Phishing: cómo evitar que los estafadores se cuelen en la red


El phishing es uno de los tipos de ataques cibernéticos más antiguos que pueden dar lugar a un fraude bancario en línea, y sigue siendo uno de los más peligrosos: casi un tercio de todas las infracciones del pasado año estuvieron relacionadas con el phishing, según un informe de Verizon de 2019.

Y últimamente, gran parte del debate en torno al importante aumento de las estafas relacionadas con el coronavirus, tiene que ver con el phishing.

¿Cuánto sabemos realmente sobre el phishing? 

Nos sumergimos profundamente en la historia del phishing, para conocer los tipos más comunes de campañas de phishing a las que debemos estar atentos por ahora, y para saber cómo protegernos frente a ellas. 

Los ataques de phishing son el intento fraudulento de obtener información sensible y de identificación personal (PII) de empresas o del público en general. Ejemplos de PII son los nombres de usuario, contraseñas e información de las tarjetas de crédito. Con frecuencia, los infractores se disfrazan en línea actuando como una entidad fiable, persuadiendo a sus víctimas de que entreguen su información.   

 

Técnicas de ingeniería social empleadas en el phishing

Lo principal a tener en cuenta con las campañas de phishing es que son una técnica de ingeniería social que llegan a extremos de verdaderos trabajos de detective privado para preparar campañas de phishing contra directivos o CEOs de empresa (spear phishing) para hacer que piquen.

Esto significa que el estafador está utilizando de forma deliberada algo para atraer a sus víctimas, ya sea un enlace en una página web a una noticia falsa diseñada para generar indignación, o un correo electrónico falso haciéndose pasar por el banco de la víctima, lo cual las anima hacer clic en un enlace que conduce a una página web controlada por el estafador. 

phishing-vishing-smshising-02

Tipos de phishing

A continuación se presentan algunos tipos de phishing y ejemplos de cómo funcionarían en la práctica:

  • Vishing/Smishing: se trata de dos ejemplos de vectores del phishing. El vishing se refiere al "phishing de voz", donde la ingeniería social se implementa a través de un sistema telefónico, con un estafador que intenta convencer a la víctima de transferir dinero de su cuenta bancaria o que entregue la PII, poniendo en peligro su cuenta. El smishing se refiere a la suplantación de identidad por SMS o texto, a menudo intentando persuadir a la víctima de que haga clic en un enlace malicioso.
  • Spear phishing: otro vector, donde personas o empresas específicas son atacadas utilizando información personal que el estafador ya ha obtenido a través de técnicas de ingeniería social, para aumentar la probabilidad de éxito del fraude. Por ejemplo, un estafador puede averiguar en qué banco tiene una cuenta una persona y hacerse pasar por un empleado del mismo para tratar de convencerla de que entregue más información personal, como cierta información de la cuenta. A veces, el infractor alegará que ha habido una violación de la seguridad y aconsejará a su víctima que transfiera fondos a una cuenta alternativa de "haberes" (que, por supuesto, estará controlada por el propio estafador).
  • Whaling: es básicamente el spear phishing, pero dirigido a víctimas de un perfil más alto, como ejecutivos de nivel C o celebridades. Por ejemplo, el fraude del CEO (denominado por el FBI como Compromiso de Correo Electrónico Empresarial), que ocurre cuando los estafadores suplantan o comprometen, a través de la intrusión informática o técnicas de ingeniería social, cuentas de correo electrónico que pertenecen a ejecutivos de la empresa, para convencer a los empleados de que realicen transferencias no autorizadas. 
  • Clone phishing: se produce cuando a un correo electrónico legítimo, de una fuente auténtica, se le ha robado su contenido y se ha utilizado para crear un correo electrónico casi idéntico o completamente clonado. A veces, el pirata informático envía su correo electrónico indicando que reenvía un mensaje anterior o que está distribuyendo una versión actualizada del original. Sin embargo, esta vez, el correo electrónico puede incluir un archivo adjunto malicioso o un enlace con una URL mal escrita que imita un sitio web auténtico, pero que en su lugar dirige al individuo a un sitio web creado por el estafador.

  phishing-vishing-smshising-01


¿Por qué es un problema el phishing?

El phishing alcanzó notoriedad en la década de 1990, como una forma de timar el dinero a la gente, por parte de estafadores. Hacia el año 2004, se informaba que las empresas estadounidenses perdían alrededor de  2 mil millones de dólares al año, víctimas de los ataques de phishing que sufrían sus clientes, y la práctica de este se reconocía como una parte plenamente organizada del mercado negro. A medida que pasa el tiempo, el problema es cada vez mayor.


El año pasado se informó que el phishing representó el 90 % de todas las violaciones de seguridad, con cerca de 1,5 millones de nuevos sitios de phishing creados cada mes.



Y los autores de este delito cibernético mejoran cada vez más en la realización de ataques de phishing. Su trabajo es ahora más fácil gracias a la hiperconectividad y la presencia en línea del público en general.

Por ejemplo, el auge de las redes sociales ha eliminado la necesidad de realizar campañas específicas por correo electrónico por parte de los estafadores, ahora simplemente se puede publicar un anuncio falso en línea y persuadir a miles de posibles víctimas al mismo tiempo.

Además, los ataques son cada vez más sofisticados a medida que evolucionan sus métodos y tecnología. Esto significa que incluso los delincuentes con muy poco conocimiento técnico pueden embarcarse en campañas de phishing, utilizando herramientas y plantillas disponibles en el mercado negro o en el internet oscuro.

Estos "kits de phishing" agrupan recursos y herramientas de un sitio web que simplemente tienen que descargarse en un servidor. Y una vez descargado, todo lo que el atacante tiene que hacer es enviar correos electrónicos a las posibles víctimas.

 

Cómo detener los ataques de phishing

Con ataques cada vez más fáciles de perpetrar por parte de los estafadores y más difíciles de detectar por las personas, continuamente surgen nuevas campañas, como se ha visto con el aumento de los casos relacionados con la pandemia de coronavirus.

Para ganar esta batalla y lograr la seguridad en línea de todos, es necesario luchar con más fuerza. El uso cada vez mayor de la autenticación multifactor para validar la identidad de manera más integral, es un esfuerzo bienvenido en la seguridad de la banca en línea, pero los delincuentes siguen encontrando la información estática, como contraseñas e información de cuentas, con demasiada facilidad.

La biometría del comportamiento, por otro lado, no se puede imitar o robar, ya que es única para cada individuo. Una solución integral contra el fraude tiene que aprovechar el análisis del comportamiento y la tecnología de aprendizaje profundo junto con otros factores de autenticación, para evaluar la forma en que un usuario escribe normalmente, mueve el cursor y muchos otros comportamientos en línea.

Al comparar el comportamiento en tiempo real de un usuario con su comportamiento histórico, es posible confirmar si realmente se trata de este usuario o si un estafador se ha apropiado de su cuenta.

Esto significa que, incluso si un individuo es víctima de una estafa de phishing y entrega su información, el banco todavía podría evitar el fraude.

buguroo te ofrece la posibilidad de comunicar, de forma gratuita, cualquier caso de phishing que hayas detectado a través de nuestro centro de recursos contra delitos de phishing, que en en este momento está en plena lucha contra fraudsters que están aprovechando el contexto del Covid-19 para cometer sus ataques.


¿Te ha gustado? Comparte en tus comunidades sociales

 

¿Qué piensas sobre este tema?

Deja tus comentarios

 

¿Necesitas reducir el fraude online de tu banco?

Descubre nuestra visión holística aplicada a la detección del fraude online

Solicita una demo