El phishing. Una ciberamenaza muy actual | Albert Mesa

Share on facebook
Share on twitter
Share on linkedin

Como continuación del artículo sobre los delitos informáticos que publiqué en este mismo medio. Hoy quisiera hablar sobre el Phishing.

Este delito se comete generalmente por medio del robo de identidad, en el que criminales con conocimiento técnicos, los usan para engañar a las personas con el fin de obtener las contraseñas o claves personales de forma fraudulenta y así acceder a información confidencial.

Los datos que se roban por este método son: Datos personales (contraseñas, número de documentos de identidad, datos de localización y contactos), información financiera (número de tarjetas de crédito, número de cuentas corrientes e información de comercio electrónico), credenciales de acceso (redes sociales o correo electrónico)
Los medios más comunes usados por los ciberdelincuentes para esta actividad son: El correo electrónico, las redes sociales, los SMS/MMS, llamadas telefónicas o la infección por malware.

El usuario cree estar enviando sus datos a un sitio de confianza cuando en realidad los está mandando al atacante. Para lograr este objetivo, el atacante usa técnicas de ingeniería social para engañar al usuario y que este le confíe sus datos.

El ejemplo más claro de lo anterior es el acceso a datos de las tarjetas de crédito o de la cuenta bancaria con el fin de cometer el delito de estafa o incluso con el fin de vender esta información.

Según la memoria presentada por la Fiscalía General, las actuaciones por ciberdelitos que corresponden a conductas de carácter defraudatorio, alcanzan un porcentaje de alrededor del 80% del total de procedimientos registrados en este ámbito en los últimos 3 años.

¿Cómo identificar el Phishing?
Por regla general el ciberatacante pone en juego sus dotes técnicas y persuasivas para que su víctima caiga en el engaño y utiliza dos factores principalmente:

Una es una amenaza más o menos explícita o velada que se sustancia por regla general en el bloqueo de una supuesta cuenta corriente, multas o sanciones.

La otra es la premura exigida en la respuesta. Se nos apremia a que, si en un corto período de tiempo no respondemos a la acción que se nos demanda, se ejecutará la amenaza.

También se han dado casos de phishing, en los que se pide a la víctima la revisión de un documento inserto en el mensaje, un supuesto premio o la obtención de un bono de una cantidad de dinero importante en una tienda o supermercado.

¿Cómo evitar caer en el Phishing?

Las actuaciones para evitar caer en esta ciberestafa se podrían agrupar en tres momentos o fases:

Preventivas: Serían unas series de acciones encaminadas a minimizar el riesgo.

• Contar con un buen software antivirus instalado en el ordenador que sea capaz de monitorizar los sitios fraudulentos y el correo electrónico entrante.
• Instalar las actualizaciones del software que tengas instalado y siempre desde sitios legítimos. Generalmente estas actualizaciones llevan parches que mejoran la seguridad.
• Usar contraseñas seguras y nunca las mismas para las distintas aplicaciones que usemos. Si un ciberatacante lograra descifrar una en una de nuestras aplicaciones, sería capaz de entrar en toda las demás
• Evitar usar redes inalámbricas públicas para hacer compras o pagos. El riesgo de que se intercepten dichas comunicaciones por un ciberatacante no son nada despreciables. En caso de hacerlo, usar tarjetas de crédito y nunca de débito o plataformas como PayPal donde se pueda revertir el pago realizado.

Si ya has recibido un documento sospechoso: Tanto la Agencia Tributaria como las entidades financieras o Correos, nos advierten continuamente que ellos jamás nos pedirán nuestras credenciales mediante métodos electrónicos.

Teniendo en cuenta esto ¿Qué precauciones hay que tomar de todos modos?

• Si el mensaje contiene un enlace a una página web, observa atentamente la dirección y si tienes dudas busca en internet la página oficial de la compañía en cuestión o llámales por teléfono y pregunta.
• Hay que estar muy atento a lo que se llama “typosquatting” Siguiendo con la verificación de las direcciones, el typosquatting se refiere al uso de dominios parecidos al servicio legítimo a los que dicen pertenecer, pero que tienen intenciones maliciosas.
Por lo general los ciberdelincuentes utilizan URL (es la dirección única y específica que se asigna a cada uno de los recursos disponibles de la World Wide Web para que puedan ser localizados por el navegador y visitados por los usuarios) de una marca popular y cambian tan solo una o dos letras consiguiendo engañar a la mayoría de las personas. Es necesario revisar muy cuidadosamente la ortografía de las URLs.
• Ten precaución en descargar archivos adjuntos en los correos electrónicos o en las redes sociales, pueden instalar en dispositivo malware.
• En los correos electrónicos, pulsa sobre la dirección del remitente. Por lo general lo que se muestra en el correo oculta la verdadera dirección de quien lo ha enviado. El correo electrónico puede mostrar “CaixaBank” por ejemplo, pero la dirección del correo electrónico nada tiene que ver con esa entidad financiera. (observa el ejemplo que sigue)
• Revisa la ortografía y la sintaxis del texto. Muchas veces los ciberatacantes son extranjeros y usan traductores “on-line”. Sospecha siempre de una mala redacción y de faltas de ortografía.
• Nunca respondas al correo electrónico, SMS o WhatsApp sospechoso. Respondiendo solamente certificas que esa dirección o cuenta es verídica y activa.

Permíteme amable lector, que a modo de ejemplo comparta contigo una captura de pantalla de un correo electrónico con intención de phishing que recibí en mi cuenta e ilustra bien el modelo que siguen los ciberdelincuentes. Tiene el estilo clásico de un intento de phishing.

Por razones de seguridad informática he ofuscado mi dirección de correo electrónico en el campo “Para:” y en el saludo del texto.

Analicémoslo con un poco de detenimiento y veremos una serie de cosas que llaman mucho la atención y nos deben poner en guardia:

• Lo primero que se observa y es ya en si es muy sospechoso, es el hecho que yo jamás he tenido una cuenta en Caja Rural. Ese ya sería motivo más que suficiente para que vaya directo a la papelera sin más consideraciones. Pero sigamos.
• Observando la dirección de correo electrónico del emisor ya podemos sacar algunas conclusiones más. Originalmente aparecía como “Servicio al cliente” y solamente haciendo un clic sobre ella aparece la dirección que hay debajo y que es: postmaster@www3874.sakura.ne.jp. Al parecer, Caja Rural tiene su servicio de atención al cliente en Japón. ¡Sorprendente y sospechoso!
• Observa también el tono amenazante/perentorio del texto. Es todo un clásico.
• Observa también en el texto. La frase: “Este es el último recordatorio para iniciar sesión en su cuenta y cancelar la transacción si no es el origen”. No parece ser muy clara para alguien que hable un español correcto. (las he visto peor redactadas)
• Y también observa el enlace que nunca hay que pulsar. Puede que este te dirija a una página web del ciberdelincuente donde capturará tus credenciales o que instale en tu dispositivo un malware que tome el control de tu dispositivo. ¡Mucho cuidado, por favor!

Y si a pesar de todo te han pescado. ¿Cómo actuar ante el phishing? No te sientas culpable ni te avergüences. Nadie estamos a salvo de los ciberdelincuentes que cada día hacen que sus ataques sean más sofisticados, pero: ¡Actúa!

• Cambia inmediatamente todas las contraseñas por otras que sean seguras y difíciles de “adivinar”.
Hay ciertas normas de seguridad para la generación de contraseñas como que: Tengan cierta longitud, no incluyan tu nombre, que lleven mayúsculas y minúsculas, que incluyan algún número y algún símbolo. Cuanto más larga sea tu contraseña, más dificultará un ataque de “fuerza bruta” para descubrirla.
• Si implica un riesgo financiero, llama a tu entidad bancaria inmediatamente.
• Denuncia siempre a la Policía Nacional, la Guardia Civil o en el juzgado de guardia. En este punto quisiera remitirte a los consejos que di en mi artículo anterior de cómo actuar para facilitar la identificación y persecución de los cibercriminales. Te dejo el enlace a mi artículo anterior por si deseas consultarlo:
https://adelanteespana.com/las-amenazas-informaticas-albert-mesa-rey

Una vez más amable lector, deseo que nunca te halles en una situación como esta, pero como decía en el otro artículo, la generalización de la informática y el acceso a Internet es un hecho que ha venido para quedarse. Internet como casi todo en este mundo ni es bueno ni es malo, es el uso que le da cada usuario lo que hace de él lo que es.

Difundir las bondades, pero también y sobre todo los peligros que la red ofrece, ayuda a estar todos más seguros, en especial a aquellos que la revolución digital nos llegó ya de mayores, pero también a aquellos que han nacido con ella y aun no son plenamente conscientes de sus peligros.

Mis consejos finales son:

• Ante la duda, antes de actuar, apela siempre a tu sentido común o busca el asesoramiento del que sabe.
• Si algo es demasiado bueno para ser verdad, probablemente no lo sea.
• Cuando un producto es gratis, el producto eres tú.

En un futuro artículo te hablaré de otro ciberdelito que está a la orden del día, el ransomware. Gracias por leerme y hasta entonces.

Albert Mesa Rey | Escritor