Últimamente estamos experimentando una auténtica epidemia de ataques de phishing y sus numerosas variantes: por eso es importante afrontar el problema en su origen, interviniendo en el factor humano del ciber-riesgo mediante cursos de formación y sensibilización.
Cada violación de datos de alto perfil que se ha detectado en los últimos tiempos -y por desgracia no son pocas- viene invariablemente acompañada de informes o notificaciones que nos dicen que en el origen del ciber-incidente, en la mayoría de los casos, hubo un ataque de phishing o una de sus muchas variantes.
Este hecho también se confirma en el informe Verizion Data Breach Report 2020, que identifica esta técnica como la principal responsable de la mayoría de los incidentes detectados. Para ponernos en contexto, el año pasado en Estados Unidos, más de dos de cada tres empresas admitieron haber sufrido un ataque de phishing con éxito.
Esto dice mucho de la sofisticación de los atacantes y de la necesidad de una formación en ciberseguridad igualmente sofisticada para todos los usuarios/empleados.
A esto se añade, por supuesto, el hecho de que no todos los ataques de phishing funcionan de la misma manera, lo que hace más difícil la tarea de concienciación sobre estas amenazas.
Tabla de Contenido
Empecemos con lo primero…
¿Qué es el Phishing?
El phishing o suplantación de identidad, no es más que un intento de estafa a través de Internet con el único objetivo de obtener información confidencial y sensible como nombres de usuario, contraseñas, códigos de acceso, números de cuentas bancarias o datos de tarjetas de crédito. No es casualidad que el phishing derive del término inglés fishing, que significa, precisamente, pesca.
Para llevar a la práctica este intento de fraude, los malintencionados que utilizan técnicas de phishing no emplean virus, programas espía, malware u otro tipo de software malicioso, sino que se limitan a utilizar técnicas de ingeniería social, mediante las cuales se estudian y analizan los hábitos de las personas, es decir, de las víctimas potenciales, para obtener información potencialmente útil.
Entonces, ¿Cuáles son las variantes más comunes?
Tipos o Variantes de Phishing
Spam Genérico
La forma más común de phishing es el phishing genérico y masivo, a menudo apoyado por botnets, en el que alguien envía un correo electrónico haciéndose pasar por otra persona e intenta engañar al destinatario para que realice una acción específica (normalmente dirigiendo a la víctima a un sitio web malicioso o descargando malware).
Los ataques se basan a menudo en la suplantación del correo electrónico, en la que se falsea el encabezamiento del mismo para que el mensaje parezca enviado por un remitente de confianza.
En la mayoría de los casos, los ataques de phishing de este tipo parecen un correo electrónico de notificación de entrega de una empresa de mensajería, un mensaje de advertencia de PayPal sobre contraseñas que caducan o un correo electrónico de Office 365.
Ejemplos:
- Robar la contraseña de la transacción bancaria de los usuarios
- Robar las credenciales de inicio de sesión de los usuarios
Pero no todos los ataques son tan genéricos.
Spear Phishing
Los ataques de phishing reciben este nombre (de hecho, la asonancia con “pesca” o “spear” no es casual) de la idea de que los estafadores pescan víctimas al azar utilizando correos electrónicos fraudulentos como cebo.
Los ataques de spear phishing amplían la analogía de la pesca, ya que los atacantes se dirigen específicamente a víctimas y organizaciones de alto valor.
En lugar de intentar obtener las credenciales bancarias de 1.000 víctimas al azar, por ejemplo, el atacante podría considerar más rentable dirigirse a un puñado de empresas.
Los ataques de spear phishing son extremadamente eficaces porque los atacantes dedican mucho tiempo a elaborar información específica para el destinatario, como por ejemplo, haciendo referencia a una conferencia a la que la víctima acaba de asistir o enviando un archivo adjunto malicioso en el que el nombre del archivo hace referencia a un tema en el que el destinatario está interesado.
Ejemplos:
- Robar detalles importantes de una organización
- Robar el procedimiento de diseño de productos de una empresa
Whaling
Un ataque de phishing que se dirige específicamente a los ejecutivos de la empresa se denomina whaling porque la víctima se considera de alto valor y la información robada será más valiosa que la que puede ofrecer un empleado normal.
Las credenciales de un director general le abrirán más puertas que las de un empleado principiante.
Esta variante de phishing también requiere una investigación adicional porque el atacante necesita saber con quién se comunica la víctima prevista y el tipo de conversaciones que mantienen (clientes importantes, procesos, etc.).
Los atacantes suelen comenzar con la ingeniería social para recopilar información sobre la víctima y la empresa antes de crear el mensaje de phishing que se utilizará en el ataque Whaling.
Business Email Compromise (BEC)
La técnica BEC. En este caso, los ciberdelincuentes se dirigen a personas clave de las áreas de administración y contabilidad de las empresas a través de ataques de Compromiso del Correo Electrónico Comercial (BEC).
Haciéndose pasar por directores financieros y directores generales, estos hackers intentan engañar a las víctimas para que inicien transferencias de dinero a cuentas no autorizadas.
Normalmente, los atacantes comprometen la cuenta de correo electrónico de un alto ejecutivo o director financiero aprovechando una infección de malware existente o mediante un ataque de phishing selectivo (spear phishing). Una vez hecho esto, el atacante se esconde y vigila la actividad del correo electrónico del ejecutivo durante un largo periodo de tiempo para conocer los procesos y procedimientos internos de la empresa.
El ataque real toma la forma de un correo electrónico falso que parece provenir de la cuenta del ejecutivo comprometido y se envía a alguien que es un destinatario habitual.
El correo electrónico parece ser importante y urgente y solicita que el destinatario envíe una transferencia a una cuenta bancaria externa o desconocida.
Por supuesto, esto termina directamente en la cuenta bancaria del atacante.
Clone Phishing
El Clone Phishing requiere que el atacante cree una réplica casi idéntica de un mensaje legítimo para engañar a la víctima haciéndole creer que es real.
El correo electrónico se envía desde una dirección que se parece al remitente legítimo, y el cuerpo del mensaje es idéntico al de un mensaje anterior.
La única diferencia es que el archivo adjunto o el enlace del mensaje se ha cambiado por uno malicioso. Para hacer efectiva esta técnica, el atacante utilizará frases como “necesito reenviar el original o una versión actualizada” para explicar por qué la víctima está recibiendo de nuevo el “mismo” mensaje.
Este ataque se basa en un mensaje legítimo que se ha visto antes, lo que hace más probable que los usuarios no sospechen de un ataque.
TabNabbing
El TabNabbing es una técnica con la que intentan extorsionar datos personales a través de una página de login idéntica a la del servicio en cuestión, pero la forma en la que acabamos introduciendo nuestros datos en el formulario malicioso es diferente.
La característica de este nuevo tipo de ataque es que va a golpear a aquellos que navegan por muchos sitios ubicados en muchas pestañas abiertas al mismo tiempo.
Los navegantes más asiduos pueden, por costumbre, dejar pestañas abiertas para futuras consultas: es justo ahí, cuando las dejamos descansar, donde se produce el fulcro de este ataque.
El código que estará presente dentro de la página comprobará si la estás viendo. Si lo has dejado reposar durante un tiempo predefinido, todo el sitio web (excluyendo la URL, por supuesto) se convertirá por arte de magia en la página de inicio de sesión del servicio que nos quieren robar.
Pharming
El pharming es, de hecho, un fraude en línea similar al phishing pero, en algunos aspectos, aún más insidioso. El objetivo del ataque de pharming es conseguir que la víctima, al querer acceder a un determinado servicio en línea (por ejemplo, su banca por internet), sea dirigida en cambio a una réplica fraudulenta del sitio del banco y allí introduzca las credenciales de acceso, que son adquiridas por los atacantes.
El objetivo del pharming es, por tanto, el mismo que el del phishing, pero hay una diferencia sustancial en el modo de ataque entre ambos: en el phishing, la víctima es engañada por una comunicación aparentemente legítima (el clásico boletín electrónico); en el pharming, la víctima llega al sitio fraudulento simplemente escribiendo en la barra de su navegador la URL “correcta” del sitio al que quiere llegar. Si lo que el usuario ve es una probable copia del original, se hace muy difícil ver la estafa.
Vishing
Vieja técnica, nueva amenaza. Vishing significa “phishing de voz” e implica el uso del teléfono. Normalmente, la víctima recibe una llamada con un mensaje de voz disfrazado de comunicación de una entidad financiera.
Por ejemplo, el mensaje puede pedir al destinatario que llame a un número e introduzca los datos de su cuenta o su PIN por motivos de seguridad u otros fines oficiales. Sin embargo, el número de teléfono que suena es el del atacante que utiliza un servicio de voz sobre IP.
Smishing
¿Creíste haber visto todo?, ¿Qué tal el phishing por SMS?
La palabra smishing proviene de la unión de phishing y SMS. Se trata simplemente del clásico vector de ciberataque online traducido en una plataforma móvil, como su nombre indica.
Si en el caso del phishing tradicional los hackers criminales utilizan correos fraudulentos -apoyándose en una serie de trucos del oficio para engañar a las víctimas- para convencer a sus víctimas de que realicen acciones como hacer clic en enlaces maliciosos o abrir archivos adjuntos que contienen malware, en el caso del smishing esta actividad se replica en todos los sentidos, pero se produce a través de SMS.
Este medio puede ser, si cabe, aún más peligroso, porque generalmente la atención que el usuario medio presta a lo que recibe en su dispositivo es aún menor.
Basta decir que un usuario medio recibe y envía más de 70 mensajes al día. A esto hay que añadir el hecho de que culturalmente la amenaza cibernética móvil está definitivamente subestimada.
Este es un hecho bien conocido por los hackers criminales, que utilizan el smishing para obtener los datos personales de las víctimas con el fin de utilizarlos para robar dinero, pero también para obtener el primer punto de acceso para posteriores ataques contra una organización.
Cómo hacer frente a la amenaza
Comencemos con unos consejos profesionales:
- En primer lugar, comprueba el origen del mensaje y léelo con atención porque también puede haber errores gramaticales, de formato o de traducción que ya deberían hacerte sospechar de alguna manera
- No hagas nunca clic en los enlaces del mensaje fraudulento y no descargues ni abras los archivos adjuntos que contiene
- Comprueba siempre la URL del sitio que aparece en la barra de direcciones de su navegador favorito y no dejes nunca demasiadas pestañas abiertas en éste, ya que de lo contrario podría ser víctima de una técnica conocida como tabnabbing;
- Comprueba periódicamente los movimientos de tu cuenta corriente y, si es posible, active el servicio de alerta por SMS que te informará en cuanto haya movimientos en tu cuenta;
- Por último, si observas algún correo electrónico sospechoso, comunícalo al propietario del servicio de correo electrónico simplemente marcando el mensaje como spam.
Ante la auténtica epidemia de phishing y sus múltiples variantes que estamos observando en los últimos tiempos (aún más cuando hay eventos u ofertas mundiales como el Black Friday), la importancia de atajar el problema en su origen nunca ha sido mayor.
La solución es simplemente actuar sobre el factor humano del ciberriesgo, mediante cursos de formación y concienciación.
Las organizaciones deberían considerar la adopción de campañas periódicas de concienciación interna y asegurarse de que los empleados tienen las herramientas necesarias para reconocer los diferentes tipos de ataques.
Servicios como ThreatCop están diseñados para eso: para proporcionar la formación necesaria para evitar que los empleados caigan en las trampas de los hackers criminales a través de simulaciones de ciberataques.
No bajemos la guardia.