¿Cómo evitamos los ataques de phishing o suplantación de identidad?

La evolución de toda tecnología parece ser muy positiva, pero también supongamos que surjan problemas como los ciberataques, hachkers o el phishing, concepto (y problema) en auge. ¿Qué significa el phishing y cómo se involucra este malware en nuestro día a día?

El phishing es un método que trata de recopilar información personal utilizando correos electrónicos y sitios web engañosos. El arma principal es el correo electrónico, con el que se pretende engañar al destinatario mediante la suplantación de identidad para que crea que el mensaje es algo que quiere o necesita (una solicitud de su banco, de un proveedor, de un cliente, de alguien de su propia empresa…). Y al hacer «click» de ratón en un enlace o descargar un archivo adjunto.

Lo que realmente distingue el phishing es la forma que toma el mensaje. Los atacantes se hacen pasar por una entidad ente confiable de algún tipo (usurpación de identidad). A menudo usan una persona real o que parezca que es real, o una compañía con la que la víctima podría hacer negocios. Es uno de los tipos de ciberataques más antiguos, que data de los años 90, y sigue siendo uno de los más generalizados y perniciosos, con mensajes y técnicas de phishing cada vez más sofisticados.

Solo debemos fijarnos en estas cifras: casi un tercio de todos los ciberataques en el último año fueron phishing. Para los ataques de ciberespionaje, las cifras se aproximan al 80%. Y lo que es peor, es que los atacantes están mejorando cada vez más, gracias a las nuevas herramientas y plantillas comerciales bien desarrolladas.

Tipos de phishing

Si hay un denominador común entre este tipo de ataques es la forma en que disimulan la usurpación de identidad. Los atacantes falsifican su dirección de correo electrónico para que parezca que proviene de otra persona, crean sitios web falsos que se parecen a los que la víctima confía y usan conjuntos de caracteres extranjeros para disfrazar las URL.

Propósito del intento de phishing

Hay diversas técnicas de phishing. Existen formas diferentes de dividir los ataques en categorías.

Una es por el propósito del intento de phishing. En general, una campaña de phishing intenta hacer que la víctima haga una de dos cosas:

Entregar información sensible. Estos mensajes tienen como objetivo engañar al usuario para que revele datos importantes, a menudo un nombre de usuario y contraseña que el atacante puede usar para entrar en un sistema o cuenta. La versión clásica de este tipo de phishing consiste en el envío de un correo electrónico a la medida para que parezca un mensaje de un banco importante. Al enviar el mensaje a millones de personas, los atacantes se aseguran de que al menos algunos de los destinatarios sean clientes de ese banco. La víctima hace clic en un enlace en el mensaje y es llevada a un sitio malicioso diseñado para parecerse a la página web del banco, y con suerte escribe sus credenciales con su nombre de usuario y contraseña. A partir de aquí, el atacante ahora puede acceder a la cuenta de la víctima.

Descargar malware. Este tipo de correos electrónicos de phishing tienen como objetivo lograr que la víctima infecte su propio ordenador con malware. Por ejemplo, se puede enviar algún mensaje a algún miembro del personal de Recursos Humanos con un archivo adjunto que simula ser el currículum. Estos archivos adjuntos suelen ser archivos .zip o documentos de Microsoft Office con código malicioso incrustado.

Spear phishing

Cuando los atacantes intentan elaborar un mensaje para atraer a un individuo específico, a eso se llama «spear phishing». La idea es de un pescador que apunta a un pez específico, en lugar de simplemente lanzar un anzuelo cebado en el agua para ver quién muerde. Los phishersidentifican sus objetivos (a veces usan información en sitios como LinkedIn) y usan direcciones falsas para enviar correos electrónicos que podría parecer que provienen de compañeros de trabajo. Por ejemplo, el phisher podría dirigirse a alguien en el departamento de finanzas y pretender ser el gerente de la víctima y solicitar una transferencia bancaria.

Whaling

El phishing de whaling (caza de ballenas), es una forma de phishing dirigido a los peces más grandes, como CEO’s u otros objetivos de alto nivel jerárquico. Muchas de estas estafas se dirigen a los miembros de la junta de una empresa, que se consideran vulnerables. Tienen una gran autoridad dentro de una empresa, pero como no son empleados a tiempo completo, a menudo usan direcciones de correo electrónico personales para la correspondencia relacionada con el negocio, lo que no tiene las protecciones que ofrece el correo electrónico corporativo.

Recopilar suficiente información para engañar a un objetivo de alto nivel jerárquico puede llevar tiempo, pero puede tener una recompensa sustancial. Un simple descuido de descarga de un keyloggers en un ordenador de un ejecutivo, puede representar un auténtico desastre para una compañía.

Otros tipos de phishing son el phishing de clones, vishing, snowshoeing

Cómo prevenir el phishing

La mejor manera de aprender a detectar correos electrónicos de phishing es verificar la ortografía de las URL en los enlaces de correo electrónico antes de hacer «click» con el ratón o escribir nuestras credenciales.

Se ha de tener especial cuidado con los redireccionamientos de URL, donde nos envían sutilmente a un sitio web diferente con un diseño idéntico.

Si recibimos un correo electrónico de una fuente que es conocida, pero parece sospechoso, comunicarse con esa fuente con un nuevo correo electrónico, en lugar de simplemente presionar responder.

Y sobretodo, no publicar datos personales, como la del cumpleaños, viajes de vacaciones o dirección o número de teléfono, públicamente en las redes sociales.

2 comentarios en “¿Cómo evitamos los ataques de phishing o suplantación de identidad?”

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *