El phishing se refiere al conjunto de técnicas que tienen como objetivo principal engañar a un usuario para que realice acciones que no debe: entregar información confidencial, realizar depósitos bancarios, etc.
Suele ser una forma sencilla de ataque y no involucra mucho conocimiento técnico. Se vale de la ingeniería social para explotar la candidez, amabilidad, inexperiencia, miedo o ego del objetivo. Es entonces, un ataque dirigido al usuario. Por eso, es un riesgo que existe incluso cuando una organización tiene fuertes estándares técnicos de ciberseguridad, pues independiente de la seguridad invertida, un cibercriminal podría robar las credenciales de un miembro de la organización.
¿Cómo funciona un ataque de phishing?
El atacante contacta con la víctima y le expone información para persuadirla o asustarla y solicita que realice una acción: hacer clic en un enlace, llenar formularios, realizar un depósito, etc. Si la víctima «muerde el anzuelo», enviará información o dinero al atacante. El contacto puede realizarse de muchas maneras: a través de correos electrónicos, mensajes de texto, llamadas telefónicas o anuncios en sitios web.
Cuando se trata de robo de credenciales, el atacante suele redirigir a la víctima a una página web que imita el sitio original. Por lo general, estas páginas suelen ser una imitación de la pantalla de inicio de sesión, restablecimiento de contraseña, una pantalla de pago o registro de datos bancarios. En la mayoría de los casos, el dominio de estas páginas es diferente pero similar al legítimo. Un usuario inexperto o ajetreado, no reparará en la URL y podría entregar la información requerida.
Las técnicas de phishing no se limitan solo al envío de correos. Un cibercriminal más sofisticado, podría acceder a una red pública, o incluso podría proveerla él mismo, y envenenarla para suplantar la identidad de determinados sitios web. De esta forma, podrá redirigir a los usuarios de la red a las versiones falsificadas del sitio web sin que haya un cambio en la URL.
Estrategias habituales
La información expuesta por los atacantes para convencer o intimidar suele ser muy variada. A continuación, exponemos los ejemplos más habituales:
- Un familiar en algún lugar del mundo ha muerto y ha dejado una herencia que puedes reclamar. Se necesita realizar el depósito para los trámites.
- Una de tus cuentas ha sido comprometida y se requiere que se introduzcan las credenciales para cambiar la contraseña.
- Eres el ganador de algún concurso por un premio increíble y necesitas realizar un depósito para trámites administrativos.
- Tienes un proceso judicial y debes registrar que has sido notificado cuanto antes o se aplicará una sanción.
- Mira este video en el que apareces.
- Debido a que pagas tus deudas a tiempo, el banco ha decidido entregarte un premio y debes entrar a un enlace para cobrarlo.
- ¡Usted es el visitante número 999’999’999!
- Buscamos financiamiento para donar a esta noble causa. ¿Le gustaría contribuir?
Los ataques de phishing suelen realizarse a gran escala: se envía un correo o mensaje a miles de usuarios y se espera que alguno muerda el anzuelo. Sin embargo, el phishing puede ser personalizado y acompañado de inteligencia de fuentes abiertas e ingeniería social, sobre todo cuando se pretende atacar una organización. En algunos casos, el atacante puede valerse de una vulnerabilidad XSS o CSRF para facilitar el secuestro de la información de sesión.
¿Cómo defenderse?
La defensa más importante es el sentido común: ser cuidadoso al momento de leer un correo o abrir un enlace de Internet. Sin embargo, no está de más seguir algunas de las siguientes recomendaciones:
- Comprobar la URL de la página web que se está visitando y más aún cuando esta página pida datos de inicio de sesión, información confidencial o bancaria.
- Para el caso de llamadas o mensajes, debes pedir al interlocutor que se identifique y tener claro qué información no se debe facilitar.
- Procurar no conectarse a redes públicas, menos aún si estas no solicitan una contraseña para acceder a la red.
- Utilizar filtros de correo electrónico, denunciar correo basura y malicioso una vez que se haya identificado un correo de phishing.
- Capacitar adecuadamente a los usuarios y trabajadores de una organización e inculcarles una cultura de ciberseguridad.
¡Reto imposible!
Responde 10 preguntas y descubre si tienes una buena cultura de ciberseguridad.
¡La quinta es imposible!
Conclusión de Phishing
La mejor forma de protegerse de los ataques de phishing es que las empresas cuenten con una cultura de ciberseguridad por medio de protocolos y políticas bien definidas, en donde se eduque a través de capacitaciones a los trabajadores de una organización sobre los diferentes tipos de ataques de phishing.
Cuando una organización invierte recursos de forma continua sólo en la mejora de su ciberseguridad a nivel técnico, pero descuida la capacitación de los operadores de su sistema, entonces estos operadores se convierten en el eslabón más débil.
No debemos olvidar nunca que una cadena siempre será tan fuerte como su eslabón más débil.
¿Lograste resolver el RETO IMPOSIBLE? 😉