En octubre, mes por excelencia de la concienciación en ciberseguridad, hablar del phishing probablemente resultará repetitivo, sin embargo, puede ayudar a no caer víctima de una de sus campañas.
¿Por qué las personas caen en los ataques de phishing?
El phishing no es más que una forma de engañar a una persona para que actúe en función de los intereses del delincuente. Y qué mejor forma de conseguirlo que a través de los mecanismos que proporciona la ingeniería social como explotar la confianza, el poder, la amenaza, el desconocimiento o la necesidad de una persona. Por eso resulta tan rentable.
Por ejemplo, durante la campaña de la Renta, una notificación de incidencia en la declaración puede llevar fácilmente a una persona a caer en el engaño. Los falsos mensajes de entidades financieras, la suplantación servicios públicos como Correos o los envíos de paquetería son otros ejemplos, desafortunadamente habituales, que los ciberdelincuentes emplean para desarrollar campañas de phishing dirigidas a los ciudadanos.
Pero no se quedan en este tipo de acciones que a todos nos resultan más o menos evidentes. Actualmente existen delincuentes que innovan en sus procedimientos para, por ejemplo, posicionar sitios web a nivel de SEO y utilizar posteriormente ese posicionamiento como cebo para sus víctimas. Incluso más recientemente han proliferado lo que se conoce como los ataques de Quishing o suplantación de los códigos QR que redirigen a las víctimas a determinados sitios web maliciosos.
Otra técnica que comienzan a utilizar es la Inteligencia Artificial aplicada a las conocidas como Deepfakes. Con ella está siendo posible mejorar los habituales “fraudes del CEO” o incluso suplantar la voz de las víctimas a través de la captación de ciertos mensajes que después pueden utilizar para activar algún tipo de servicio financiero —por ejemplo, el fraude del “sí” al contestar a una llamada—.
¿Es posible hacer algo desde la perspectiva de los proveedores de servicios?
Los proveedores de servicios juegan un papel muy importante a la hora de combatir los ataques de phishing. Tenemos, por ejemplo, el control del servicio de DNS o el filtrado de correo electrónico (con métodos de autenticación DMARC, reforzado con SPF o DKIM).
Precisamente este sistema de protección, DMARC, es un buen escudo antiphising, y muchas empresas lo ignoran.
Junto a DMARC, las herramientas de filtrado de correos electrónicos se encargan de analizar el contenido de los mensajes y clasificarlos en función de la probabilidad de que contengan algún tipo de malware.
También el control del DNS contribuye a combatir los ataques de phishing ya que permite evaluar la reputación de los dominios de Internet a los que estos ciberatacantes invitan a conectarse.
Sin embargo, los ataques ocurren con más frecuencia en las redes sociales
Es cierto, el phishing persigue el mayor impacto con el mínimo esfuerzo y las redes sociales o los envíos masivos de mensajes —SMS o correos electrónicos— son una forma rápida de conseguirlo.
Si se piensa bien, enviar millones de mensajes —o publicar información que ve millones de personas— es una forma rápida de “echar el anzuelo” y simplemente esperar a que alguien “pique” con un coste prácticamente cero.
Pero no son los únicos. Quizás los ataques más peligrosos son aquellos que están personalizados. Por ejemplo, en el “fraude del CEO” los delincuentes ya tienen información de la compañía a la que atacan y pueden inducir a errores a las víctimas basándose en todo lo que conocen.
¿Cuáles son las recomendaciones para fortalecer principalmente a las personas y las pymes frente al phishing?
La concienciación y las medidas de protección van siempre de la mano. Hay que actuar en las dos líneas en paralelo. Al fin y al cabo, el phishing no es más que un tipo de ataque para conseguir el objetivo de acceder a recursos que deberían estar protegidos.
Reforzar la cultura en ciberseguridad haciendo hincapié en que, por ejemplo, nos debemos fijar en determinados detalles de un mail —errores ortográficos, caracteres que no pertenecen a nuestro alfabeto, datos del remitente, la dirección del correo del que lo envía— es una buena recomendación. Pero, además, es necesario insistir —en particular para los ciudadanos de a pie— en que la información más sensible —la bancaria, por ejemplo— nunca se solicitará por determinadas vías, como el correo electrónico, una llamada telefónica o la mensajería instantánea.
Por otro lado, las pymes y, en general, las organizaciones empresariales, deben basar su protección frente a estos ciberataques en tres ejes fundamentales: (1) desplegar soluciones antimalware y configuraciones de seguridad en equipos y servidores; (2) sensibilizar a los empleados en el uso de la información y los recursos de la compañía; y, (3) tener preparado un protocolo ante incidentes que permita reaccionar de forma adecuada.
Un mensaje final para recordar
El phishing es quizás la principal técnica utilizada por los ciberdelincuentes para conseguir sus objetivos. Por eso, y aunque pueda parecer paranoico, plantearse siempre la pregunta de si estaremos frente a un posible intento de phishing puede evitar que comentamos errores que después sean difíciles de corregir.
