El phishing es un ciberataque que se combate con sentido común

Las innovaciones siempre evolucionan a mayor velocidad que las adaptaciones de los jugadores del entorno digital. Cada uno de estos gaps es aprovechado por los ciberdelincuentes para sacar todo tipo de rédito económico, y al mismo tiempo es utilizado por las víctimas para impulsar sus sistemas de seguridad; para acogerse a antivirus contra malwares y amenazas de phishing. Se trata de una lucha virtual que no parece tener fin, y que cada año deja alegrías y tristezas en un mercado legal que ya mueve millones de dólares al año.

De acuerdo con los resultados arrojados en el informe “Incidentes de ciberseguridad industrial en servicios esenciales en España”, dirigido por Checkpoint y el Centro de Seguridad Industrial (CCI), solo en 2018 se registraron en nuestro país más de 33.000 casos de ciberataques a instituciones públicas y empresas de carácter estratégico. Este aumento del 25% incide con dureza sobre aquellas compañías que manejan y administran datos económicos y sociales sensibles. Pero también sobre autónomos y emprendedores.

Casi 8 de cada 10 empresas catalogadas como “estratégicas” en España, se sienten vulnerables hacia los ataques en la red, y el 41% creen que el Internet de las Cosas, el llamado IoT que cada año penetra con más efusividad en el tejido empresarial tecnológico, será el principal canal de ciberagresiones. “Más del 50% de los entrevistados conocen incidentes ocasionados por malware o ataques dirigidos, en cambio solo el 7% conoce incidentes que han comprometido información”, apunta el documento. Ahora bien, este último porcentaje, el enfocado sobre el robo de datos, es el más fácil de reducir.

Pescando información: la compleja amenaza del phishing

Es habitual que la empresa trampeada se vea embargada por un sentimiento de culpabilidad. Al fin y al cabo, caer víctima de un ciberataque es sinónimo de falta de preparación; las medidas de seguridad han fallado por algún motivo, y estas a su vez dependen de un departamento y un equipo especializado. “Un incidente de seguridad puede ser visto como un fracaso, puesto que la medida para responder a la amenaza no era adecuada o ni siquiera se había contemplado.” En el caso del phishing, esta sensación se ve incrementada por la sencillez de las medidas recomendadas para su prevención.

Simon Hunt, vicepresidente de Mastercard Global, aseguraba, en el último Cybersecurity & Risk Summit, que entre el 82 y el 93% de los usuarios ven la ciberdelincuencia como una actividad programada con alevosía contra determinadas firmas. Sin embargo, la profesión del hacker es más oportunista que selectiva, y el phishing es la mejor muestra de ello. La “pesca de datos” se sustenta sobre los principios de la ingeniería social para colarse en las estructuras de las empresas ignorando medidas y defensas de tipo digital.

En este tipo de amenazas no se tienen en cuenta factores de innovación tecnológica, sino habilidades cognitivas. Es cierto que las empresas pueden adoptar medidas para evitar el suplantamiento de identidad, pero termina siendo el usuario el que debe escapar de cebos maliciosos. Parece sencillo, y sin embargo, los resultados del estudio State of Phish impulsado por Proofpint, son bastante alarmantes: un 55% de las organizaciones de todo el mundo sufrieron alguna clase de phishing en 2019. El 88% padeció la mencionada suplantación de identidad, mientras que el 86% sufrió compromisos del e-mail corporativo (BEC).

"El correo electrónico es el principal vector de ciberataques, y los ciberdelincuentes de hoy en día se dirigen insistentemente hacia personas de alto valor que tienen acceso privilegiado o manejan datos confidenciales dentro de una organización", apunta Joe Ferrara, director general de Capacitación en Concienciación de Seguridad de Proofpoint.

Parece, así, que la pesca de datos siempre recurre a los mismos métodos, pero nada más lejos de la realidad. Y es que, cualquier plataforma susceptible de alojar información bancaria o privada, es diana para los phishers. Desde las redes sociales (un 86% de las empresas fueron atacadas por aquí), pasando por los SMS (el 84% sufrió el denominado smishing), hasta phishing de voz (un 83% padeció vishing). ¿Qué hacen las empresas cuando caen víctimas de los hackers? Las formas de actuación son variadas, y normalmente siguen lógicas de urgencia nada favorables para quien pretende defenderse.

El 33% de los responsables apuestan por pagar el rescate solicitado, mientras que el 32% se resisten buscando otras soluciones que no reconozcan la derrota ante el ciberdelincuente. Esta última postura está demostrando ser más eficaz que la primera, reconociendo que no se puede depositar ningún tipo de confianza sobre un individuo o un colectivo que actúa con impunidad y sin trazos éticos visibles. No extraña que el 22% de las empresas que aceptaron pagar un importe por recuperar el acceso a sus datos, nunca consiguieran esa importante información de vuelta.

¿Cómo se presenta?

Se denomina phishing a la técnica por la que un atacante suplanta la identidad de una compañía, para conseguir información privada de un usuario. Con ese objetivo se crean webs duplicadas, se envían SMS o incluso se crean mensajes de alerta que empujan a actuar con premura evitando sopesar la información maliciosa. Una vez que se abre el link ya no hay nada que hacer; el phisher ya tendrá los datos financieros que necesita para robar de cualquier forma.

Es el usuario el que come el cebo, y por tanto no hay ninguna táctica de agresión que haga de intermediaria. Lo que sí es común es la presencia de un carácter ingenuo en la víctima, y la suma de decisiones fortuitas a través de todo el viaje simulado de suscripción o compra. En 2017, un virus de tipo ransomware llamado WannaCry, puso en alerta internacional a cientos de compañías industriales. Una pantalla en negro aparecía en más de 300.000 sistemas, y de ella resurgía un mensaje que alertaba de una encriptación de documentos. Se trataba de un engaño dispuesto en más de 30 idiomas que robó 300 dólares (bitcoins) por secuestro en miles de ordenadores.

Este caso puso en alerta a las administraciones y compañías de todo el mundo, pero pudo haber sido prevenido con facilidad, de haberse conocido las pistas indicadas a seguir. El WannaCry funcionó porque basaba su efectividad en la premura; junto al vocativo amenazante aparecían dos cronómetros con sendas cuentas atrás para realizar el pago, y para la supuesta destrucción de los archivos. La URL en la se alojaba el mensaje, al igual que en muchos otros casos, no presentaba el certificado de seguridad simbolizado con el famoso “https”. Ese es el primer hilo del que se debe tirar para prevenir.

Una vez que se accede al link propuesto desde un SMS o un e-mail determinado, se llega a la réplica de la web que el phisher pretende emplear como canal de soborno camuflado. Las direcciones suelen emplear palabras baúl como “info”, “contacto” o “redacción”, seguida del nombre de la empresa. En el caso de los mensajes de texto, se tiende a adoptar el mismo tono corporativo que la compañía suplantada, camuflándose así el envío entre la bandeja de entrada de la víctima. Con el paso de los años, los hackers se han ido perfeccionando gracias al uso de la Inteligencia Artificial.

“Las campañas de correo electrónico maliciosas están dominadas por dos técnicas: el phishing y el spear phishing”, argumenta Adam Kujawa, director de Malwarebytes Labs. “‘Phishing’ es cuando un atacante planea una campaña de infección usando señuelos en el asunto del correo electrónico en el que cualquiera podría caer -un extracto de cuenta bancaria, un aviso de entrega de un paquete-. El ‘spear phishing’ consiste en recopilar datos sobre un objetivo y elaborar un correo electrónico más personalizado, maximizando la probabilidad de que el objetivo interactúe con el mensaje”.

Los atacantes, lejos de quedarse en metodologías fáciles de combatir, siguen innovando. Así nacía hace unos pocos años el vishing. “Las tácticas también pueden incluir llamadas telefónicas usando servicios de voz sobre IP (VoIP) y extenderse a amigos, seres queridos y empleados”, continúa. “Este tipo de ataque no es un enfoque nuevo, sólo automatiza lo que las víctimas ya experimentan. Los trolls y acosadores suelen pasar mucho tiempo reuniendo información para usarla contra sus objetivos”. El phisher se pone en contacto con la víctima haciéndose pasar por su banco o incluso Hacienda, y lanzan su amenaza disfrazándola de multa. Previsores, solicitan transferencias o tarjetas de prepago para evitar el rastreo posterior.

Protégete del phishing

Los lugares de actuación de los atacantes son comunes, y así también lo son las actitudes a tomar para salvaguardarse. Mientras las empresas recurren a refuerzos en sus sistemas de ciberseguridad, los usuarios pueden aprehender una serie de consejos sencillos y muy prácticos. El momento de seguirlos dependerá del tipo de web o canal que se esté transitando; con especial énfasis a sitios de bancos, redes sociales, pasarelas de pago online, juegos en la red y webs de compraventa.

A partir de ahí, es crucial detenerse y estudiar determinados elementos del sitio. Empezando por su URL y el mencionado certificado de seguridad, y siguiendo por la ortografía y el funcionamiento de las animaciones insertadas en el sitio. Duda si alguno de esos elementos no entra dentro de la normalidad, y si has llegado hasta ahí tras leer un aviso relacionado con problemas técnicos, fraudes, cambios de políticas de seguridad, premios de sorteos, accesos no permitidos a tu cuenta, o incluso ofertas de empleo sospechosamente atractivas.

El último paso antes del desastre siempre será el pago. Desde distintos organismos e instituciones se lleva ya varios años alertando de los peligros que supone realizar cualquier tipo de transacción monetaria en Internet. De hecho, el phishing tiene a esta actividad como su principal diana. Evitando realizar cualquier tipo de desembolso o cesión de datos, escaparás de los atacantes. Y entendiendo que la compra sea necesaria, siempre se puede acudir a un buscador como Google para insertar cualquier palabra que pueda servir de pista.

Cuando la víctima ya ha caído en la trampa, las únicas vías de actuación restantes son paliativas. Lo primero que debes hacer es recopilar toda la información posible del sitio en el que has sido estafado haciendo uso de testigos online que posteriormente serán útiles como prueba ante el juez. Tras eso es imperativo presentar una denuncia ante las Fuerzas y Seguridad del Estado, para que el caso entre a través de los cauces legales pertinentes.

En Yoigo Negocios somos conscientes del daño que genera la lacra del phishing, y por eso adoptamos una postura pedagógica para divulgar los consejos de prevención más prácticos. Si quieres estar al día de todas las novedades relacionadas con la ciberdelincuencia, no dudes en visitar nuestra web o llamar al teléfono 900 676 535 para hacerte con la mejor conexión, y obtener información de manera instantánea.