El término ‘phishing’ es sinónimo de suplantación de identidad. Y a través de esta técnica, los ciberdelincuentes persiguen obtener información confidencial o infectar los equipos con ‘malware’. Podemos definirlo como un tipo de fraude en las telecomunicaciones que emplea trucos de ingeniería social para obtener datos privados de sus víctimas.
El phishing es un término originado en inglés (pesca) que en informática es un tipo de robo de identidad en línea. Esta acción fraudulenta se caracteriza por intentos de adquirir ilícitamente los datos personales de otra persona, ya sean contraseñas, datos financieros, datos bancarios, números de tarjetas de crédito o simplemente datos personales.
Este es el engaño del que el phishing obtiene su nombre: el ciberdelincuente sale de «pesca» («fishing», en inglés, con la misma pronunciación que «phishing») con un «cebo» atractivo para ver si alguna víctima pica en el vasto «océano» de los usuarios de Internet. Las letras ph de «phishing» proceden de una afición de mediados del siglo XX, el llamado «phone phreaking», que consistía en experimentar con las redes de telecomunicaciones para averiguar su funcionamiento. Phreaking + fishing = phishing.
El estafador utiliza correo electrónico, aplicaciones y sitios web que están diseñados específicamente para robar datos personales. El delincuente se hace pasar por una persona o empresa de confianza enviando un mensaje para atraer a sus víctimas. Por lo tanto, al enviar un mensaje a un correo electrónico, aplicación u otras herramientas, el estafador simplemente espera hasta que el destinatario lo recibe y abre el mensaje. En muchos casos, esto es suficiente para que la víctima caiga en la estafa. En otros, es necesario que la víctima haga clic en un enlace determinado para que el delincuente tenga acceso a la información que desea.
“Como en una pesquería real, hay más de una forma de enganchar a una víctima y este tipo de delito se está volviendo cada vez más sofisticado. Los estafadores digitales se han vuelto bastante expertos en hacer que los correos electrónicos fraudulentos se vean exactamente como los legítimos, a menudo de empresas o establecimientos con los que está familiarizado y en los que confía. Los correos electrónicos de phishing comúnmente se hacen pasar por empresas, pero las cuentas de redes sociales también son un objetivo de tendencia, ya que muchos usuarios son más descuidados a la hora de protegerlas”, afirma Dean Coclin, director senior de desarrollo empresarial de DigiCert
Los phishers perseguirán a cualquiera, pero tienden a apuntar a CEO y CFO, firmas legales, recursos humanos e instituciones financieras. Además, en los últimos años las tiendas online y las redes sociales han visto un aumento de los ataques. Estos grupos tienen datos de clientes e información confidencial que los atacantes buscan y necesitan estar en alerta máxima para protegerse de las estafas de phishing.
GLOBAL: Más del 90% de las empresas tuvo que robustecer su seguridad IT en pandemia
Ciberseguridad: aprendizajes y desafíos
La diferencia entre phishing y spam
Si bien muchas personas creen que es lo mismo, el phishing es muy diferente al spam. En la práctica, mientras que el spam solo se relaciona con una gran cantidad de correos electrónicos y mensajes, sin ningún fin delictivo, el phishing, como se ve, es una práctica que tiene como objetivo dañar a la víctima, accediendo a datos e información personal.
El spam es generalmente bastante común en Internet. Todos los días, innumerables mensajes de sitios web, tiendas y aplicaciones llenan la bandeja de entrada de la mayoría de los usuarios. Solo crea el inconveniente de la desorganización de la bandeja de entrada, pero no representa ningún riesgo para el destinatario.
Por otro lado, el phishing utiliza el envío de mensajes masivos para engañar al objetivo, induciéndolo a hacer clic en enlaces falsos y / o proporcionar información personal, siempre con el objetivo de dañar a la víctima.
Phishing en América Latina
En este contexto la compañía Sophos, en su encuesta global Phishing Insights 2021, revelo que los ataques de phishing aumentaron considerablemente durante la pandemia, ya que millones de empleados que trabajaban desde casa se convirtieron en el principal objetivo de los ciberdelincuentes. La gran mayoría de los equipos de TI de las organizaciones encuestadas en México (61%), Colombia (66%) y Chile (69%) informaron que la cantidad de correos electrónicos de phishing que llegaron a sus empleados aumentó durante 2020; En Israel, el 90% reportaron aumentos, siendo este el país con el crecimiento más significativo. En cuanto a sectores, el incremento más alto a nivel mundial se presentó en: gobiernos (77%), servicios comerciales y profesionales (76%) y atención médica (73%), seguidos de cerca por los sectores minorista y educativo con un 71%.En el año 2020 en Brasil y Latam los correos electrónicos no deseados promediaron un poco más del 50% de todo el tráfico de correo electrónico global.
Además, PhishLabs identificó un aumento del 47% en los intentos de phishing de 2020 a 2021. Se han vuelto demasiado comunes: esos molestos correos electrónicos que inundan las bandejas de entrada, diseñados solo para desviar la información personal y más sensible sin que el usuario lo sepa.
Cómo protegerse a sí mismo y a su empresa del phishing
Fraude del CEO. Esta estafa se lleva a cabo suplantando al líder de una organización. Mediante un correo electrónico, se solicita información confidencial como cuentas de la empresa, salarios de empleados, datos de clientes, etc.
Uso compartido de archivos. Las solicitudes fraudulentas para acceder a archivos en cuentas de DocuSign y Dropbox están aumentando. Los ciberdelincuentes intentan engañar a los usuarios para que cliquen en vínculos peligrosos.
Estafa del amor. Los estafadores publican anuncios falsos en Internet, o se hacen pasar por el conocido de un amigo en las redes sociales, para buscar pareja. Lo que comienza siendo una relación sentimental acaba con solicitudes de dinero u obsequios costosos.
Phishing móvil. Los ciberdelincuentes distribuyen aplicaciones móviles falsas que recopilan información personal en segundo plano o envían mensajes de texto que contienen vínculos peligrosos.
Encuestas. En ocasiones, los internautas reciben correos electrónicos o mensajes solicitando que participen en una encuesta. En estos supuestos deben extremarse las precauciones, ya que los enlaces incluidos pueden infectar los equipos con malware.
Archivos adjuntos. En los ciberataques de ingeniería social se intenta que las víctimas descarguen archivos adjuntos peligrosos. Conviene ser cauto y no descargar ningún archivo si el remitente de un correo electrónico no es de confianza.
Algunos consejos en defensa contra estafas de phishing
En lugar de hacer clic en un enlace en un correo electrónico, abra una nueva página del navegador y escriba la dirección / URL del sitio que desea visitar. A veces, un enlace fraudulento será muy similar a uno de confianza, simplemente cambiando algunas letras imperceptibles.
Actualice tanto su sistema operativo como el software del navegador. Las últimas versiones de la mayoría de los navegadores vienen equipadas con filtros anti-phishing. A medida que los atacantes idean nuevos ataques, las actualizaciones de software mejoran sus filtros.
Es una buena idea bloquear las ventanas emergentes cuando navega por Internet. Puede orientarse en la web sin la ayuda de direcciones no solicitadas.
Nunca ingrese información personal en ventanas emergentes a menos que esté completamente seguro de que provienen del sitio deseado.
Para el uso diario de la computadora, utilice una cuenta de usuario estándar en lugar de una cuenta de administrador. Cambie a la cuenta de administrador solo cuando las funciones de administrador sean necesarias. Esto protege su computadora al reducir el acceso a funciones administrativas críticas.
Elimine y no abra los mensajes de correo electrónico sospechosos. Puede ser tentador y, a veces, la línea de asunto puede ser pegadiza o tan genérica que desea obtener más información, pero evite la tentación y simplemente elimínela.
Acepte solo certificados de confianza en páginas web. No ignore las advertencias del navegador. A veces recibimos tantas advertencias de nuestra computadora o navegador que es casi como el niño que gritó lobo. No descarte simplemente las advertencias que cree haber visto sin leerlas detenidamente y considerar las implicaciones.
No haga clic en enlaces que lo llevarán a un sitio o una dirección IP desconocidos.
Esté atento a las advertencias no seguras del navegador. Por ejemplo, Chrome muestra un triángulo de advertencia con «No seguro» en la barra de direcciones si un sitio no tiene habilitado el protocolo de seguridad HTTPS. Habilite la protección contra malware. Por lo general, esto puede detectar y disuadir la mayoría de las amenazas sin necesidad de hacer nada.
En general, si recibe un correo electrónico de phishing, no lo abra, no haga clic en ningún enlace o archivo adjunto y elimínelo de inmediato. Si sigue recibiendo correos electrónicos sospechosos, infórmelos al Grupo de trabajo Anti-Phishing (APWG).
Asimismo, las organizaciones pueden protegerse contra el phishing habilitando la autenticación, informes y conformidad de mensajes basados en dominios (DMARC). DMARC es un protocolo de correo electrónico que dicta la autenticación y los informes de correo electrónico para ayudar a prevenir el phishing y la suplantación de identidad.
Una vez que haya habilitado y aplicado DMARC, la organización puede solicitar un Certificado de marca verificada (VMC) que le permite poner su marca en el marketing y las comunicaciones por correo electrónico. Un VMC le permite representar el logotipo de su marca en el campo del remitente de los clientes de correo electrónico para que los usuarios sepan que su mensaje ha sido autenticado. Es similar a ser verificado en las redes sociales, con los beneficios de seguridad adicionales de la validación y DMARC para proteger contra el phishing.
