Phishing: el rey de las ciberestafas

 

Image

 

Uno de cada 99 correos electrónicos que recibe corresponde a un ataque de phishing. ¿Qué puede hacer para protegerse?

 A lo largo de los siglos ha existido el robo de identidad y de la mano de la masificación de internet y el correo electrónico llegó el phishing, uno de los métodos más utilizados por los delincuentes cibernéticos para obtener información confidencial —como datos personales, números de cuentas y tarjetas de crédito, contraseñas y credenciales de acceso— de forma fraudulenta.

Phishing viene de la palabra inglesa fishing (pescar), y la escritura con “ph” está ligada a la forma comúnmente utilizada por los hackers para sustituir la “f” en la antigua forma de hacking telefónico conocida como phreaking.

La primera mención del término apareció en internet en enero de 1996 en el grupo de noticias de hackers alt.2600, aunque es posible que ya hubiera aparecido anteriormente en la edición impresa del popular boletín hacker 2600. El término fue adoptado por quienes, en los años noventa, intentaban “pescar” cuentas de miembros de America Online (AOL), el entonces gigante de servicios de internet.

¿Cómo lo hacían? Un cracker se hacía pasar por empleado de AOL y mandaba correos a los usuarios “verificando” la cuenta o “confirmando” la dirección de facturación. El cracker, a diferencia del hacker, es el que busca introducirse en sistemas informáticos ajenos con fines delictivos.

Una vez que el usuario enviaba su contraseña, el atacante tenía acceso a la cuenta de la víctima, la cual podía utilizar con diversos propósitos. En esa época, el procedimiento era una novedad y las compañías no tenían reglas estrictas para combatir estos fenómenos, así que muchos cayeron.

Como la práctica se volvió tan frecuente, AOL comenzó a mandar comunicaciones a sus clientes con una línea de texto que indicaba que “nadie que trabaja en AOL le pedirá su contraseña o información de facturación”, además de desarrollar un sistema mediante el cual desactivaba automáticamente una cuenta atacada, generalmente antes de que el cliente pudiera responder. Sin embargo, la idea ya había sido sembrada y mediante otras artimañas, el phishing se ha vuelto el tipo de amenaza virtual más utilizada y que más víctimas alcanza.

Modus operandi

PhishingLa mayor cantidad del phishing se lleva a cabo a través del correo electrónico o e-mail, la web y programas de software malicioso conocidos como malware, siendo el primero el principal medio. De acuerdo con datos de la firma estadounidense de seguridad en la nube Avanan, uno de cada 99 correos electrónicos corresponde a un ataque de phishing. Entre ellos, el más antiguo y común es el e-mail dirigido a una gran cantidad de usuarios de parte de una organización conocida y fiable en el que ésta solicita información personal, como el nombre de usuario y la contraseña, ya sea a través de un enlace a una versión falsificada de su sitio web o a través de un adjunto mediante el que se descarga malware que dará algún tipo de acceso al sistema. Avanan indica que el 41% de los ataques de phishing se dan bajo esta modalidad, con una ganancia promedio de 400 dólares por cuenta. 

Una versión más sofisticada es el llamado spear phishing o phishing personalizado, mediante el cual se trata de obtener información confidencial de una víctima específica, generalmente de alto perfil, como directores de empresas, políticos o personajes mediáticos. A través de un e-mail cuidadosamente fabricado “a la medida”, con información personal de la víctima y de parte de una organización familiar para esta —de manera que parezca lo más verosímil posible— el phisher logra obtener contraseñas, números de cuenta, pines y códigos de acceso, los cuales le permitirán el ingreso a cuentas de bancos y hasta la creación de una nueva identidad. Avanan señala que este constituye un 0,4% de los ataques, con un costo promedio de 7,2 millones de dólares.

Ataques corporativos

Otro método que utiliza las tácticas del spear phishing es el llamado fraude BEC (Business Email Compromise), registrado por primera vez por el Buró Federal de Investigaciones de Estados Unidos (FBI, por sus siglas en inglés) en 2013. Este consiste en el engaño del ciberdelincuente a un empleado con acceso a las finanzas de la compañía (desde un gerente hasta el director financiero) para que este haga una transferencia bancaria motivada por un falso fin empresarial.

Uno de los tipos de estafa BEC más extendidos es el conocido como “Fraude del CEO”. A través del spear phishing y malware, los delincuentes acceden a la red corporativa y examinan los sistemas de facturas, las listas de proveedores o clientes de las empresas y las acciones que realiza el presidente ejecutivo o CEO (por ejemplo, cómo se expresa en sus comunicaciones por correo electrónico). Entonces, aprovechan el momento oportuno —por ejemplo, cuando el CEO sale de viaje— para suplantar su identidad y enviar un e-mail solicitando una transferencia a la cuenta de un proveedor o cliente que parece legítima, la cual en realidad pertenece a la organización delictiva. Esta usa luego técnicas como el lavado de dinero para moverlo fácilmente sin ser detectado por las fuerzas de seguridad. Así, si no se detiene un ataque BEC a tiempo, recuperar el dinero transferido resulta casi imposible.

De acuerdo con el Internet Crime Report de 2016, un informe de delito cibernético del FBI, las estafas BEC fueron el tipo de ataque con mayor impacto económico, generando más de la cuarta parte de las pérdidas registradas en 2016: 360,5 millones de dólares, sobre un total de 1.300 millones de dólares, y esto sin ser el tipo de amenaza más común. Es por eso que son tan populares entre las organizaciones delictivas, ya que reportan alrededor de 30.000 dólares en promedio por ataque.

Defensa

Dada la variedad de los ataques de phishing, no existe una única solución. Las principales son los buenos hábitos de navegación y el uso de tecnologías de protección. Entre los primeros, se recomienda nunca responder o hacer clic en un enlace de un e-mail que pida su información confidencial. Se puede verificar el URL escribiéndolo en la barra del navegador, y en el caso de enlaces acortados, pasando el mouse de la computadora por encima para verificar la dirección de destino. Tampoco hay que abrir archivos adjuntos, los cuales, por lo general, llevan extensiones inusuales.

Si va a enviar información financiera como su número de tarjeta de crédito, en el caso, por ejemplo, de compras por internet, fíjese que el sitio cuente con el ícono de seguridad de candado en la barra de estado del navegador y que tenga el protocolo seguro “https”.

En cuanto a las tecnologías de ciberseguridad, es indispensable contar con protección antivirus, antispam, cortafuegos o firewall y detección de spyware. Por encima de todo, sin embargo, deben estar las buenas costumbres de navegación, ya que algunos sitios web o e-mails pueden eludir el software de seguridad.