Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
¿Qué es phishing?
Si un usuario pica el anzuelo y hace clic en el enlace, se le envía a un sitio web que es una
imitación del legítimo. A partir de aquí, se le pide que se registre con sus credenciales de
nombre de usuario y contraseña. Si es lo suficientemente ingenuo y lo hace, la información
de inicio de sesión llega al atacante, que la utiliza para robar identidades, saquear cuentas
bancarias, y vender información personal en el mercado negro.
El origen del nombre “phishing” es fácil de rastrear. El proceso de llevar a cabo una estafa
de phishing es muy similar al de la pesca (“fishing” en inglés). Se prepara el anzuelo
pensando en engañar a una víctima, y luego se lanza y se espera a que pique. En cuanto
al dígrafo “ph” en sustitución de “f,” podría ser el resultado de la combinación de las
palabras inglesas “fishing” y “phony,” pero algunas fuentes apuntan a otro posible origen.
En los años 70, se formó una subcultura en torno a los ataques de baja tecnología para
explotar el sistema telefónico. Estos primeros hackers se llamaban “phreaks”, una
combinación de las palabras inglesas “phone” (teléfono) y “freak” (raro, friqui). En una
época en la que no había demasiados ordenadores en red que hackear, el phreaking era una
forma común de hacer llamadas gratuitas de larga distancia o llegar a números que no
salían en los listines.
Incluso antes de que arraigara el término “phishing”, se describió en detalle una técnica de
phishing en una presentación del Grupo Internacional de Usuarios HP, Interex, en 1987.
En la década de 2000, el phishing dirigió su atención a explotar los sistemas de pago online.
Se hizo común que los phishers dirigieran sus ataques a los clientes de servicios de pago
bancario y online, algunos de los cuales, según investigaciones posteriores, fueron
identificados correctamente y asociados al banco que verdaderamente utilizaban. De igual
forma, los sitios de redes sociales se convirtieron en un objetivo principal del phishing, que
era atractivo para los defraudadores porque los detalles personales registrados en dichos
sitios son de utilidad para el robo de identidad.
Los delincuentes registraron docenas de dominios que se hacían pasar por eBay y PayPal
imitándolos tan bien que parecían reales si no se prestaba la suficiente atención. Los
clientes de PayPal recibieron entonces correos electrónicos de phishing (con enlaces al sitio
web falso), pidiéndoles que actualicen los números de su tarjeta de crédito y otra
información personal. The Banker (una publicación propiedad de The Financial Times
Ltd.) informó del primer ataque conocido de phishing contra un banco en septiembre de
2003.
“En 2013, se robaron 110 millones de registros de clientes y tarjetas de crédito de los
clientes de Target”.
Incluso más infame fue la campaña de phishing lanzada por Fancy Bear (un grupo de
ciberespionaje asociado con el Departamento Central de Inteligencia ruso GRU) contra las
direcciones de correo electrónico asociadas con el Comité Nacional Demócrata en el primer
trimestre de 2016. En particular, al director de la campaña de Hillary Clinton en las
elecciones presidenciales de 2016, John Podesta, se le hackeo su Gmail, con las filtraciones
subsiguientes, después de caer en el truco más antiguo: un ataque de phishing que afirmaba
que su contraseña de correo electrónico se había visto comprometida (por lo tanto, haga clic
aquí para cambiarla).
Spear phishing
Por ejemplo, un estafador podría crear un ataque de spear phishing a un empleado cuyas
responsabilidades incluyen la capacidad de autorizar pagos. El correo electrónico aparenta
proceder de un ejecutivo en la organización, que exige al empleado que envíe un pago
sustancial al ejecutivo o a un proveedor de la empresa (cuando en realidad el enlace del
pago malicioso lo envía al atacante).
Spear phishing es una amenaza crítica para empresas (y gobiernos), y cuesta mucho dinero.
Según un informe de 2016 de una investigación sobre el tema, el spear phishing fue
responsable del 38% de los ciberataques en las empresas participantes durante 2015.
Además, para las empresas estadounidenses implicadas, el coste medio de los ataques de
spear phishing fue de 1,8 millones de dólares por incidente.
“Un extenso correo electrónico de phishing de alguien que afirmaba ser un príncipe
nigeriano es una de las estafas más antiguas de Internet”.
Phishing de clonación
En este ataque, los delincuentes hacen una copia, o clonan, correos electrónicos legítimos
enviados anteriormente que contienen un enlace o un archivo adjunto. Luego, el autor del
phishing sustituye los enlaces o archivos adjuntos con contenido malicioso disfrazado para
hacerse pasar por el auténtico. Los usuarios desprevenidos hacen clic en el enlace o abren el
adjunto, lo que a menudo permite tomar el control de sus sistemas. Luego el autor del
phishing puede falsificar la identidad de la víctima para hacerse pasar por un remitente de
confianza ante otras víctimas de la misma organización.
419/Estafas nigerianas
En una divertida actualización de la clásica plantilla del phishing nigeriano, el sitio web
británico de noticias Anorak informó en 2016 de que había recibido un mensaje de correo
electrónico de un tal Dr. Bakare Tunde, que afirmaba ser el director del proyecto de
Astronáutica de la Agencia Nacional de Investigación y Desarrollo Espacial de Nigeria. El
Dr. Tunde afirmaba que su primo, el comandante de las Fuerzas Aéreas Abacha Tunde, se
había quedado atrapado en una antigua estación espacial soviética durante más de 25 años.
Pero, por sólo 3 millones de dólares, las autoridades espaciales rusas podrían organizar un
vuelo para llevarle a casa. Todo lo que los destinatarios tenían que hacer era enviar la
información de su cuenta bancaria para transferir la cantidad necesaria, y el Dr. Tunde les
pagaría una comisión de 600.000 dólares.
Por cierto, el número “419” está asociado con esta estafa. Hace referencia a la sección del
código penal nigeriano que trata sobre fraude, los cargos y las penas para los infractores.
Phishing telefónico
Con los intentos de phishing a través del teléfono, a veces llamados phishing de voz o
“vishing,” el phisher llama afirmando representar a su banco local, la policía o incluso la
Agencia Tributaria. A continuación, le asustan con algún tipo de problema e insisten en que
lo solucione inmediatamente facilitando su información de cuenta o pagando una multa.
Normalmente le piden que pague con una transferencia bancaria o con tarjetas prepago,
porque son imposibles de rastrear.
Phishing vía SMS, o “smishing,” es el gemelo malvado del vishing, que realiza el mismo
tipo de estafa (algunas veces con un enlace malicioso incorporado en el que hacer clic) por
medio de un mensaje de texto SMS.
“El correo electrónico hace una oferta que parece demasiado buena para ser verdad”.
El correo electrónico hace una oferta que parece demasiado buena para ser verdad. Podría
decir que ha ganado la lotería, un premio caro, o alguna otra cosa de valor muy elevado.
Reconoce al remitente, pero es alguien con quién no trata. Incluso si conoce el
nombre del remitente, sospeche si es alguien con quien normalmente no se
comunica, especialmente si el contenido del correo electrónico no tiene nada que
ver con sus responsabilidades laborales habituales. Lo mismo ocurre si aparece en
copia en un correo electrónico a personas a las que ni siquiera conoce, o quizá un
grupo de colegas de departamentos con los que no tiene relación.
El mensaje suena aterrador. Tenga cuidado si el correo electrónico tiene un lenguaje
alarmista para crear un sentido de urgencia, instándole a que haga clic y “actúe
ahora” antes de se elimine su cuenta. Recuerde, las organizaciones responsables no
solicitan detalles personales a través de Internet.
El mensaje contiene archivos adjuntos inesperados o extraños. Estos adjuntos
pueden contener malware, ransomware o alguna otra amenaza online.
El mensaje contiene enlaces que parecen un poco extraños. Incluso si no siente un
hormigueo por ninguno de los puntos anteriores, no asuma que los hiperenlaces
incluidos llevan a donde parece. En su lugar, pase el cursor por encima del enlace
para ver la URL real. Esté especialmente atento a sutiles errores ortográficos en un
sitio web que le sea familiar, porque indica una falsificación. Siempre es mejor
escribir directamente la URL en lugar de hacer clic en el enlace incorporado.
Hacer clic en el enlace le lleva a este formulario, que le invita a revelar lo que el phisher
necesita para saquear sus bienes:
Una vez más, nuestro Adam Kujawa propone algunas de las prácticas más importantes para
mantenerse a salvo: