Cuando hablamos de ciberseguridad, si queremos protegernos de una amenaza concreta el primer paso siempre debe ser conocer a nuestro enemigo y las técnicas que utiliza para atacarnos. Uno de los problemas más habituales que sufrimos los usuarios de correo electrónico es el Phishing. ¿Y que es el Phishing?
Phishing, es un término proveniente de “fishing”, “pesca” en inglés, y es que es precisamente lo que pretenden los ciberdelincuentes al utilizar esta técnica, “pescar” víctimas para robarles sus datos, principalmente personales o bancarios, con el fin de obtener contraseñas, número de cuenta o tarjeta de crédito, o redirigir al usuario a sitios web maliciosos con el objetivo de cometer cualquier tipo de fraude. El Phishing también es la técnica preferida de los ciberdelincuentes para distribuir Ramsonware.
Hay muchos tipos de Phishing, tantos como ciberdelitos, ya que es una de las técnicas más utilizadas, pero hay un tipo más frecuente que los demás, la suplantación de identidad por email. Las víctimas reciben un correo electrónico suplantando la identidad de un contacto conocido, un banco o un proveedor de servicios, normalmente muy conocido y mayoritario. El contenido de ese email malicioso siempre tiene como objetivo generar una fuerte sensación de urgencia a la víctima, normalmente intentando asustarla con algún castigo por no seguir las instrucciones del mensaje. Son habituales cosas como:
“Vamos a dar de baja tu cuenta (o servicio), si no pinchas aquí…”
“Hemos tenido un problema técnico y necesitamos que nos envíes tus datos…”
“Debido a problemas de seguridad con su cuenta es urgente que renueve su contraseña en este enlace…”
También es habitual recibir mensajes premiando a la víctima con ofertas de empleo maravillosas, productos con descuentos especialmente interesantes o cualquier otro tipo de recompensa, con el objetivo siempre de pinchar en un enlace o abrir un fichero adjunto.
Índice de contenidos
¿Cuáles son las entidades más suplantadas?
- Bancos y entidades de pago (Paypal, Visa, etc.), con el objetivo obvio de obtener nuestros datos bancarios o de acceso a nuestras plataformas de pago.
- Redes sociales. En este caso podremos recibir solicitudes de amistad, mensajes privados muy sospechosos, o solicitudes de cambio de contraseña. El objetivo es tomar el control de nuestras cuentas y utilizarlas para cometer algún delito, o robar nuestra información personal.
- Páginas de compra/venta de productos (Ebay, Wallapop, Amazon, etc). En este caso el objetivo va a ser utilizar nuestra cuenta para hacer ventas fraudulentas o conseguir nuestros datos bancarios.
- Cualquier otra entidad que contenga datos privados: Proveedores de servicio (energéticas, por ejemplo), plataformas de almacenamiento de datos (tipo Dropbox), plataformas de videojuegos o cualquier otro sitio online que disponga de cuentas de usuario con nuestros datos va ser susceptible que ser suplantada para acceder a nuestra información.
Hay que destacar el fraude del CEO, como una de las suplantaciones de identidad más utilizadas y mejor elaboradas.
Hay que tener claro que el objetivo en muchos casos es simplemente obtener datos privados, no siempre se trata de un fraude o estafa bancaria. Los datos son el petróleo del siglo XXI y hay un potentísimo mercado negro, en el que se compra y se vende toda nuestra vida privada. En ocasiones el objetivo es cometer un fraude posterior o someternos a extorsión de cualquier tipo, en algunos casos mucho tiempo después de haber sido víctimas de un robo de información.
¿Cómo identifico el Phishing?
Primera norma, sospechar de cualquier email que nos genere alguna urgencia. Como ya hemos comentado, el primer objetivo es meternos miedo, o generarnos la sensación de que perdemos algo para evitar que nos paremos a pensar antes de pinchar en el enlace o descargar el adjunto…
Enlaces y adjuntos… esta es otra clave. Casi todos los mensajes de Phishing incluirán un enlace a un sitio web o un fichero adjunto. El simple hecho de que un email incluya una de las dos cosas ya nos debe hacer sospechar.
¿Quién es el remitente? Olvídate de que los contactos conocidos son seguros. No existen remitentes seguros. Piensa que nuestro contacto ya puede haber sido víctima de una infección.
Otras evidencias: Aunque los mensajes cada vez están mejor hechos, cosas como faltas de ortografía, la estética, la coherencia del mensaje o la ausencia de logotipos nos debe hacer sospechar.
¿Qué hago si sospecho de un email?
- No ser curiosos, mejor borrarlo y tener que pedir perdón si era un mensaje legítimo, que pinchar para ver lo que es y ser víctimas de Phishing.
- Evidentemente NUNCA abrir un adjunto o pinchar en un enlace para ver lo que tiene. Si lo hacemos ya estamos perdidos antes de enterarnos de que ha pasado.
- No contestar nunca a un mensaje diciendo cosas como “Te has equivocado, este mensaje no es para mí…”, o “¿Esto es auténtico?”. Nunca nos responderán, el objetivo de muchos de estos mensajes es precisamente que respondamos y así obtener datos de nuestra cuenta de correo.
Eso de la Ingeniería Social…
El phishing es una tipo de ciberataque elaborado usando técnicas de ingeniería social.
La ingeniería social es la práctica de manipular y engañar a las personas para conducirlas a cometer algún acto en contra de su voluntad, o incluso manipular la propia voluntad del individuo, y de esta forma conseguir engañarlas o robarlas (datos o dinero principalmente), obtener información, acceso a sistemas o cualquier otro activo que ayude a los delincuentes a conseguir sus objetivos.
El email no es un medio más inseguro que los demás, simplemente es que los criminales pretenden llegar al mayor número de personas posible. El correo electrónico es el medio de comunicación más utilizado y además es muy fácil automatizar los ataques, por eso lo más utilizado por la ciber-delincuencia para hacernos llegar virus e intentos de fraude.
Las tecnologías más utilizadas siempre son más vulnerables por la sencilla razón de que son más atacadas, los beneficios son mayores... De la misma forma que Windows no es más vulnerable que Apple o Linux (por mucho que nos digan), Windows tiene muchos más usuarios a los que atacar y el correo electrónico tiene muchas más amenazas que otros medios porque llega a más gente, pero esto que contamos aquí es extensible a cualquier otro medio de comunicación.
El Phishing tiene su versión en Whatsapp, en SMS (Smishing), Skype, chats de redes sociales o cualquier otro tipo, incluso por medio de llamadas telefónicas (el fraude del falso servicio técnico por ejemplo), y lo que está por llegar… Así que hay que estar con la guardia siempre alta, y estar preparados para el siguiente tipo de ataque, que va a ser novedoso con total seguridad.
Medidas de seguridad antispam:
- En Hoswedaje te ofrecemos un Filtro AntiSpam para evitar estos ataques, que utilizan el aprendizaje automático y el procesamiento del lenguaje natural para señalar los mensajes de correo electrónico de alto riesgo dejándolos en cuarentena.
- El protocolo DMARC también puede evitar la suplantación del correo electrónico.
- Autenticación de dos factores que incorpore dos métodos de confirmación de la identidad: algo que se sabe (por ejemplo, la contraseña) y algo que se tiene (por ejemplo, el smartphone).