El phishing se refiere al envío de correos electrónicos que tienen la apariencia de proceder de fuentes confiables, tales como instituciones bancarias, entidades judiciales, etc., con la finalidad de robar información confidencial.
Este tipo de información puede abarcar desde números de identificación, contraseñas, número de cuenta bancaria, detalles de la tarjeta de crédito, domicilio, cuentas de redes sociales, etc. Con el fin de utilizar esta información para realizar robos financieros, robo de identidad, obtener acceso ilegal a diferentes cuentas, chantaje, entre otros.
PRINCIPALES MECANISMOS UTILIZADOS EN LOS CORREOS ELECTRÓNICOS DE PHISHING
Los ciberdelincuentes utilizan varios métodos para realizar ataques de phishing, los más comunes son los siguientes:
Enlaces web maliciosos.
Enlaces web maliciosos.
Un enlace web malicioso es un 'URL' que a nuestra vista parece fiable pero que, llevan a los usuarios a páginas web falsas que imita ser una web oficial legítima o que están infectadas con software malintencionado. Una vez que el usuario cree estar navegando por una web de confianza, podría introducir datos personales como su correo electrónico, contraseñas e incluso datos bancarios.
El proceder de los ciberdelincuentes es el enviar correos electrónicos en los que se pide al usuario que haga clic en un 'link', al acceder a este, en lugar de pedir datos personales al usuario, se da el acceso para se instale algún tipo de 'malware' en el equipo del usuario, o aplicaciones espías como un Keylogger.
Archivos adjuntos maliciosos.
Los archivos adjuntos son comunes a la hora de recibir correos electrónicos, por lo cual es el método más común para que se den ataques de phishing mediante archivos adjuntos maliciosos. Estos archivos adjuntos maliciosos pueden parecer confiables, ya que aparentemente pueden ser documentos importantes como facturas, anuncios, imágenes, etc., pero realmente están infectados con malware o ransomware que puede comprometer el computador y los archivos que contienen, así como el de toda la organización ya que pueden propagarse de una PC a otros dispositivos conectados en red, tales como discos duros externos, servidores y hasta sistemas basados en la nube.
Formularios falsos de inserción de datos.
A diferencia de los dos métodos anteriores, los ciberdelincuentes realizan ingeniería social a sus posibles víctimas, los cuales reciben mediante correo electrónico un “link” que los redirecciona a una página falsa, similar a alguna página de interés del usuario, mediante la cual se le despliega un formulario para ingreso de datos personales como número de cédula, usuario o ID, contraseñas, datos de tarjetas de crédito y números telefónicos.
Una vez que los usuarios envían esa información, los cibercriminales pueden usarla para sus propósitos.
- Verificar la fuente de información de tus correos entrantes. Las instituciones financieras jamás pedirán información como envío de contraseñas, claves de ATM o datos personales por correo., ya que ellos tienen esa información, por tal motivo, NUNCA responda este tipo de preguntas y llame a su institución financiera si tiene alguna duda o requiere reportarla para que otros usuarios no caigan en estas estafas.
- No acceda mediante links incluidos en correos electrónicos. Al ingresar mediante este tipo de links embebidos en correos electrónicos, podría dirigirle a una página falsa. Se recomienda que ingrese tecleando directamente la dirección web en su navegador.
- Utilice herramientas seguridad de su computador. El uso de herramientas de seguridad, como un antivirus, EDR, XDR, ayudan con la protección del computador, bloqueando la instalación de software malintencionado.
- No acceda a sus cuentas que requieran información personal desde lugares públicos. Procure evitar acceder a páginas que soliciten sus datos personales desde algún público como cyber-café, en el cual usted no sabes si se encuentra instalado algún tipo de software malicioso destinado a capturar sus datos.
- Tecnologías de seguridad para combatir el phishing. Cuando hablamos de empresas, no basta únicamente con el uso de herramientas como antivirus, se recomienda el uso de tecnologías más avanzadas como filtros AntiSpam, filtros Web, plataformas de doble factor de autenticación.
Conclusiones:
- Las organizaciones pueden mitigar el riesgo de suplantación de identidad (phishing) con medios tecnológicos, como filtros de spam, pero estos han demostrado ser poco confiables, con el uso de tecnologías pocas maduras.
- Los correos electrónicos maliciosos siempre se enviarán de forma regular, y cuando eso suceda, lo único que evitará que nuestra organización sufra una violación es la capacidad de nuestros usuarios finales para detectar la naturaleza fraudulenta y responder de manera adecuada.
- La única forma, de paliar los ataques de phishing es concienciar al empleado. El uso de tecnologías nos ayuda a reducir muchísimo la recepción de estos, como si fuese un embudo, pero el punto final, es el usuario final.
Referencias bibliográficas.
Panda (2021). Phishing, website: https://www.pandasecurity.com/es/security-info/phishing/
IBM (2022). ¿Qué es el Phishing? website: https://www.ibm.com/es-es/topics/phishing/
Malwarebytes (2023). Acerca de Phishing website: https://es.malwarebytes.com/phishing/