_ Lidia Fernández
Al igual que existen los delincuentes en el mundo físico, también existen los “ciberdelincuentes” en Internet, y están interesados principalmente en robar nuestra información.
Una de las formas en que los ciberdelincuentes roban nuestra información privada es engañándonos para que nosotros mismos se la proporcionemos. Este tipo de engaños se denomina “Phishing”, y aunque parezca mentira, es muy fácil caer en ellos. Además, para los ciberdelincuentes es muy fácil realizarlo, por lo tanto, debemos estar en alerta.
¿Qué es el Phishing?
En muchas ocasiones, se recibe en el correo electrónico algún mensaje enviado por alguna empresa conocida (normalmente entidades bancarias, de telefonía, de servicios, organizaciones estatales… aunque también otros tipos de empresas) aunque realmente no son las que envían el mensaje.
Este mensaje tiene la finalidad de averiguar datos personales, contraseñas, números de tarjeta de crédito y/o cualquier información que reporte dinero o pueda ser utilizada de forma fraudulenta por el phisher o cibercriminal especializado en phishing.
Con esta información, podrán, entre otras cosas:
- Realizar transferencias de nuestro dinero.
- Hacer compras en nuestro nombre.
- Cometer delitos utilizando nuestra identidad.
- Amenazarnos y extorsionarnos.
El termino Phishing viene del inglés y quiere decir “Pescar”. La relación está en que los estafadores nos hacen “morder un anzuelo” cuando nos engañan y nosotros terminamos brindándoles nuestra información.
El cibercriminal hace uso de técnicas de ingeniería social, haciéndose pasar por una persona o empresa de total confianza. Si la persona que recibe estos correos no tiene ciertos conocimientos sobre ciberseguridad, no será capaz de detectar que se trata de un engaño.
Normalmente, en estos correos se suele incentivar al usuario a entrar en una url o hacer alguna gestión, pero realmente, donde estamos entrando en numerosas ocasiones es a una dirección web totalmente falsa, en la que el atacante quiere conseguir que le proporcionemos nuestra información personal.
Este tipo de ataque suele ser bastante práctico por diferentes motivos: por su capacidad para llegar a gran cantidad de destinatarios, porque se suele dar una personalización dentro de los engaños y, además, porque las personas solemos hacer clic sin hacer demasiado caso a las posibles consecuencias. Todo esto hace del Phishing el delito por Internet más efectivo de todos los existentes.
De vez en cuando, recibimos algún correo de Phishing en nuestra bandeja de entrada. Debemos estar atentos y pensar dos veces antes de hacer clic.
Tipos de Phishing
El Phishing suele enviarse con mayor frecuencia mediante correo electrónico, aunque puede ocurrir por otros medios, como SMS, redes sociales, llamadas telefónicas, etc.
A pesar de que la finalidad de todos ellos es la misma, el método de conseguirlo no es igual. En las siguientes líneas, se hace un recorrido por los diferentes tipos de phishing más comunes que se conocen.
Phishing por email
Es sin duda el tipo de ataque más utilizado de phishing y el que mayormente se relata en este artículo. Los hackers envían estos emails a todas las direcciones de email que puedan conseguir para intentar engañar a sus usuarios.
Vishing
Aunque la intención sea la misma, el atacante por vishing actúa mediante la voz, teniendo que recibir una llamada telefónica.
Este es un método de engaño mejorado y más sofisticado que el anterior, ya que es capaz de estafar mediante la voz, y hacerlo para que no dudes de su veracidad, utilizando mensajes similares a los de correos electrónicos, aunque esta vez, mediante la voz.
Una vez más, van a suplantar la identidad de alguna empresa u organización. Van a engañar a la víctima haciéndoles creer que están ante algo legítimo. De esta forma van a recopilar la información que quieren.
Smishing
Los ataques de Smishing son lanzados a través de mensajes SMS. Aunque ya casi nadie utiliza este método de mensajería, muchas empresas como entidades bancarias, lo utilizan para mandar notificaciones a sus usuarios, por ello, suelen ser muy efectivos.
Se suele mandar un mensaje suplantando la identidad de alguien conocido (persona o entidad), para brindarles información personal o instalar malware en nuestro dispositivo.
En el Smishing, el emisor de un mensaje de texto (SMS) intenta engañarnos suplantando la identidad de alguien conocido (persona o entidad), con el objetivo de que le proporcionemos información confidencial, o para que instalemos alguna app maliciosa en nuestro dispositivo.
Normalmente, solemos confiar más en los mensajes de texto que en los mensajes de correo electrónico, lo que le hace bastante efectivo.
Phishing basado en malware
En este tipo de ataque, se envía un correo electrónico que, a diferencia del Phishing por email convencional, donde se ha de abrir un enlace o descargar un archivo para descargar un malware, es el propio correo electrónico en sí el que es un malware. Estos son muy peligrosos, ya que no hace falta nada más que abrir el correo.
QRishing
Este tipo de ataques se basan en códigos QR modificados de forma maliciosa. Logran engañar mediante un código QR dentro de una página web, un mensaje o correo electrónico.
Al escanearlo se redirige a una página web, que falsifica la de la empresa y solicita información confidencial. Otra manera más sencilla de engañar es que cuando lees este código mediante tu teléfono móvil, automáticamente es infectado por el malware.
Con el contexto que nos deja el covid-19, el uso de QR cada vez está más en auge, ya sea por su practicidad, o por la nueva normalidad, que demanda ahora más que nunca, evitar el contacto con objetos compartidos. Por ello, cada día son más cotidianos los ataques mediante esta técnica. Tenemos que tener mucho cuidado, y es que son más difíciles de detectar que otros tipos de phishing.
Spear Phishing
En este caso, se utiliza una técnica en la que el mensaje es personalizado. En concreto, este mensaje va dirigido directamente al usuario, ya que dentro de él se puede ver algún dato sobre el receptor del ataque (normalmente nombre, pero hay algunos mensajes más sofisticados). El problema, es que cuando el mensaje personalizado hay más posibilidades de que se abra.
Phishing en las empresas
El phishing está haciendo estragos en las empresas de todo el mundo, y España no se queda atrás, siendo uno de los países más atacados en el último año.
El teletrabajo y las nuevas amenazas cada vez más especializadas y cualificadas, ponen el ojo al panorama empresarial español.
Uno de los engaños más utilizados por los cibercriminales para atacar a las empresas es el llamado Fraude del CEO, un tipo de ataque de phishing, en el que, para engañar a los empleados, se hacen pasar por personas de alto rango de la propia empresa y solicitan transferencias de alto valor económico, siempre bajo alguna excusa de gran importancia para el negocio.
Este tipo de estafa consiste en dos cosas.
Por un lado, suplantan la identidad de una persona con poder en la toma de decisiones y/o de alto nivel dentro de la empresa (Gerentes, directores e incluso CEO o dueños de la organización).
Y, por otro lado, generan una situación importante y/o crítica para el negocio de la empresa, en la que debemos hacer una acción inmediata: transferencias bancarias, envío de información confidencial o incluso credenciales de acceso a sistemas.
A diferencia de otros tipos de phishing, este tiene un objetivo específico, está dirigido a estas personas y a demás en su engaño relatan de forma muy convincente que la petición proviene de una persona influyente o de alto cargo.
¿Cómo hacen el “Fraude del CEO”?
Suelen utilizar estas 3 técnicas:
La confianza: utilizan información real para que creamos que son quienes dicen ser.
La urgencia: nos comentarán que debemos hacerlo rápido, o que si no tendrá malas consecuencias, nos dirán cualquier cosa que implique una acción inmediata y que no nos deje tiempo para pensar.
La manipulación: intentarán usar las emociones para conseguir sus cometidos, apelando a sentimientos como miedo o lástima.
La formación y sensibilización en ciberseguridad de los trabajadores y usuarios es la vía más efectiva para defender a tu empresa de este tipo de ataques..
A parte, se ha de contar con fuertes medidas de seguridad informáticas instauradas en los diferentes sistemas de gestión de la empresa, como por ejemplo un sistema de antiphishing.
Ejemplos y consecuencias de phishing en las empresas
Existen muchos casos de ataques dirigidos a empresas, en este apartado describiremos dos ataques a empresas que han ocurrido hace poco y veremos las consecuencias que puede traer tanto para estas cómo para otras dos empresas.
Phishing Grupo Zendal
Un caso conocido fue el ataque al Grupo Zendal, en el que se utilizó el tipo de phishing de fraude al CEO para causar graves problemas a la empresa.
La forma de hacerlo fue muy sencilla, la estafa consistió en suplantar la identidad de un alto directivo y enviar correos al jefe del departamento financiero. Este criminal le ordenaba que realizara transferencias a una supuesta multinacional asiática. Las consecuencias fueron drásticas, en menos de cuatro días, se hicieron 20 transferencias de dinero, que supuso una pérdida de 9 millones de euros para la empresa.
Ciberataque a EA
Otro caso, ha sido el reciente ataque a la compañía EA, donde han robado 780 Gbytes de datos de la compañía. Entre ellos el código fuente de juegos (Battlefield, FIFA 21 o The Sims) y unos paquetes de código utilizados en el desarrollo de videojuegos o el acceso a herramientas de desarrollo se software.
Después del ciberataque los propios hackers fueron los que han dado a conocer cómo lo hicieron. Usando 3 fases:
- La primera, el uso de cookies robadas.
- La segunda, un Slack (una aplicación de mensajería para empresas que conecta a las personas con la información que necesitan).
- La tercera y más importante, “una ayuda interna involuntaria”. Los delincuentes anunciaron en internet que “Una vez dentro del chat, contactamos al equipo de soporte y le explicamos que perdimos nuestro teléfono en una fiesta la noche anterior». De esta manera, fue la propia gente de Electronic Arts quien les «abrió la puerta» para acceder a los servidores. Los cibercriminales solicitaron un token de autorización multifactor que les dio acceso a la red corporativa de la empresa, teniendo acceso a la información después robada.
Cómo resultado sus acciones han caído más de un 2% en bolsa. A parte, los ciberdelincuentes promueven la venta de datos en la deep web. Esto puede conllevar diferentes consecuencias:
- Un competidor (real o potencial) podría beneficiarse de esta información al utilizarla para anticiparse a futuros lanzamientos de la compañía.
- Si se tiene la idea de un juego protegida bajo un código, cualquiera que se haga con la información podría «robar» el juego, y después argumentar que fue creación original.
- Se pueden dar a conocer los «puntos débiles» de seguridad, lo que les vuelve más vulnerables para un próximo ataque.
A parte de estas, con ataques de phishing se pueden tener consecuencias cómo que nadie podría acceder a los sistemas de la empresa, se podría dar la modificación o eliminación de información confidencial, se puede publicar información confidencial en los medios, perjudicando la reputación y otras pérdidas económicas por culpa del ataque por el secuestro y extorsión de información documentos o informes sensibles.
Cómo se puede evitar
El mejor mecanismo para no ser atacados, es pensar que el menaje es phishing y encontrar algo en el mensaje que nos haga llegar a la conclusión que no es verdadero, esto se denomina política de “zero trust”, es decir, de confianza cero ante todo lo que nos llega de internet. Pero…
¿Cómo podemos identificar un ataque de Phishing?
- Si recibimos un mensaje con un remitente de un banco o empresa de la que no se es cliente, o de una persona que no conocemos es phishing.
- Si una oferta es demasiado buena para ser cierta, lo más probable es que sea una estafa. Debemos pensar si hemos entregado nuestro correo o hemos autorizado a que se comuniquen con nosotros, si no, es seguramente un ataque por phishing.
- Nunca una entidad nos va a remitir un tipo de correos donde nos vayan a pedir datos confidenciales o sensibles.
- Tampoco se suele enviar un documento en un formato editable como un Excel o un Word.
- Tanto de dentro de la empresa, cómo fuera de ella, no es muy habitual que nuestros compañeros y jefes nos manden un correo comunicándonos de que se transfiera dinero, o le des unas credenciales, si no se ha hablado con anterioridad.
- Si el correo no está personalizado, y aparece de forma genérica, podemos estar delante de un phishing, pero hay que tener cuidado con los que sí lo están, ya que pueden estar utilizando la ingeniería social para engañarnos.
- En el formato también puede ser predecible, si algún correo tiene faltas de ortografía, errores de sintaxis, de redacción u otros, seguro que es. A parte, y como hemos dicho antes, si transmiten sentimientos de curiosidad, urgencia o temor puede que tengamos en frente un phishing.
- Si no podemos verificar si el mensaje es verdadero, con los datos de contacto del propio mensaje, hay que usar otras vías cómo por ejemplo el teléfono.
- No debemos de dar clic a ningún enlace, imagen o archivo adjunto que tenga un correo sospechoso.
Concienciación y formación
En el caso de la ciberseguridad en una compañía, los eslabones más débiles son generalmente los empleados.
Por esa razón, es necesario desarrollar una estrategia específica para que el personal forme parte activa, no solo en la ejecución de las medidas de seguridad implantadas, sino que se convierta en un agente de seguridad en sus labores diarias, para garantizar la disminución de riesgos y situaciones disruptivas para la empresa.
Concienciar a la plantilla de que no caigan en este tipo de ataques y den contraseñas, provean datos confidenciales o sensibles, den acceso a los sistemas, o transfieran dinero a otras cuentas, es cada vez más necesario.
Por ello, desde las empresas se debe adoptar un enfoque de ciberseguridad basado en las personas, llevando a cabo una metodología que incluya iniciativas de capacitación en toda la empresa con el objetivo de entrenar a los trabajadores para que identifiquen e informen sobre los ataques.
Qué hacer en caso de ser víctima de Phising
Lo primero es cambiar inmediatamente las contraseñas de todos nuestros servicios y accesos. Esto puede reducir mucho el daño.
Después hay que verificar si el delincuente ha realizado alguna acción con nuestros datos y qué datos están comprometidos. Se recomienda analizar el ordenador o móvil con un programa antimalware por si queda algún rastro de ransomware
Si el engaño involucra a nuestra organización tenemos que comunicarnos con el área de informática o departamento de sistemas y tecnología, ellos te guiarán y protegerán ante el ataque.
Además, si este hecho ha causado daños, robo de dinero o de algún tipo de información sensible, se debe notificar a la policía para denunciar la estafa o la pérdida de propiedad intelectual en el caso de secuestrar información confidencial.
Conclusiones
En conclusión, nunca debemos compartir nuestra información privada, no importa el medio por el cual nos la pidan. Además, debemos estar atentos, ya que el Phishing es un riesgo al que nos exponemos todos los días al utilizar Internet.
Básicamente, la mejor forma de defenderse es con espíritu crítico y no tomar acciones a la ligera. Desconfía por norma de todo lo que te llegue por Internet, y recuerda: si no eres capaz de identificar con facilidad que es un correo legítimo, entonces es “phishing”.