Pasar al contenido principal

Phishing

Proviene del verbo inglés fishing (pescando), y en eso consiste, en pescar inocentes. La modalidad de phishing más conocida es la del correo electrónico en el que se suplanta la identidad de una persona o entidad de confianza, incluyendo un “anzuelo” para que la víctima “pique” y caiga en la trampa del atacante.

El phishing es un ataque basado en la ingeniería social cuyo canal más frecuente es el correo electrónico. El objetivo de los correos de phishing es conseguir que una persona realice alguna acción que habitualmente no haría, usando para ello la suplantación de identidad y la manipulación de la naturaleza humana. El phisher (ciberdelincuente que realiza el phishing) suele hacerse pasar por una persona, empresa, servicio, aplicación o similar en quien la víctima confía.

Además de esta sensación de familiaridad y confianza que se consigue al suplantar al remitente, los phishers recurren a otras tácticas, como aprovecharse de la predisposición a ayudar, de la atracción por algo muy deseado, del miedo a incumplir una orden o de la urgencia de la acción que se le pide. Como decíamos, usan la manipulación de cuatro principios básicos de la naturaleza humana:

  • Nuestro primer movimiento es siempre de confianza hacia el otro
  • No nos gusta (o nos cuesta) decir NO
  • A todos nos gusta que nos alaben
  • Todos queremos ayudar

Algunos anzuelos habituales del phishing son: ofertas de productos exageradamente rebajados, problemas con la cuenta bancaria, solicitudes de información personal para acceder a beneficios o ayudas, o avisos de cortes de suministros básicos. Cualquiera de estos pretextos suele ser suficiente para que muchas personas caigan en la trampa. El phishing suele ser el tipo de ciberataque más habitual, ya que tiene la capacidad de llegar a un gran número de personas y su grado de efectividad es bastante alto. Una primera clasificación de estos ataques permite diferenciar entre:

  • Phishing genérico: ataques poco dirigidos, cuya intención es llegar a un número amplio de personas, sin importar su perfil, para que algún destinatario caiga en la trampa.
  • Phishing dirigido (spear phishing): ataque específico, pensado y personalizado para un individuo, grupo u organización en concreto, a los que se quiere atacar de manera focalizada.

Las temáticas del phishing son prácticamente infinitas, ya que pueden intentar suplantar a cualquier remitente en cualquier situación, mientras las acciones que habitualmente solicitan realizar son básicamente de tres tipos:

  • Pulsar un enlace: se invita a seguir un enlace que aparece en el correo y que nos llevará a una web posiblemente insegura, solicitará información personal o pedirá descargar algún archivo o un software malicioso.
  • Abrir un archivo adjunto: el propio correo lleva un adjunto que puede ser de varios tipos (documento ofimático, ejecutable, archivo pdf, etc.) y que está infectado con algún tipo de malware.
  • Introducir credenciales: el enlace incluido lleva a un formulario web que imita al del remitente auténtico y solicita datos personales como nombre, apellidos, cargo profesional, empresa, nombre de usuario y/o contraseña, entre otros.

Aunque el objetivo principal del phishing es robar datos para fines maliciosos, los ciberdelincuentes también pueden tratar de instalar malware en el sistema de la víctima. Los daños causados por este ataque pueden ser de distinta naturaleza:

  • Que víctima descargue un archivo infectado, como un keylogger (programa lector del teclado), una aplicación de acceso remoto al equipo o, el más habitual últimamente, un ransomware.
  • Que la víctima revele datos personales para venderlos en el mercado negro y acceder a cuentas bancarias, suplantar identidades o realizar otros ataques dirigidos más efectivos.
  • En algunos casos solicitan a la víctima que pague por un producto o servicio, lo cual lleva a estafas económicas posteriores, o incluso a la suscripción del usuario a servicios de pago.

 Estas comprobaciones ayudan a detectar las pistas del phishing en los correos electrónicos:

  • Sospechar de correos inesperados o de remitentes desconocidos.
  • Mirar la dirección completa del remitente y verificar que es la correcta.
  • Fijarse en el asunto y desconfiar si transmite urgencia.
  • Leer detenidamente el cuerpo del correo para detectar posibles faltas de ortografía o errores gramaticales (muchas veces son correos traducidos automáticamente de otros idiomas). No obstante, hay que tener en cuenta que los phishers han perfeccionado mucho la redacción y no necesariamente es extraña y con faltas como antes.
  • Pasar el ratón, sin hacer clic, sobre los enlaces, para ver la dirección completa a la que conducen y desconfiar de direcciones desconocidas o acortadas.
  • Fijarse en detalles como la firma del correo (si procede de una empresa y la firma no es corporativa), la estética o los colores utilizados al simular al remitente original.

Ante la más mínima duda, no hay que responder al correo sospechoso ni obedecer sus instrucciones (no hacer clic, no descargar nada, no abrir adjuntos). Hay que reportarlo, si disponemos de canales para ello o eliminarlo directamente. Un solo clic basta para comprometer la seguridad de un usuario o de una empresa.

El correo electrónico es el canal favorito del phishing, pero no es el único; también ataca a través de mensajes SMS (smishing) o llamadas telefónicas (vishing).

También te interesa: ingeniería social, phishing dirigido, smishing, vishing

Compartir

Compartir en Linkedin