva puedes posicionarte encima del enlace con el ratón. Los dominios que usan los ciberdelincuentes suelen ser muy parecidos al original. Para realizar cualquier acción, lo mejor es acudir a la web de la empresa u organismo oficial directamente desde el navegador.
Mantenerse informado sobre los peligros ayuda a detectarlos y, lo que es más importante, mantener los datos personales y los de la empresa a salvo.
Los ciberataques evolucionan e incorporan día a día las últimas innovaciones tecnológicas. La inteligencia artificial, empleada para prevenirlos, ya se está usando para desarrollar algoritmos que efectúen ataques de phishing.
La innovación en el cibercrimen es un hecho, ¿has oído hablar del DeepFake?… próximamente
No te dejes llevar por las prisas, reflexiona antes de actuar.
Todavía no hay comentarios