Se alerta de una campaña de phishing en la que suplantan al Ministerio de Economía y Empresa de España; cuidado con el robot de cocina de Lidl, no te lo van a regalar pero vas a recibir un mail que te diga que sí; ING alerta de un ataque nuevo de phishing a sus clientes que puede llegar por mail o por SMS; una estafa de SMS que llega a los móviles de España se hace pasar por la la mensajera FedEx; o se está enviando un mensaje de texto que se hace pasar por la compañía logística DHL para avisar de la próxima recepción de un envío.
Son noticias muy comunes que vamos a leer a menudo, que afectan a nuestras vidas y siempre tienen la misma conclusión y advertencia: ¡NO LO ABRAS!.
QUÉ ES EL PHISHING
El phishing es un fraude. Su objetivo es el de captar o robar datos privados de los usuarios: nombres de acceso a cuentas bancarias, contraseñas, datos de las tarjetas de crédito, etc. Para obtener esta información se recurre a la falsificación de páginas que el usuario conoce (empresas o administraciones públicas comunmente), se duplican y se pide que se introduzcan en ella los datos confidenciales que se quieren obtener.
No hay una palabra en castellano para ello, sino que se usa el anglicismo. Pero viene del verbo pescar. Y realmente, pesca al usuario, lo engaña, como un cebo lo hace con un pez, y consigue hacerse con sus informaciones para poder robarle sus datos.
A grandes rasgos, para comprender esta práctica en su versión más corriente, debes conocer que al usuario le llega un mensaje de texto (SMS) al móvil, un correo electrónico a su cuenta de mail o un mensaje en alguna app como WhatsApp, Telegram o Facebook Messenger. Ese mensaje puede ofrecerle un regalo de una empresa (normalmente se usan firmas conocidas), pedir un favor como si viniera de un amigo u ofrecer un servicio común que las personas tienden a necesitar o la solución a un servicio (por ejemplo, decir que tu banco, la hacienda pública o una empresa de mensajería necesita unos datos para realizar una tarea convencional).
En general, esta práctica se apoya en la ingeniería social y su éxito se basa en la confianza que tienes en la empresa o institución o persona que están siendo suplantadas.
Estos mensajes vienen acompañados de un link. Al entrar al enlace, llegarás a otra página. Hay veces que es fácil ver que la página no está bien diseñada y hasta tiene graves faltas de ortografía. Pero los ataques sofisticados muestran páginas que parecen totalmente reales. Y en esa otra página debes introducir una información. Normalmente relacionada con tus datos bancarios y personales. Si la introduces, se la estás regalando al creador de la estafa y, con esa información, podrá realizar las compras que quiera mientras tú no seas consciente y hables con tu banco para que tome medidas y cambie tu tarjeta o cancele tus pagos por un tiempo.
CÓMO SURGIÓ EL PHISHING
El phishing es un fraude antiguo que, a pesar del paso de los años, no pierde fuelle. El término «phishing» se documentó por primera vez a comienzos del año 1996 por parte del grupo de noticias Usenet denominado AOHell y quiso denominar un estafa que estaba usando al gigante AOL para conseguir datos privados de los usuarios.
25 años después, el phishing sigue fuerte. Casi no hay semana en la que no tengamos importantes casos de phishing que están aterrizando en las bandejas de entrada del mail de los usuarios, en alguna red social o en sus SMS del teléfono. No hay cifras globales sobre el dinero que esta técnica consigue robar de empresas y de ciudadanos cada año, ya que no todo el mundo denuncia lo que sucede. Es más, en ocasiones, el robo a cada uno de los usuarios es de poco dinero, por lo que las personas no se molestan en ir detrás de la estafa. Pero si tenemos en cuenta que millones de personas pueden llegar a ser víctimas de una de estas estafas, resulta una práctica beneficiosa.
Lo que sí está claro es que, tras el malware, el phishing es la segunda técnica más usada en cuanto a ciberataques en el mundo, si echas un vistazo a los estudios de grandes empresas, como Cisco, sobre los principales tipos de ataques informáticos.
TIPOS DE PHISHING
Para identificar uno de estos ataques, lo mejor que puedes hacer es conocer los tipos que hay. Los más comunes son:
- Deceptive phishing. El más común. Deceptive significa engañoso. Un hacker envía al usuario un mensaje de correo electrónico haciéndose pasar por una persona, empresa o entidad. Si lo que envía es un SMS entonces se conoce como Smishing. Solicita algún tipo de información personal o contiene un enlace malicioso que envía al usuario a una página web fraudulenta donde se le solicita los datos de inicio de sesión. Si es un ataque bien preparado, suele llevar el logo de la empresa, usar una tipografía similar o el nombre de la web a la que te redirecciona es similar al de la página real (pero no es el mismo). Bajo cualquier excusa solicita al usuario que introduzca información personal sensible que posteriormente, es capturada por el atacante. Los casos de phishing suplantando a FedEx, DHL o ING en las últimas semanas, entran dentro de estos ataques más comunes.
- Phishing basado en malware. En este caso, el usuario recibe un mail que suplanta la identidad de una marca incluyendo además como documento adjunto un archivo que es malicioso y que una vez abierto, infecta el dispositivo de la víctima. Una forma habitual de este phishing basado en malware es como si fuera una empresa de servicio que te adjunta tu última factura en formato PDF para que la descargues. Una vez abierto, infecta el equipo. Este 2021 en España empezó con un ataque que suplantaba a Correos para infectar un equipo con malware. En diciembre se propagó mucho un mail que adjuntaba un fichero que supuestamente informando de restricciones por la Covid-19 pero que infectaba un PC o móvil.
- Vishing. La palabra mezcla los términos voice (voz) y phishing. No es tan común porque requiere de gran elaboración para conseguir su objetivo. Estos ataques utilizan ingeniería social para engañar a las víctimas a través de llamadas telefónicas. El atacante, que realiza llamadas, se hace pasar por un trabajador, técnico o una organización y bajo este pretexto intenta que la víctima le facilite datos personales o bancarios o realice alguna aportación económica. Como en el caso del ‘phishing’, el gancho del vishing puede ser muy distinto en cada ocasión. Desde participar en un sorteo, recoger un cheque regalo o recibir soporte técnico.
- SEO Phishing. Usando las técnicas del posicionamiento SEO en los buscadores, los atacantes consiguen que una página engañosa se sitúe de entre las más importantes de un buscador como Google o como Bing. Así, si un usuario busca, por ejemplo, información de su banco, el objetivo es que esta web aparezca de entre los primeros resultados y la persona piense que está efectivamente entrando en la web de su banco o para realizar compras. Al realizar las compras o acceder con credenciales, estará dando información muy importante que el atacante puede robar.
Fuente: Bárbara Becares · Genbeta