¿Qué es el phishing?
¿Alguna vez recibió un correo electrónico, mensaje de texto u otra forma de comunicación electrónica aparentemente proveniente de un banco u otro servicio online popular donde le pedían que "confirmara" las credenciales de su cuenta o que ingresara un número de tarjeta de crédito u otra información confidencial? Si es así, ya sabe cómo es un ataque de phishing común. Esta técnica se utiliza para recopilar datos valiosos de los usuarios que los atacantes luego pueden vender o usar en forma indebida con fines maliciosos, como la extorsión, el robo de dinero o el robo de identidad.
Origen del término
El concepto fue descrito por primera vez en 1987 en el paper de una conferencia de Jerry Felix y Chris Hauck llamado "System Security: A Hacker’s Perspective" ("Sistema de Seguridad: Perspectiva de un hacker") (1987, Interex Proceedings, 1: 6). Los autores analizaron la técnica de un atacante que se hacía pasar por una entidad o servicio acreditado. La palabra en sí es un homófono de "fishing" ("pesca" en inglés), y utiliza la misma lógica de "atrapar la presa usando una carnada". Las letras "ph-" al principio son una referencia a "phreaks", un grupo de hackers que experimentaron y exploraron ilegalmente las fronteras de los sistemas de telecomunicaciones en la década de 1990.
¿Cómo funciona el phishing?
El phishing se ha estado usando durante años y en todo ese tiempo los atacantes fueron desarrollado una amplia gama de métodos para atacar a las víctimas.
La técnica de phishing más utilizada es hacerse pasar por un banco o una institución financiera en un correo electrónico para lograr que la víctima complete un formulario falso integrado al cuerpo del mensaje o adjunto, o que visite una página Web que le solicita los detalles de su cuenta o las credenciales de inicio de sesión.
En el pasado, a menudo se usaban nombres de dominio mal escritos o engañosos con este propósito. Hoy, los atacantes cuentan con métodos más sofisticados para hacer que los vínculos y las páginas falsas se parezcan mucho a sus contrapartes legítimas.
Seguir leyendo
La información robada generalmente se utiliza indebidamente para vaciar las cuentas bancarias de los usuarios o se vende online.
También se pueden llevar a cabo ataques similares a través de llamadas telefónicas (vishing), o por mensajes de SMS (smishing).
Spearphishing (o phishing dirigido)
El spearphishing es un método de phishing más avanzado mediante el cual se envían mensajes de phishing aparentemente auténticos a las bandejas de entrada de grupos, organizaciones o incluso individuos muy específicos. Los autores de los correos electrónicos de spearphishing hacen una investigación detallada de sus objetivos por adelantado, lo que dificulta la identificación del contenido como fraudulento.
Los ataques centrados en individuos específicos (principalmente empresarios de alto perfil, como directores o propietarios de empresas) también se denominan "whaling" (del inglés, "caza de ballenas"), debido al tamaño del posible beneficio (los atacantes van tras "el pez gordo").
¿Cómo reconocer el phishing?
Un correo o mensaje electrónico puede contener logotipos oficiales u otros signos de una organización de buena reputación y aún provenir de atacantes. A continuación le damos algunos consejosque lo ayudarán a detectar un mensaje de phishing.
Seguir leyendo
- Saludos genéricos o informales: Si un mensaje no está personalizado (por ejemplo, "Estimado cliente") y no es formal, indica que podría haber alguna irregularidad. Lo mismo aplica a la pseudopersonalización, por ejemplo, cuando se usan números de referencia aleatorios y falsos.
- Solicitudes de información personal: Como son muy utilizadas por los suplantadores de identidad; los bancos, las instituciones financieras y la mayoría de los servicios online evitan hacer este tipo de solicitudes a sus usuarios.
- Mala gramática: Los errores de tipeo, los errores ortográficos y la redacción inusual suelen indicar que se trata de una falsificación (aunque la ausencia de cualquiera de estos errores tampoco es prueba de legitimidad).
- Correspondencia inesperada: El contacto no solicitado de un banco o proveedor de servicios online es algo sumamente inusual y, por lo tanto, sospechoso.
- Carácter de urgencia: Los mensajes de phishing a menudo intentan hacer que el usuario actúe rápidamente para no darle tiempo a considerar la situación.
- Una oferta que no puede rechazar: Si el mensaje suena demasiado bueno para ser verdad, probablemente así sea.
- Dominio sospechoso: ¿Un banco estadounidense o alemán enviaría un correo electrónico desde un dominio chino?
Cómo protegerse del phishing
Para evitar caer en la trampa, recuerde los indicadores que suelen delatar a un mensaje de phishing.
Siga estos simples pasos
- Tenga en cuenta las nuevas técnicas de phishing: Siga los medios de comunicación para estar al tanto de los últimos ataques de phishing, ya que los delincuentes siguen ideando nuevas técnicas para atraer a los usuarios a sus trampas.
- Nunca divulgue sus datos personales: Siempre desconfíe cuando un mensaje electrónico de una entidad aparentemente confiable solicita sus credenciales u otros detalles confidenciales. De ser necesario, verifique el contenido del mensaje con el remitente o la organización que supuestamente representa (usando los detalles de contacto genuinos previamente conocidos, y no los detalles provistos en el mensaje sospechoso).
- Piense dos veces antes de hacer clic: Si un mensaje sospechoso proporciona un enlace o archivo adjunto, no haga clic en él ni lo descargue. De lo contrario, podría llevarlo a un sitio Web malicioso o infectar su dispositivo con malware.
- Verifique sus cuentas online con regularidad: Aunque no sospeche que alguien está tratando de robar sus credenciales, siempre verifique sus resúmenes bancarios y otras cuentas online para detectar cualquier posible actividad sospechosa. Por las dudas...
- Use una solución Anti-Phishing de confianza. Aplique estas técnicas y "Disfrute de una tecnología más segura".
Ejemplos notables
El phishing sistemático comenzó en la red de America Online (AOL) en el año 1995. Para robar las credenciales legítimas de las cuentas, los atacantes se ponían en contacto con las víctimas a través del servicio de mensajería instantánea AOL Instant Messenger (AIM), a menudo haciéndose pasar por empleados de AOL que necesitaban verificar las contraseñas de los usuarios. El término "phishing" apareció en un grupo de noticias de Usenet donde analizaban una herramienta llamada AOHell encargada de automatizar este método, y el nombre se hizo popular. Después de que AOL introdujera las medidas de seguridad correspondientes en 1997, los atacantes se dieron cuenta de que podían usar la misma técnica en otras partes del mundo online y comenzaron a hacerse pasar por instituciones financieras.
Seguir leyendo
Uno de los primeros grandes intentos de phishing (aunque no tuvo éxito) ocurrió en 2001, aprovechando el caos desatado tras los ataques terroristas del 11 de septiembre en los Estados Unidos. Los atacantes enviaron correos electrónicos en los que les pedían a las víctimas que verificaran su identidad, con el objetivo de usar indebidamente los datos recopilados para robar detalles financieros del servicio de moneda digital e-gold.
Solo tomó tres años más para que el phishing se estableciera en el mundo online y, para 2005, ya había costado a los usuarios estadounidenses más de 900 millones de dólares.
De acuerdo con la encuesta global sobre phishing llevada a cabo por APWG, se observaron más de 250.000 ataques únicos de phishing en 2016, que utilizaban una cantidad nunca antes vista de nombres de dominio registrados maliciosamente, y que superó con creces el récord de 95.000. En los últimos años, los suplantadores de identidad mostraron una tendencia a centrarse en servicios bancarios, financieros y monetarios, en clientes de comercio electrónico, y en credenciales de redes sociales y correo electrónico.