El phishing (o suplantación de identidades) es el término empleado cuando un cibercriminal envía algún tipo de mensaje de correo electrónico con la intención de que su víctima realice algo inseguro. Si el medio a emplear difiere del correo electrónico su nombre varía ligeramente, como Vishing (sobre teléfono, es decir, phishing sobre Voz).

La palabra phishing proviene del inglés “fishing” (pescar) por lo que crea una clara metáfora con el cebo y la pesca.

Los estafadores que realizan este tipo de delito, comúnmente llamados phishers, normalmente utilizan el correo electrónico, porque es muy sencillo disfrazar los mensajes para que parezcan reales, además de su bajo coste. Si lo comparamos con, realizar llamadas de teléfono, el email es, con diferencia, muchísimo más barato y con capacidad de ser masivo, enviando cientos de miles o millones de correos.

Pero los ataques de phishing también pueden surgir en las redes sociales, SMS o aplicaciones de mensajería. ¿Quién no recuerda los “posts” en redes sociales que aseguran que por hacer un like participaremos en el sorteo de un coche de alta gama o los anuncios de gafas de marca por precios muy reducidos?

Estos son algunos ejemplos del tipo de engaños realizados por los phishers:

  • Recibes una factura detallando una pequeña compra en una famosa tienda online, en la que se incluyen los correspondientes logos oficiales. Al final aparecen dos botones de aspecto totalmente legítimo que dicen [Cancelar este cargo] y [Detalles de la compra]. Como sabes que no has realizado la compra, la tendencia es hacer clic. Pero si lo hace acabarás accediendo a la página del impostor y dando tus credenciales de acceso a los estafadores.
  • Recibes un correo electrónico en el que alguien contesta a una oferta de trabajo que está actualmente publicada en la web de la empresa. Adjunto envía el CV en un fichero, pero si lo abres infectarás tu ordenador con el malware que contiene.
  • Recibes un correo electrónico en el que te invitan a participar en una encuesta a cambio de un cupón descuento para un iPhone o unas vacaciones. El problema es que al participar te piden información personal como tu nombre, dirección, o número de la tarjeta de crédito, datos que normalmente no darías.
  • Recibes un email de tu banco de confianza (con sus logos, formato, etc…) indicando que debido a un error informático, han perdido los datos de tus tarjetas y que, de no acceder para reintroducirlos, dejarán de estar operativas en unos días. Evidentemente, la web donde se introducen los datos no pertenece al banco.

¿Qué hacer?

El phishing puede ser complicado de detectar. No siempre nos dan pistas claras como errores gramaticales o faltas de ortografía. Hasta hace poco, debido a que los emails eran traducciones automáticas, eran realmente extraños al leerlos. Lamentablemente, los phishers van mejorando y cuentan con departamentos de traducción, por lo que ya es muy difícil detectarlos por esta vía.

También pueden conocer tu nombre y dirección, por lo que pueden personalizar el ataque haciéndolo mucho más creíble. ¿De dónde los sacan?: hay bases de datos a la venta online por muy poco dinero, pero muy posiblemente hayamos sido nosotros quienes les dimos los datos al suscribirnos a alguna supuesta promoción, etc…

Los siguientes consejos os ayudarán a protegeros de este tipo de ataque:

  1. No introduzcas credenciales de autenticación en enlaces que recibes por correo electrónico. Introduce directamente el URL o marca como favoritas las páginas a las que normalmente accedes. Si tienes dudas, usa el buscador, escribiendo el nombre de la tienda online, banco, etc… y revisa los resultados. En los primeros puestos suele venir bien su publicidad o el enlace a su web. Siempre debemos ser nosotros quienes accedamos al servicio, nunca clicando lo que el correo indica.
  2. Evita abrir los ficheros adjuntos que recibes por correo electrónico, especialmente si vienen de gente que no conoces, incluso si trabajas en recursos humanos o en finanzas.
  3. Crea una dirección de correo electrónico dentro de tu empresa como por ejemplo seguridad@ejemplo.com a la que los empleados puedan reenviar los correos electrónicos en caso de duda y esté gestionado por expertos en ciberseguridad para que ellos puedan validar los adjuntos (abriéndolos de forma segura y analizándolos). Por otro lado, si tu departamento de seguridad es informado, podrá evitar que otros compañeros caigan en el phishing, pues muy posiblemente, les haya llegado a varios a la vez.

En caso de duda, no lo hagas. Tus datos personales valen más que una mínima posibilidad de conseguir un iPad.

Fuente: Sophos Iberia