Se han utilizado contra nosotros durante más de dos décadas, por lo que los ataques de phishing no son nada nuevo. Sin embargo, han evolucionado. Ya no se limitan al correo electrónico, sino que también pueden enviarse por redes sociales y mensajes de texto SMS. Es la entrega en constante evolución de las mismas viejas estafas con un nuevo ropaje.
Phishing moderno: el campo de minas en tu buzón de correo electrónico
El phishing es una forma de ciberataque que se realiza principalmente por correo electrónico. En un informe de Symantec de 2017, se determinó que se enviaban 135 millones de correos electrónicos de phishing al día, y que se creaban 1,5 millones de sitios web fraudulentos al mes para facilitar estas estafas.
Son grandes cifras. Dos factores hacen que los ataques de phishing sean populares entre los ciberdelincuentes o “actores de amenazas“. En primer lugar, son ataques fáciles de realizar. En su nivel más básico, un ataque de phishing es la forma más simple de ciberataque. Todo lo que hay que hacer es enviar correos electrónicos.
La segunda razón es que las estafas de phishing tienen éxito. La gente es engañada por ellos todo el tiempo. Es el sueño de un actor de amenazas: un ataque sencillo que funciona.
Anatomía de un ataque de phishing
La premisa básica es que un correo electrónico de phishing imita un correo electrónico de una entidad auténtica. Puede hacerse pasar por un correo electrónico de una organización que reconoces, como PayPal, X (antes Twitter) o Facebook. Puede hacerse pasar por una figura de autoridad, como un organismo policial o un alto ejecutivo de tu propia organización.
El correo electrónico intenta obligarte a realizar una acción.
- Puede pedirte que hagas clic en un enlace que te lleva a una copia fraudulenta de un sitio web auténtico. Cuando te conectas, obtienen tus credenciales, que pueden utilizar en el sitio web auténtico, o en cualquier otro sistema en el que hayas utilizado el mismo ID y contraseña.
- Puede intentar que abras un archivo adjunto malicioso que infectará tu ordenador y tu red con malware, como un ransomware.
- Puede intentar coaccionarte para que realices un pago. No sólo obtienen el dinero del pago, sino también los datos de tu tarjeta de crédito.
- Los correos electrónicos que parecen proceder de altos ejecutivos o miembros del consejo de administración intentan persuadir al personal del departamento de contabilidad para que realice una transferencia a un cliente o proveedor. Los datos bancarios proporcionados son los del actor de la amenaza, por supuesto.
Con los cientos de millones de correos electrónicos de phishing que se envían cada día, no es de extrañar que tengan éxito. Si tienes suficientes tiros a puerta, algunos entrarán. Que alguien caiga o no en un correo de phishing no siempre es un reflejo de su inteligencia. Cualquiera puede cometer un error con las prisas.
Si el mensaje del correo electrónico de phishing te toca la fibra sensible, es muy fácil tomárselo al pie de la letra y reaccionar sin pararse a pensar. Que es justo lo que esperan los actores de la amenaza. Y a Internet llegan continuamente nuevos usuarios, tanto jóvenes como mayores. No tienen experiencia en detectar este tipo de estafas.
Preparar el ataque de phishing: Guerra psicológica
La redacción de los correos electrónicos de phishing ha cambiado mucho a lo largo de los años. Hace veinte años, era habitual que tuvieran extravagantes historias de tapadera que implicaban herencias perdidas, príncipes nigerianos y viudas de espías retirados.
Estaban mal escritos y salpicados de faltas gramaticales y ortográficas. Hay una teoría que dice que se escribían así porque, si nada de eso te desanimaba, probablemente eras lo bastante crédulo como para caer en la trampa.
Sin embargo, esa teoría no resiste el escrutinio. Si no te molesta la ridícula portada y la mala gramática, es probable que seas alguien situado en el extremo inferior del espectro educativo. Y probablemente en un trabajo peor pagado. ¿Por qué los estafadores filtrarían a propósito a todos los demás y se centrarían en el segmento menos acomodado de la sociedad?
Hoy en día, la mayoría de los correos electrónicos de phishing están hábilmente elaborados. Tienen los logotipos apropiados, pies de página, descargos de responsabilidad y otras imágenes de la empresa para que parezcan reales. Se presta atención a la gramática y la ortografía para que suenen reales.
Y, sobre todo, están redactados para generar una sensación de urgencia, de modo que sea más probable que las víctimas reaccionen inmediatamente y caigan en la trampa. La psicología y la comprensión de la naturaleza humana intervienen en el montaje de la trampa.
Estos son los temas típicos de los correos electrónicos de phishing:
Asunto | Descripción |
---|---|
Compromiso/Cierre de Cuenta | Tu cuenta ha sido comprometida o está a punto de ser cerrada, o necesitas verificar tus credenciales. Si crees que tu cuenta de PayPal, Netflix u otra va a ser cerrada, es probable que intentes evitar que eso suceda. |
Notificaciones de Compras Falsas | Tenemos noticias sobre tu compra reciente. Si no has realizado una compra, iniciar sesión rápidamente para verificar si alguien ha tenido acceso ilegal a tu cuenta es una respuesta razonable. Esto utiliza el miedo a un ciberataque para llevarte a caer en un verdadero ciberataque. |
Reembolso de Impuestos/Premio | Tienes un reembolso de impuestos o has ganado un premio. La posibilidad de dinero gratis es una excelente manera de hacer que las personas reaccionen. Este tipo de ataques de phishing pueden robar tus credenciales de inicio de sesión, o pueden pedir la tarjeta de crédito a la que deseas que se realice el reembolso. Y entonces también tienen los detalles de tu tarjeta de crédito. |
Facturas Falsas | Factura adjunta. ¿Factura – de qué? Tu reacción natural es abrir el documento de Word o PDF adjunto para ver quién cree que le debes dinero. |
Documentos de Word Adjuntos Maliciosos | Los archivos adjuntos no son documentos, a pesar de su apariencia. Son aplicaciones disfrazadas que instalan malware cuando haces clic en ellas. Menos común, pero aún así una amenaza viable, es que el archivo adjunto sea un documento de Word genuino. Uno que contiene macros maliciosas. |
¡Todas las marcas disponibles!
Los correos electrónicos de phishing se han creado para explotar a los usuarios de casi cualquier sistema o servicio en línea que se te ocurra.
Te preguntarás, ¿de qué le sirve mi cuenta de Twitter a un ciberdelincuente? No quieren tu cuenta de Twitter. Quieren hacerse con un conjunto de credenciales de autenticación que tú utilizas.
La gente tiene la terrible costumbre de utilizar la misma contraseña una y otra vez, en toda la web. Una vez que los actores de la amenaza tengan tus datos de acceso a un sistema, los introducirán en un script automatizado que los probará en todos los servicios web populares.
Y recibir un correo electrónico pidiéndote que verifiques tus credenciales en algo tan inocuo como Twitter no va a hacer sonar la misma alarma que un mensaje similar de, por ejemplo, un servicio de pago como PayPal.
Los actores de amenazas trabajan con los números para que las probabilidades estén a su favor. Si recibes un correo electrónico diciendo que tu cuenta se ha visto comprometida en un servicio al que ni siquiera estás suscrito, eso indica que se trata de un correo electrónico de phishing.
Por eso suelen elegir plataformas populares como Twitter, Facebook e Instagram, porque mucha gente tiene una de esas cuentas.
¿De dónde sacan todas las direcciones de correo electrónico?
Las violaciones de datos parecen ser un hecho de la vida moderna. Siempre hay alguna organización en las noticias que admite que ha sufrido una filtración y ha perdido datos. Todos, desde Facebook a LinkedIn, desde British Airways a Marriott Hotels, han perdido millones de registros personales en los últimos años.
Los datos de todas las violaciones se reúnen en enormes colecciones que están disponibles en la Dark Web. Los actores de amenazas pueden comprar los datos a un coste extremadamente bajo, e introducirlos en sistemas automatizados que envían los correos electrónicos.
Diferentes tipos de correos electrónicos de phishing: Qué esperar
Hay una gran variedad de ataques de phishing, cada uno de los cuales utiliza un tipo de táctica psicológica, como infundir una sensación de miedo y/o urgencia, hacerse pasar por una autoridad, o incluso jugar con la personalidad bondadosa de las personas para convencerte de que hagas lo que ellos quieren.
Conocer los distintos tipos de métodos de phishing te ayudará a comprender las tácticas que utilizan y a reconocer las señales antes de que sea demasiado tarde.
Phishing no sofisticado
Estos correos electrónicos son muy sencillos, no implican nada más que, bueno, un correo electrónico. No hay ninguna infraestructura o marco detrás de ellos para hacer la estafa más creíble. Incluso estas estafas primitivas tienen diversas variantes:
- Pueden pedirte que te pongas en contacto por correo electrónico o teléfono para hablar de tu premio, herencia u otra buena noticia. A lo largo de varias llamadas telefónicas, te pedirán datos para transferir el premio a tu cuenta bancaria. La transferencia se realiza, pero es una retirada, no un ingreso.
- El correo electrónico puede intentar asustarte para que realices un pago. Normalmente parece que proceden del FBI o de otra agencia de seguridad. Te acusarán de descargar música, películas, pornografía, o de impago de una infracción por exceso de velocidad o aparcamiento u otra acusación inventada. Para mantener el asunto fuera de los tribunales y evitar que aumente la multa, te animan a pagar los cargos pendientes de inmediato. Se facilita un número de teléfono -en un país extrañamente lejano- para obtener los datos de tu tarjeta de crédito.
- La sextorsión es una estafa similar. El correo electrónico dirá que es de un pirata informático que ha pirateado tu ordenador y sabe que has visitado un sitio de pornografía. Te mostrará el nombre de usuario y la contraseña que has utilizado en el sitio. Mientras veías la pornografía, el hacker te estaba grabando a través de tu webcam. Para evitar que tus amigos, familiares y compañeros reciban la grabación de la webcam, tienes que pagar en bitcoins. El nombre de usuario y la contraseña son los que has utilizado antes, los reconoces. Pero no recuerdas haber hecho lo que te han dicho: ¿qué ocurre? Nada. Es sólo una táctica para asustar. Lo único que ocurre es una especie de fusión de correspondencia. Junto con las direcciones de correo electrónico, las bases de datos de la Dark Web contienen las contraseñas que se utilizaban en el sitio cuando se robaron los datos. A medida que se dirige cada correo electrónico, la contraseña correspondiente se inserta en el cuerpo del mensaje. Esto hace que parezca que los estafadores tienen algún conocimiento interno sobre ti.
Estos intentos de phishing no son más que correos electrónicos descarados pidiendo dinero o credenciales. Y, sin embargo, encuentran víctimas todos los días.
Phishing con sitios web de imitación
Los correos electrónicos de phishing que se respaldan con un sitio web de imitación proporcionan una experiencia más convincente y atractiva para la víctima. El objetivo del correo electrónico es despertar su interés, suscitar su preocupación o hacer que entre en pánico.
Para comprobar si lo que dice el correo electrónico es cierto, la víctima hace clic en el enlace que le lleva al sitio web imitador. El sitio web confirma lo que decía el correo electrónico, por lo que asumen que es auténtico.
Como todas las estafas de phishing, pueden cambiar de apariencia muy rápidamente. Cualquier cosa que aparezca en las noticias se utilizará como forraje para los correos electrónicos de phishing. Hay software disponible que puede tomar una copia de la página de inicio de sesión de un sitio web auténtico. Los actores de la amenaza ni siquiera tienen que inventar su propia falsificación. Utilizan la página “real” y la modifican con extrema rapidez.
Si se produce una auténtica violación de datos en un sitio popular, como Facebook, los actores de la amenaza envían correos electrónicos aparentemente de Facebook, ofreciendo asesoramiento sobre la violación de datos y proporcionando un enlace que debes seguir para verificar que tu cuenta no se ha visto comprometida. Ni que decir tiene que el sitio al que te lleva el enlace es su propio sitio de imitación.
Este tipo de ataques de phishing también son estacionales. Al final del año fiscal, se reconfigurarán para que parezcan sitios web de la Agencia Tributaria, para respaldar la pretensión de que los correos electrónicos de phishing de devolución de impuestos son auténticos. En el periodo previo a diciembre, se modificarán para hacerse pasar por empresas de mensajería.
Esto da credibilidad a los correos electrónicos de phishing que afirman que un servicio de mensajería no pudo hacerte una entrega y que tienes que reprogramar la entrega.
Para demostrar -si es que se necesitaba alguna prueba- que los actores de la amenaza no tienen ni una pizca de compasión o humanidad, hubo una gran oleada de correos electrónicos de phishing que promovían estafas basadas en la pandemia COVID-19.
- Orientaciones falsificadas de organizaciones sanitarias como la Organización Mundial de la Salud o los departamentos de salud locales: “Abre el archivo adjunto para saber más”.
- Actualizaciones falsificadas del gobierno local y otras autoridades sobre políticas de cierre y otros procedimientos para hacer frente al riesgo.
- Sitios web fraudulentos que contienen estadísticas, mapas y cuadros de mando implantados con malware.
- La información sobre cómo protegerte a ti mismo, a tus hijos o a los ancianos contiene enlaces o archivos adjuntos maliciosos.
- Llamamientos benéficos inexistentes pidiéndote que hagas donaciones para ayudar en la crisis.
Suplantación de identidad con arpón
El spear phishing es un tipo de ataque de phishing dirigido. Se envía a una persona concreta del departamento de contabilidad de una organización.
Parecerá proceder de un alto ejecutivo o de otro miembro del personal de alto rango y tendrá el mismo aspecto que un correo electrónico auténtico de la empresa, con fuentes, pies de página y texto corporativo. Se dirigirá al destinatario por su nombre y le pedirá que realice un pago a un cliente.
Por supuesto, es urgente. Debe realizarse lo antes posible y no más tarde de, digamos, las 14:30 horas.
Este tipo de ataque de phishing puede parecer relativamente sofisticado en comparación con los ejemplos anteriores, pero sigue siendo preocupantemente sencillo de llevar a cabo. Muchos sitios web tienen una página “Conoce al equipo”. Sin ninguna dificultad, puedes averiguar quiénes son los miembros del consejo de administración y los directivos de la empresa y quién forma parte del equipo de contabilidad.
Los actores de la amenaza enviarán un correo electrónico a cualquier persona de la empresa haciéndole preguntas. ¿Venden este producto, están contratando personal, dónde está la sucursal más cercana? En realidad, no importa, siempre que reciban una respuesta. El correo electrónico de respuesta tiene el mismo aspecto que los correos electrónicos corporativos, incluidos los logotipos, los pies de página y las cláusulas de exención de responsabilidad.
Phishing por SMS – Smishing
Aunque la inmensa mayoría del phishing se lleva a cabo por correo electrónico, los mensajes de texto SMS y otras plataformas de mensajería, como WhatsApp, también pueden utilizarse como medio de entrega. Falsificando el número de origen, los actores de la amenaza pueden hacer que un mensaje parezca enviado desde cualquier número que deseen utilizar.
Si el número falsificado está en los contactos de tu teléfono, éste colaborará involuntariamente con los estafadores y etiquetará el mensaje como procedente de una fuente auténtica. Con el estilo breve y enjundioso de los SMS, perdonas mejor un inglés torpe o deficiente. Tampoco esperes que te cuenten toda la historia en un mensaje de texto o de WhatsApp. Lo normal es hacer clic en un enlace para saber más.
No muerdas el anzuelo: cómo detectar un correo de phishing
Hay algunas señales que pueden delatarte:
- Fíjate bien en la dirección de correo electrónico del remitente. Si no coincide con el dominio de la empresa, desconfía. ¿Dice realmente microsoft.com, o dice rnicrosoft.com? Los actores de amenazas registran dominios que están a una letra de distancia del verdadero, por lo que debes fijarte en cada letra, no leer por encima la dirección de correo electrónico.
- Pasa el puntero del ratón por encima de los enlaces que haya en el cuerpo del correo electrónico y mira adónde te llevan. Es fácil hacer que el texto del enlace diga cualquier cosa. Eso no significa que sea ahí adonde irás si lo pulsas. Si pasas el ratón por encima del enlace, aparecerá un tooltip con el destino real del enlace. Si te parece sospechoso, no hagas clic.
- Los actores de amenazas se esfuerzan por tener una gramática y ortografía perfectas, pero siguen cometiendo errores. Tal vez tengan la ortografía correcta, pero las frases y el tono no coinciden con lo que esperas de la entidad real. Si algo parece incorrecto, probablemente lo sea. El futuro de la IA hace probable que esto se vuelva más sofisticado.
- ¿El logotipo y otros elementos corporativos parecen correctos, o las imágenes son de baja resolución y de aficionado?
- Las organizaciones auténticas nunca piden contraseñas, datos de cuentas ni otra información confidencial.
- Lamentablemente, si es demasiado bueno para ser verdad, no lo es. No eres rico de repente.
Si has seguido todos esos pasos y sigues sin saber si el correo electrónico es auténtico, entra en tu navegador y accede directamente a la cuenta de la que fingen ser. No hagas clic en el enlace, ve directamente al sitio de la forma en que lo harías siempre.
Si te llaman diciendo que son del banco y te resulta extraño, pídeles el número y llámales. ¿Te han pedido que hagas un pago repentino en el trabajo? Ponte en contacto con la persona que te pide el pago y explícale que necesitas verificar los detalles.
Dar un paso atrás, darte tiempo para pensar y verificar positivamente que todo es auténtico antes de proceder te mantendrá a salvo.
Referencias
- 2017 Internet Security Threat Report (Symantec)
- Public urged to flag coronavirus related email scams as online security campaign launches (National Cyber Security Centre)
- World Health Organization Official Site (WHO)