Tips de Seguridad

Si no Sabes Qué es el Phishing, Estás en Problemas

Si piensas que “es sólo spam, ¿cierto?” no podrías estar más equivocado. Asegura que puedes identificar los ataques de phishing y spear-phishing para evitarlos a toda costa.

Mira la imagen de abajo. ¿Puedes diferenciar el inicio de sesión de Google de su versión falsa? Es bastante difícil. La mayor diferencia es que el de la derecha te llevará a tus correos, y el de la izquierda robará tu contraseña y correo. Este es un ejemplo del 2018, y al día de hoy los hackers se han puesto mucho más sofisticados a la hora de replicar páginas.

Phishing Google Page

¿Gran diferencia, verdad? Esto es lo que se llama phishing. Este es el proceso en el que alguien te engaña para que entregues información importante, o descargues un virus a través de falsas pretensiones y trampas sociales. Esto puede ocurrir via email, SMS, llamadas y websites maliciosas que tienen, por ejemplo, logins de Facebook falsos.

Veamos otro ejemplo, un correo que nadie quiere ver. Es de Recursos Humanos, ¡tu bono será reducido! Excepto, que eso es falso. ¿Sabías que un atacante puede ‘replicar’ correos fácilmente? Se llama spoofing. Combina eso con una investigación rápida en LinkedIn para saber el nombre de alguien en RRHH de tu empresa y bam: están listos para engañarte.

Una vez más, eso es phishing. Es lo que solíamos conocer como spam (¿recuerdas la estafa del príncipe de Nigeria?), excepto que ahora es más sofisticado y pasa por encima del filtro de spam. Usualmente, suelen decir cosas cómo:

  • Actualiza el pago de tu cuenta de Netflix
  • Descubrimos un pago fraudulento en tu cuenta
  • ¡Estamos llamando porque tu tarjeta se canceló!
  • Haz clic aquí para conectarte a Facebook y recuperar tu cuenta

Phishing versus Spear Phishing

Hay dos tipos claros de phishing. Phishing común, y el spear-phishing. La mayor diferencia recae en cuanta información tiene el atacante sobre ti, cómo te intentarán convencer, y sus objetivos.

Ataques de Phishing

Estos ataques suelen ocurrir en grandes escalas, porque el atacante consiguió una base de datos de contactos grande, y esperan convencer a un porcentaje pequeño de que hagan algo malicioso. Por ejemplo, las grandes campañas de phishing por Coronavirus que han estado dando vuelta desde que la pandemia comenzó. El phishing suele:

  • Tomar ventaja de contextos generalizados (Coronavirus, vencimientos de créditos)
  • Enviar mensajes a cientos y miles de destinatarios, sin conocerlos.
  • Incluir una carnada maliciosa. Un enlace infectado, un archivo infectado, o una pedida de información.

Los ataques más frecuentes llegan por correo y SMS, que obtienen de una base de datos robada, o en algunos casos, directamente de tu empresa. Todo lo que necesitan es un contacto y una premisa.

Ataques de Spear-Phishing

En contraste al Phishing común, el Spear-phishing suele tomar los contextos originales y agregar ingeniería social. En pocas palabras, el atacante investiga tu vida, trabajo e historia para crear una mejor narrativa y simular ser alguien que te empuje a hacer lo que él/ella quiere.

El Spear-phishing es un ataque dirigido, planificado y con objetivos claros. Usualmente atacan empresa, ya que las están tratando de infiltrar a través de empleados de bajo nivel. Existe una variante llamada Whaling, para aquellos ataques dirigidos a peces gordos, como CEOs.

¿Por qué atacan empleados? Porque si logran infectar a alguien dentro de la empresa, a su computador, o logran robarle credenciales / tokens de validación, el atacante podrá infiltrar la red de la organización y causar el daño que quiera. Es un ataque de tipo trampolín, por así decirlo.

El correo de arriba es un gran ejemplo. Es una campaña de phishing dirigida a oficiales del Gobierno de Ucrania. El correo incluía un archivo malicioso que ejecutaba un script en PowerShell para descargar un malware capaz de espiar al equipo infectado. Para lograr esto, utilizaron:

  • Una historia sólida con información y contextos reales.
  • Un correo real, spoofeado, para parecer confiables.
  • Una petición de información importante que invita a cooperar.

Cómo Identificar y Evitar el Phishing

La pieza clave de cualquier estafa de Phishing es el gancho. Esto es cómo el atacante intentará convencerte o captar tu atención, para que sigas sus instrucciones. Estos son algunos de los más utilizados, según la FTC del gobierno de los Estados Unidos:

  • Detectamos actividad maliciosa en tu cuenta/banco.
  • Te hemos cobrado, aquí está el resumen de cuenta (archivo malicioso)
  • Debes dinero a la agencia gubernamental de impuestos.
  • Aquí tienes un descuento para tu cuenta de Netflix.

La segunda parte de una estafa de phishing es la acción maliciosa que el hacker quiere que cometas, disfrazada de una tarea de rutina. Te tratarán de guiar a la acción con el gancho de su historia, para por ejemplo:

  • Conectarte a tu cuenta de Facebook via un link malicioso.
  • Depositar dinero en una cuenta para liberarte de impuestos falsos.
  • Confirmar tu número de tarjeta de crédito via llamada para robarla.
  • Compartir tu identificación, o cuenta de banco para robarla.
  • Ver un documento adjunto para infectar tu computador.

La tercer parte… Bueno, no existe. Por esto la mayoría de los hackers tienen estafas de phishing en masa. Es rápido, fácil de distribuir y lucrativo. Requiere poca habilidad, pero muchos logran implementar métodos bien sofisticados, como inyectarle logins falsos de Facebook a páginas reales.

Cómo Identificar y Evitar el Spear-Phishing

El Spear-phishing no es fácil de identificar. Después de todo, el hacker puede spoofear/imitar un correo, y si hizo su tarea puede imitar a una persona que conoces. Estos ataques son más producidos y no suelen utilizar mensajes generalizados.

Por esto mismo, hay que revisar los detalles. ¿Es el formato del correo el habitual para tu compañero? ¿Tiene la firma correcta? Si tiene un link, ¿es de un dominio familiar? ¿Están pidiendo por información sensible de la empresa, o de otro empleado? En general, hay que ser un poco paranoico y hacer cosas cómo:

  • Enviar un mensaje o llamar a la persona que supuestamente te contactó.
  • Si dudas, pregunta a un supervisor si puedes compartir esa información por correo.
  • Escanea cualquier archivo con un antivirus antes de abrirlo.
  • Revisa tus redes sociales. Los atacantes suelen utilizar información que publicas para parecer amigables.

Conclusiones

Muchos softwares y antivirus ofrecen algún tipo de protección de correo o anti-phishing. Sin embargo, no son cien por ciento efectivas ya que la naturaleza de estos ataques cambia constantemente.

Además, estos ataques no solo ocurren en masa, también son dirigidos y allí es más difícil identificarlos. El Spear-phishing no depende del malware siempre y los correos inocentes de un compañero de trabajo que pide una base de datos para trabajar pueden pasar desapercibidos. Por esto mismo, conocer estos ataques y sus formas es esencial.

Si recibes una llamada de tu banco con problemas, revisa el número y duda. Si alguien te ofrece algo gratis, duda. Si algo es demasiado bueno -o malo- para ser cierto, duda. Ser precavido no duele, así que revisa ese enlace, escanea ese archivo y no des contraseñas a través de tu teléfono. Como todos los bancos dicen, ninguna organización te pedirá tus credenciales por teléfono o correo.

riesgo movil
Sobre el autor

Nicolas Poggi

Nicolas Poggi is the head of mobile research at Prey, Inc., provider of the open source Prey Anti-Theft software protecting eight million mobile devices. Nic’s work explores technology innovations within the mobile marketplace, and their impact upon security. Nic also serves as Prey’s communications manager, overseeing the company’s brand and content creation. Nic is a technology and contemporary culture journalist and author, and before joining Prey held positions as head of indie coverage at TheGameFanatics, and as FM radio host and interviewer at IndieAir.