El phishing es una forma de estafa perpetrada mediante ingeniería social dirigido tanto a usuarios particulares como corporativos, con el objetivo de obtener acceso a contraseñas de diferentes servicios en línea u otra información confidencial.
Para ello, los villanos utilizan principalmente el correo electrónico, las redes sociales, llamadas telefónicas o cualquier otra forma de comunicación, como publicaciones en foros y videos de YouTube.
Los ataques tradicionales de phishing son algo parecido a echar un anzuelo y esperar a ver quien pica.
Pero también existen ataques de phishing personalizados dirigidos contra un individuo, o una organización en concreto.
Esto se logra realizando una pequeña investigación sobre los hábitos de la víctima, por ejemplo visitando sus redes sociales, o su perfil de LinkedIn, donde revela libremente su experiencia laboral.
También recopilando información de archivos o bases de datos públicas cuya consulta puede ser efectuada por cualquier persona.
Los datos obtenidos de portales web, víctimas del robo o las fugas de datos son otra fuente de información.
Al phishing personalizado y dirigido a una persona o entidad en concreto se le denomina Spear phishing.
Mensajes de phishing
Los mensajes de phishing, simulan proceder de una entidad legítima (compañía telefónica, red social, banco, institución pública, etc.) e intentan infundir al destinatario una sensación de urgencia para no darle tiempo a reflexionar.
Para ello, utilizan todo tipo de argumentos relacionados con la seguridad de la entidad o la necesidad de hacer algún trámite administrativo urgente, para justificar la necesidad de que la víctima facilite sus datos personales.
Anteriormente, este tipo de mensajes, eran bastante cutres, muy mal redactados, y repletos de errores ortográficos y gramaticales.
Pero «gracias» a la inteligencia artificial se han vuelto cada vez más sofisticados.
Si la persona entra en pánico y pulsa en el enlace, será redirigido a una página que simula la del servicio genuino, y el ciberdelincuente se hará con sus credenciales.
Como ocurre con el spam, este tipo de correos electrónicos de phishing también pueden tener como objetivo que la víctima infecte su dispositivo con malware.
Por ejemplo, los delincuentes pueden adjuntar un archivo al mensaje de correo electrónico, que al ser abierto, inyecta código malicioso en el dispositivo de usuario.
Los kits de phishing evolucionan constantemente para evadir el software de seguridad.
Los modernos kits de phishing se venden como paquetes listos para usar tanto en la web oscura como en foros de delincuentes.
Cuentan con sofisticados sistemas de evasión de detección y filtrado de tráfico para garantizar que las soluciones de seguridad no los marquen como una amenaza.
También proporcionan logotipos de marcas, páginas de inicio de sesión realistas, e incluso páginas web dinámicas ensambladas a partir de un conjunto de elementos básicos.
Cómo detectar si un correo es un ataque Phishing
Una de las señales que nos indican que un mensaje puede ser un intento de estafa es su contenido genérico: en vez de mencionar nuestro nombre completo, nos llaman cosas como estimado cliente o similares.
Algunos incluso incluyen un número de referencia escrito al azar para darle mayor credibilidad al invento.
Ninguna empresa, tendría la poca profesionalidad y la descortesía de tratar a un cliente como un número y no llamarle por su nombre.
La mayoría de compañías legítimas utilizan direcciones de correo electrónico corporativas con un nombre de dominio propio.
Un banco, red social o cualquier corporación, nunca usará un correo gratuito, como Hotmail, Gmail o similares, para ponerse en contacto con un cliente.
Otra forma que tienen los ciberdelincuentes de engañar a sus víctimas simular un correo corporativo, usando nombres de dominio similares, normalmente gratuitos y registrados para la ocasión.
Por ejemplo: clientes @banco.tk, cuando en este caso la dirección real del remitente sería: clientes @banco.com.
Los mensajes recibidos a través de servicios como WhatsApp, Twitter o Facebook, en los que ofrecen cupones de descuento o premios rellenando un formulario con datos personales, son otra manera de estafa.
El Vishing, es una forma de phishing que se perpetra a través de medios de comunicación mediante voz.
Para ello utilizan un sistema de respuesta de voz fraudulento para recrear una copia legítima de un sistema de IVR (sistema telefónico capaz de recibir una llamada e interactuar con el humano a través de grabaciones de voz) de un banco u otra institución.
Otras veces, son los propios estafadores quienes se ponen en contacto directamente con la víctima, haciéndose pasar por el servicio de atención al cliente del banco u otro servicio.
{html5video width=[100%;] height=[auto;] controls=[1] autoplay=[0] preload=[auto] poster_visibility=[1] loop=[0] video_mp4=[https://www.infosegur.net/images/videos/Ejemplo%20de%20fraude%20telef%C3%B3nico.mp4" type="video/mp4] poster=[https://www.infosegur.net/images/posters/Ataques_de_ingeniera_social.webp]}
Otra táctica común es dejar mensajes de voz amenazantes instando al destinatario a que devuelva a llamada de inmediato, bajo pena de ser arrestado, cerrarle la cuenta bancaria, etc.
Evitar caer en la trampa
Uno de los errores más frecuentes que podemos cometer es entrar en pánico y no reflexionar.
Si, por ejemplo, recibimos un correo, mensaje o llamada en la que nos dicen que nuestra cuenta bancaria ha sido bloqueada y que para restaurarla hay que realizar alguna acción urgente, el siguiente paso lógico debería ser ponernos en contacto con nuestro banco o acceder directamente a la cuenta, para comprobar si existe o no algún problema.
En caso de poder operar con normalidad, estaríamos ante un caso de intento de estafa.
Lo mismo puede aplicarse a cualquier otro servicio como por ejemplo Facebook, Twitter, nuestro proveedor de internet o las empresas de suministros como el agua o la electricidad.
También tenemos que tener muy claro que tanto nuestro banco, como otros servicios, nunca nos van a solicitar nuestro nombre de usuario y contraseña mediante correo electrónico, teléfono u otro tipo de forma de comunicación.
Las notificaciones de multas, pago de impuestos y otros temas administrativos, se hacen mediante correo certificado.
La policía, tampoco va a comunicarse con nosotros mediante correo electrónico o ventanas emergentes que aparecen de repente mientras navegamos por internet, exigiéndonos el pago de una multa mediante Bitcoins.
Si hemos cometido un delito telemático, seguramente sufriremos la desagradable y traumática experiencia de ver como revientan la puerta de nuestro domicilio, para confiscarnos el ordenador y todos los medios de almacenamiento externos, con una orden judicial en la mano.
Páginas web que imitan a las originales
Otra cosa a tener en cuenta es que un dominio de Internet, es un nombre único e irrepetible que se le da a un sitio web para qué las marcas (propietarias de dichas páginas) sean identificadas de manera cómoda y sencilla por los usuarios y sus clientes.
Al considerarse como exclusivo, solo habrá una empresa, compañía, organización o persona con dicho nombre.
Para asegurar esto, existen organizaciones como IANA e ICANN.
En caso de duda, siempre podemos intentar verificar si una página web es quien dice ser, introduciendo su URL en estos servicios.
En phishbank.org, también se puede comprobar si nuestra solución de seguridad bloquea las páginas de phishing.
Enlaces sospechosos
Se puede detectar un vínculo sospechoso si la dirección de destino no coincide con el contexto del resto del correo electrónico.
Por ejemplo, si recibimos un correo electrónico de Netflix, lo más lógico es que el enlace nos dirija a una dirección que comience con «netflix.com».
Desafortunadamente, muchos correos electrónicos, tanto falsos como legítimos, ocultan la dirección de destino en un botón, por lo que no se puede saber de inmediato a dónde dirige el enlace.
Afortunadamente, es sencillo saberlo:
- En un ordenador basta con pasar el mousse sobre el botón, y la dirección de destino aparecerá en la parte inferior del navegador.
- En un dispositivo móvil, hay que mantener presionado el botón y aparecerá una ventana emergente con el enlace.
Qué hacer si has caído en la trampa
En caso de haber sido víctima de un fraude de tipo phishing, intenta recopilar toda la información que te sea posible: correos electrónicos, registro de llamadas, documentación enviada, etc.
Para los casos de phishing bancario, contacta con tu oficina para informarles de lo sucedido.
También puedes cancelar la tarjeta de crédito cuyos datos hayas proporcionado, llamar al INCIBE al 017 o informar del posible delito a las unidades tecnológicas de Policía Nacional o Guardia Civil.
Adicionalmente, modifica la contraseña de todos aquellos servicios en los que utilices la misma clave de acceso comprometida.
Emplear la misma contraseña para todos los servicios en línea puede parecer muy cómodo, pero es una pésima idea.
Si un pirata informático se hace con ella, podrá acceder a todas tus cuentas.
