Cabecera Home
Revista Segurilatam Edición impresa
Síguenos:
Valoración
  • Actualmente 5 de 5 Estrellas.
Tu valoración
  • Actualmente 5 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

Fernando Luna Zacate, Director de SEI Consulting México

‘Phishing’: la amenaza constante

El mundo de los negocios es cada vez más dinámico y diverso. Hoy en día, la presencia en Internet es esencial para que todas las empresas ofrezcan sus productos y servicios en cada sector de mercado e industria. Autor: Fernando Luna Zacate, director de SEI Consulting México.

A la par de este dinamismo también se van creando y reafirmando con más fuerza los riesgos hacia el robo de información, en especial la información de índole personal. Una de las añejas técnicas, que aunque parezca ya muy vieja sigue muy actual y con una fuerza tremenda, es el phishing. Se trata de una técnica de ingeniería social muy conocida, la cual se ha diversificado y mejorado en técnicas y estrategias de ataque, logrando evadir muchas veces a las herramientas de protección de las compañías.

¿Qué es el 'phishing'?

Según Malwarebytes Labs, el phishing es el delito de engañar a las personas para que compartan información confidencial como contraseñas y números de tarjetas de crédito. Como ocurre en la pesca, existe más de una forma de atrapar a una víctima, pero hay una táctica de phishing que es la más común.

Las víctimas reciben un mensaje de correo electrónico o un mensaje de texto que imita, o suplanta su identidad, a una persona u organización de confianza, como un compañero de trabajo, un banco o una oficina gubernamental. Cuando la víctima abre el correo electrónico, o el mensaje de texto, encuentra un mensaje pensado para asustarle con la intención de debilitar su buen juicio al infundirle miedo. El mensaje exige que la víctima vaya a un sitio web y actúe de inmediato o tendrá que afrontar alguna consecuencia.

Si un usuario pica el anzuelo y hace clic en el enlace, se le envía a un sitio web que es una imitación del legítimo. A partir de aquí, se le pide que se registre con sus credenciales de nombre de usuario y contraseña. Si es lo suficientemente ingenuo y lo hace, la información de inicio de sesión llega al atacante, que la utiliza para robar identidades, saquear cuentas bancarias y vender información personal en el mercado negro.

A diferencia de otros tipos de amenazas de Internet, el phishing no requiere conocimientos técnicos especialmente sofisticados. De hecho, según Adam Kujawa, director de Malwarebytes Labs, “el phishing es la forma más sencilla de ciberataque y, al mismo tiempo, la más peligrosa y efectiva. Ello se debe a que ataca el ordenador más vulnerable y potente del planeta: la mente humana”.

Los autores del phishing no tratan de explotar una vulnerabilidad técnica en el sistema operativo de un dispositivo, sino que utilizan ingeniería social. Ningún sistema operativo está completamente a salvo del phishing, con independencia de lo sólida que sea su seguridad. De hecho, los atacantes a menudo recurren al phishing porque no pueden encontrar ninguna vulnerabilidad técnica.

¿Por qué perder el tiempo tratando de burlar capas de seguridad cuando pueden engañar a alguien para que les entregue la llave? En la mayoría de los casos, el eslabón más débil en un sistema de seguridad no es un fallo oculto en el código informático, sino una persona que no comprueba la procedencia de un correo electrónico.

Amenaza creciente

En la conferencia RSA celebrada el pasado mes de marzo en San Francisco, Google mencionó que la plataforma de Gmail ve alrededor de 100 millones de correos maliciosos al día. Por lo que, actualmente, el phishing sigue siendo prolífico y efectivo, volviéndose una amenaza de índole global en un escenario en el que los ciberdelincuentes usan IP de diferentes países y los objetivos no tienen límite, ya que pueden atacar a organizaciones de América, Europa, el Medio Oriente, etc.

Según la compañía de ciberseguridad Cyren, las 10 firmas más suplantadas en EEUU por los ciberdelincuentes, hasta octubre de 2018, eran HM Revenue & Customs, Apple, Amazon, PayPal, HSBC, Google, Uber, eBay, Barclays y Nationwide.

Para aquellos que lo desconozcan, estos son los componentes que conforman una campaña de phishing:

  • Sitio web objetivo.
  • Infraestructura del servicio de correos.
  • Usuarios objetivo.
  • Formatos de correos electrónicos.
  • Sitio web de exfiltración de credenciales.
  • Manejo del personal operativo.

'Spear phishing'

Mientras la mayoría de las campañas de phishing envían correos electrónicos masivos al mayor número posible de personas, el spear phishing es un ataque dirigido. El spear phishing ataca a una persona u organización específica, a menudo con contenido personalizado para la víctima o víctimas. Requiere un reconocimiento previo al ataque para descubrir nombres, cargos, direcciones de correo electrónico, etc. Los hackers buscan en Internet para relacionar esta información con lo que han averiguado sobre los colegas profesionales del objetivo, junto con los nombres y las relaciones profesionales de los empleados clave en sus organizaciones. Con esto, el autor del phishing crea un correo electrónico creíble.

Por ejemplo, un estafador podría crear un ataque de spear phishing a un empleado cuyas responsabilidades incluyen la capacidad de autorizar pagos. El correo electrónico aparenta proceder de un ejecutivo en la organización, que exige al empleado que envíe un pago sustancial al ejecutivo o a un proveedor de la empresa (cuando, en realidad, el enlace del pago malicioso lo envía al atacante).

El spear phishing es una amenaza crítica para empresas y gobiernos, y cuesta mucho dinero. Según un informe de 2016, el spear phishing fue responsable del 38% de los ciberataques que sufrieron las empresas que colaboraron en su elaboración en 2015. Además, para las organizaciones estadounidenses implicadas, el coste medio de los ataques de spear phishing fue de 1,8 millones de dólares por incidente.

'Phishing' de clonación

En este ataque, los delincuentes hacen una copia o clonan correos electrónicos legítimos enviados anteriormente que contienen un enlace o un archivo adjunto. El autor del phishing sustituye los enlaces o archivos adjuntos con contenido malicioso disfrazado para hacerse pasar por el auténtico. Los usuarios desprevenidos hacen clic en el enlace o abren el adjunto, lo que a menudo permite tomar el control de sus sistemas. Y el autor del phishing puede falsificar la identidad de la víctima para hacerse pasar por un remitente de confianza ante otras víctimas de la misma organización.

'Phishing' telefónico

Con los intentos de phishing a través del teléfono, a veces llamados phishing de voz o vishing, el phisher llama afirmando representar a su banco local, la policía o incluso la agencia tributaria. A continuación, asusta a la víctima con algún tipo de problema e insiste en que lo solucione inmediatamente facilitando su información de cuenta o pagando una multa. Normalmente, le pide que pague con una transferencia bancaria o con tarjetas prepago, porque son imposibles de rastrear.

'Phishing' vía SMS

También conocido como smishing, es el gemelo malvado del vishing y realiza el mismo tipo de estafa (algunas veces con un enlace malicioso incorporado en el que hacer clic) por medio de un mensaje de texto SMS.

Volver

Recibe GRATIS noticias en tu e-mail

¿Quieres estar informado? Ya puedes suscribirte de forma gratuita a nuestra newsletter