Sesgo de verdad y Spear Phishing


Uno de los ciberataques más prolíficos en los últimos tiempos es el spear phishing, un subtipo de phishing que va dirigido principalmente contra altos directivos de empresas con la intención de obtener mayores beneficios en comparación a las masivas campañas de phishing tradicional.

Este tipo de phishing es más complejo y requiere una mayor planificación, pues es necesario obtener mucha información de la víctima y de los procesos de su empresa para que el engaño sea exitoso. Para ello, lo primero es seleccionar el objetivo, generalmente altos ejecutivos que disponen de información valiosa o que tienen privilegios para realizar importantes transacciones bancarias.

En un ataque de spear phishing, a veces se espía a la víctima durante semanas o meses. Durante este período, se aprenden hábitos y preferencias, se analizan sus correos electrónicos para saber con quién se comunica la víctima elegida, así como el tipo de discusiones que tiene. Además de información sobre la víctima, se aprende también sobre el funcionamiento de su empresa, sus procesos de gestión, la terminología propia que suelen utilizar, el organigrama y cómo toman decisiones. Tras este tiempo de análisis, se tiene un dossier personal completo sobre la víctima y la empresa que permitirá posteriormente crear el anzuelo lo más realista posible.

Cuando llega este momento, los ciberdelincuentes se hacen pasar por consumidores on-line, instituciones bancarias, familiares, colegas, partners e incluso superiores. La mayoría de los correos electrónicos están diseñados de tal manera que incluso la dirección y el contenido del remitente parecen, a primera vista, engañosamente reales. Por ejemplo, pueden incluir información relevante para los intereses personales o comerciales del destinatario para aumentar la probabilidad de que el destinatario responda. A veces se aprovechan de situaciones extraordinarias o coyunturales como las vacaciones de un superior, un nuevo contrato con un proveedor o cliente… de tal forma que la víctima debe tomar decisiones en forma de envío de información o de dinero, que es el objetivo final del ataque.

spear-phishing-01

A pesar de la complejidad que supone este tipo de ataques, en cuanto a la preparación del anzuelo y el tiempo de planificación, el spear phishing ataca al eslabón más frágil de la ciberseguridad, el ser humano, lo que simplifica los requerimientos técnicos necesarios en comparación a cuando el objetivo es penetrar a un sistema.  Es decir, engañar a una persona es más fácil (y rápido) que engañar a un sistema.

La credibilidad del mail, que es el elemento fundamental del phishing para que tenga éxito, es una de las ventajas del spear phishing basada principalmente en esa preparación específica previa y análisis de la víctima que permite desplegar un ataque muy preparado. Los elementos del mail que deben controlar son:

  • Dirección de origen: El origen del correo está falsificado, siendo siempre alguien relacionado con la organización o algún conocido, por ejemplo, un proveedor, el contable de algún cliente o el compañero de otra sucursal. La dirección de correo suele estar hackeada o es muy parecida de tal forma que no levanta sospecha del remitente.
  • Asunto del mensaje: Los asuntos suelen ser siempre atractivos, intentando llamar la atención del usuario y con un cierto sentido de novedad y urgencia. No obstante, usan también asuntos habituales que hacen que el remitente lo considere un mail real.
  • Contenido: Aquí es donde el ataque pone en marcha todo el análisis realizado durante semanas o meses sobre la víctima. Para que sea creíble, se usa terminología propia de la empresa, se hace referencia a procesos internos, se alude a personas o a información que solo podría tener alguien desde dentro de la organización. A veces se copia la misma forma de escribir del remitente, al igual que el pie de firma y la estructura que suele utilizar en sus mails.

A este contenido básico se le incluye aquello que el atacante quiere conseguir de la víctima: el envío de un documento, la realización de una transferencia bancaria, facilitar una determinada información…Es decir, unas cucharadas de realismo acompañadas de una pizca de ingeniería social para generar la persuasión que posibilite obtener lo que se quiere de la víctima.



Pero todo esto no funcionaría sin un último ingrediente, la confortable cotidianidad que tanto le gusta a nuestro cerebro. Imagina a ese alto ejecutivo abriendo su bandeja de entrada y empezando a descargar sus decenas de mails habituales y diarios. Su cabeza, ni la de nadie, no tiene recursos cognitivos ilimitados, por lo que no es posible una evaluación sistemática de toda la información que nos llega, tampoco de la que nos llega por comunicación en línea.

spear-phishing-02

¿Cómo podemos hacer frente entonces a la decisión de si lo que nos está llegando es falso o verdadero?  Nuestro cerebro tiene una solución para ello, funcionar mediante sesgos, es decir mediante atajos mentales que nos permitan tomar decisiones en condiciones de rapidez y sin mucho análisis. En este caso funcionamos por lo que se denomina sesgo de verdad, que no es ni más ni menos que la tendencia a considerar como verdadera la información que se parece mucho a la que hemos comprobado anteriormente que es verdadera. Dicho de otra manera, los mails que recibe este alto ejecutivo nunca suelen ser falsos, por lo que va a considerar que los que le llegan hoy tampoco lo son.

Y es que, las personas, a pesar de los que nos dicen las series de televisión, somos realmente torpes para detectar la mentira y tendemos a creer a los demás con más frecuencia de la que deberíamos. Esto explica, evidentemente, la existencia del fraude como uno de los delitos más prolíficos. En el mundo analógico, las personas podemos recurrir a ciertos indicadores que nos hagan pensar que la persona nos puede estar mintiendo. Así, podemos analizar si lo que dice nos resulta creíble, pero además, si esto se acompaña también de un comportamiento no verbal igualmente creíble.

Algunas expresiones de la cara, determinados gestos o posturas pueden hacernos pensar que la persona nos está mintiendo (aunque, como decimos, somos torpes para detectar la mentira y esos indicadores no verbales no funcionan como nos lo venden en las series de televisión). Pero en el mundo digital no contamos con estos indicadores añadidos. Tenemos un texto o una imagen que es una copia perfecta de la original, unas palabras o términos que corresponden con lo que nosotros esperamos, por lo que nos resulta muy difícil distinguir la verdad de la mentira.

Y este es el gran problema de internet, poder diferenciar la copia del original, lo verdadero de lo falso.


¿Te ha gustado? Comparte en tus comunidades sociales

 

¿Qué piensas sobre este tema?

Deja tus comentarios

 

¿Necesitas reducir el fraude online de tu banco?

Descubre nuestra visión holística aplicada a la detección del fraude online

Solicita una demo