Ataques a la privacidad: Phising (A4C42B1D01)

Quizás, una de las principales amenazas a la identidad digital es una de las modalidades de ciberataque conocido como “Phishing”. El objetivo de los ciberdelincuentes es conseguir nuestros datos personales y bancarios, para suplantar nuestra identidad digital. De esta forma pueden robar nuestro dinero, o influir en como los demás nos ven publicando comentarios en nuestro nombre. Este tipo de ataque no es nuevo, lleva produciéndose desde hace mucho tiempo. Sin embargo, con las nuevas tecnologías digitales, ha incrementado enormemente su número de víctimas y las formas de realizarse.

En este documento se va a explicar en qué consiste el ataque Phishing, qué modalidades puede presentar, cómo podemos identificar que estamos siendo atacados y cómo podemos protegernos.

En el diccionario de la Real Academia Española de la Lengua no se encuentra una definición del término Phishing. Sin embargo, es comúnmente aceptado que se refiere al conjunto de técnicas o métodos empleados por los delincuentes utilizando el fraude, el engaño y el timo para manipular a sus víctimas y hacer que revelen información personal confidencial. El objetivo final es utilizar esta información privada para suplantar la identidad digital de la víctima con fines maliciosos.

La información que estos delincuentes intentan conseguir puede ser muy variada, por ejemplo, el nombre de nuestros hijos, nuestro número de la seguridad social o datos bancarios como el número de nuestra tarjeta de crédito. El problema es que muchas veces es difícil saber el efecto malicioso que puede producir que un determinado dato personal sea conocido.

El término Phishing se origina a partir de la palabra inglesa “fishing”, que significa pescar. El término se usa como una metáfora del acto de utilizar un cebo para conseguir que un pez (la víctima) pique el anzuelo y sea pescado. De forma similar, a los delincuentes que utilizan este tipo de ataque se les  denominan “phishers”.

Quizás, la mejor forma de prevenir este tipo de ataque sea conocer cómo funciona. Independientemente de la técnica concreta utilizada, los ataques Phishing siguen un mismo patrón:

1 |  El atacante inicia una comunicación con la víctima, suplantando la identidad de alguna organización o persona de confianza para esta víctima. Por ejemplo, su banco, la agencia tributaria, un amigo, etc.

2 |  En dicha comunicación, el atacante proporciona un cebo. Por ejemplo, “debes actualizar la información de la tarjeta xxxxx “, “tienes una multa pendiente de pagar de tu coche con matrícula yyyyy” o “te ha tocado un premio”.

3 |  La víctima pica el cebo y proporciona alguna información confidencial confiada en que está haciendo lo correcto. Por ejemplo, da una contraseña, un número de cuenta, etc.

En la época anterior a Internet, las formas de iniciar la comunicación eran principalmente una llamada telefónica, una carta o una visita a nuestro domicilio. Sin embargo, hoy en día, en la era digital, las formas en que los atacantes pueden iniciar esta comunicación pueden ser muy variadas. Quizás las más conocidas son un correo electrónico o un mensaje de texto en el móvil.

Los atacantes utilizan técnicas conocidas como Ingeniería Social, que son el conjunto de técnicas que emplean los ciberdelincuentes para ganarse la confianza del usuario y de esta forma para confeccionar un cebo atractivo para su víctima (e.digitall.org.es/ingenierial-social). En más veces de las deseables, será la propia víctima la que facilite todo lo necesario para confeccionar este atractivo cebo ya que ella misma ha publicado demasiada información privada, por ejemplo, en los estados de una red social.

Ser víctima de Phishing puede tener efectos desastrosos. Un atacante que pudiera hacerse con la contraseña para acceder al banco de la víctima podría ordenar transferencias. Si la contraseña es del perfil de la víctima en una red social podría afectar a su identidad digital haciendo comentarios para desacreditarla o incluso servir como base para atacar a una segunda víctima.

Si la víctima es una empresa o entidad pública, los efectos del Phishing pueden ser aún más desastrosos, ya que puede provocar una fuga masiva de datos privados tanto de los empleados como de los clientes o usuarios. En muchas ocasiones, la situación es aún peor porque no se hace público el ataque sufrido y esto imposibilita a las posibles víctimas colaterales el poder adoptar medidas para protegerse como, por ejemplo, cambiar su contraseña.

Como ya se ha comentado, el Phishing es una técnica utilizada antes de que existiera Internet. Con la llegada Internet y las tecnologías digitales, han aparecido nuevas modalidades Phishing que utilizan estas tecnologías.

Este documento se centra en las modalidades de Phishing que utiliza alguna tecnología digital y que sen denominan de forma genérica como Phishing digital.

Phishing usando el correo electrónico

Quizás sea la modalidad de Phishing digital más común. Se utiliza los mensajes de correo electrónico para entregar el cebo a las víctimas. Estos mensajes suelen contener enlaces que llevan hasta sitios web maliciosos o archivos adjuntos infectados con programas malignos (conocidos como “malware”).

Debido a que el coste de enviar un correo electrónico es con frecuencia cero, lo más común es que se utilice un mismo mensaje que se envía de forma masiva a miles de usuarios. Aquí el cebo suele ser burdo pero la esperanza del atacante es que piquen un pequeño porcentaje de víctimas.

Otras veces el ataque es más especializado aprovechando alguna campaña publicitada de una empresa, o algún mensaje reciente enviado a todos sus clientes. En este caso se envía una copia modificada del anterior mensaje con enlaces maliciosos. En esta modalidad es más difícil detectar que se trata de un ataque.

Phishing usando la Web

En esta modalidad el atacante crea una copia exacta de un sitio Web. De esta forma, la víctima cuando accede a la copia maliciosa se confía y proporciona la información privada que el atacante desea, normalmente, la contraseña para autenticarse.

Otra técnica que pueden usar los delincuentes es inyectar código malicioso en un sitio web. De esta forma, la víctima al acceder al sitio web legítimo, al estar modificado por los atacantes, de nuevo puede proporcionar la información privada sin saberlo. Un ejemplo reciente han sido las ventanas emergentes para introducir las credenciales de inicio de sesión.

También es conocida otra técnica donde los atacantes crean páginas Web donde publicitan productos a muy bajo costo. Esto puede provocar que los buscadores web dirijan a las potenciales víctimas hacia esas páginas donde, como es lógico, deberán proporcionar mucha información  confidencial para realizar la supuesta compra. Ejemplos han sido páginas de falsos bancos publicitando préstamos con bajo interés o tarjetas de crédito sin comisiones.

Vishing

En esta modalidad, el atacante utiliza una llamada telefónica. El término Vishing proviene de contraer los términos “voice phishing”. En este tipo de ataque, el delincuente suele camuflarse como trabajador de alguna empresa o entidad de prestigio. No es raro que incluso haya estudiado los perfiles de las redes sociales de sus víctimas para proporcionar información supuestamente privada durante la llamada. Esto hace que la víctima baje su estado de alerta y se confíe. A continuación, el delincuente solicitará la información privada que realmente desea.

Smishing

En esta modalidad el atacante utiliza un mensaje SMS. El término “smishing” proviene de la contracción de los términos “sms phishing”. Esta modalidad de ataque es similar a la que usa correo electrónico. Normalmente, la víctima recibe un mensaje de texto donde se le pide que pulse sobre un enlace o descargue una aplicación. Sin embargo, al hacerlo se le engaña para que descargue en su teléfono una app maliciosa que puede captar su información personal y enviarla al atacante. De nuevo es muy común que estos tipos de ataques coincidan con campañas generales como por ejemplo las campañas para realizar la declaración de la renta de las personas físicas a la Agencia Tributaria.

Phishing usando las redes sociales

En esta modalidad, los delincuentes utilizan toda la información privada que se publica en las redes sociales para intentar secuestrar el perfil de la víctima y forzarla a enviar enlaces maliciosos a sus amigos. De esta forma los amigos se convierten en víctimas a su vez. Otros delincuentes crean perfiles falsos simulando ser otras personas y los utilizan para engañar a sus víctimas intentando influir en ellas.

Ahora que se han mostrado las principales modalidades de Phishing digital, es hora de dar algunas pautas para prevenirlo. 

Pautas para prevenir ser víctima de Phishing

1 |  Busque formación. Es lo que está haciendo al leer este documento. La Oficina de Seguridad del Internauta (incibe.es/ciudadania) es una buena fuente para ampliar su formación y estar al día de las últimas estafas conocidas.

2 |  Tenga su software actualizado. Un elemento clave es utilizar herramientas actualizadas a su última versión, en especial, el navegador web. Los navegadores web modernos tiene tecnologías capaces de detectar y prevenir muchas de las técnicas que utilizan los delincuentes para robar información privada.

3 |  Sea descreído. Es mejor pecar por prudente ante cualquier correo electrónico. Con los enlaces, confirme que le conectan con los sitios web que dice el texto. Una técnica es leer siempre los correos en modo texto plano. De esta forma verá las direcciones reales de los enlaces o si hay enlaces “camuflados” en imágenes o logos. Si hay aplicaciones piense primero si verdaderamente es necesario descargarlas. Además, como regla general nunca instale aplicaciones que no sean oficiales en el sistema operativo que use: Google Play, Microsoft store, Apple Store, etc.

4 |  Confirme antes de actuar. Hoy en día la mayoría de las empresas nunca solicitan a sus clientes información privada mediante correo electrónico o llamadas telefónicas. Si fuera el caso, borre el mensaje o cuelgue y confirme usted mismo con la empresa si esa solicitud es real. Por ejemplo, en vez de pulsar sobre el enlace de un correo electrónico para conectarse a su banco, inicie la conexión directamente usando el navegador introduciendo usted mismo la dirección web. Si es una llamada, llame usted a su banco preguntando si es real la campaña por la que ha sido llamado.

5 |  Utilice un gestor de contraseñas. Si una empresa sufre una brecha de seguridad, es posible que sus clientes queden indefensos si utilizan por ejemplo una misma contraseña basada en alguno de los datos personales que han quedado comprometidos, por ejemplo, la fecha de nacimiento. Lo recomendable es usar una contraseña fuerte diferente en cada sitio web en el que estemos registrados. Para gestionar todas las contraseñas usaremos un gestor de contraseñas. La mayoría de los navegadores Web modernos incorporan un gestor de contraseñas, aunque también existe software especializado para ello.