En Internet existen diferentes tipos de fraudes que han logrado engañar a cientos de cibernautas; uno de los más conocidos es el phishing.
¿Alguna vez has recibido algún mensaje o correo de una empresa de confianza donde te piden datos personales? Si el correo tiene errores ortográficos graves,-que una empresa bien establecida por lo general no suele tener- o te redirecciona a otra página para que ingreses tus datos, es probable que estés siendo víctima de un ataque de phishing.
El phishing posee una característica especial: tiende a ser universal, no discrimina entre sus víctimas ya que mientras más sean, mejor. Además sus técnicas son tan avanzadas y sutiles que puede ser difícil distinguir entre la estafa y la realidad. La aparente legitimidad de sus mensajes es tal que grandes figuras del mundo de los negocios han mordido el anzuelo.
El caso más reciente es el de John Kahlbetzer, uno de los 50 hombres más ricos de Australia según Forbes. El fundador de la empresa agrícola Twynam Agricultural Group, perdió 1 millón de dólares en diciembre de 2017 tras sufrir un fraude por correo electrónico.
De acuerdo con el tribunal del Reino Unido la estafa ocurrió con aparente sencillez: los phishers, o estafadores, enviaron un mail a la gestora de finanzas personales del empresario haciéndose pasar por él, solicitando una transferencia bancaria de US$1 millón a la cuenta del británico David Aldridge.
En pocos segundos la transacción estaba hecha y el multimillonario australiano se convirtió en una víctima más en caer en las redes del phishing.
El arte de la pesca digital
Para no caer en este tipo de engaños, es importante conocer primero qué es el phishing y cómo funciona.
“El phishing es un tipo de fraude en Internet que busca adquirir credenciales de un usuario mediante el engaño. Este tipo de fraudes incluye el robo de contraseñas, números de tarjetas de crédito, datos bancarios y de otras informaciones confidenciales.” – Kaspersky Lab
El nombre de dicha técnica proviene de la palabra fishing (pesca) y hace alusión a la pesca de usuarios para obtener su información y datos personales. Los mensajes de phishing suelen disfrazarse de correos o notificaciones provenientes de bancos, proveedores, sistemas de pago u otras organizaciones de confianza. De alguna manera, el correo buscará incentivar al usuario para que actualice sus datos personales con el fin de asegurarlos o protegerlos de una amenaza.
¿Cuál es la técnica que utilizan para adoptar la forma de páginas legítimas? ¿Por qué los usuarios caen con facilidad? Según la Procuraduría Federal del Consumidor (PROFECO), las direcciones de las páginas falsas que llegan al usuario a través de estos correos son muy parecidas a las originales; pueden cambiar en una sola letra, por lo que es muy fácil engañar al usuario si no se tiene el debido cuidado al momento de abrirlas.
El procedimiento que utiliza usualmente el phishing es la generación de un correo electrónico que aparenta ser enviado de parte de una compañía. En su contenido se pueden encontrar enlaces que redireccionan a una o más páginas web con el aspecto y funcionamiento igual al de dicha empresa.
Con la esperanza de que el usuario tenga una relación comercial con la empresa, los hackers esperan que éste otorgue los datos solicitados. Esta información también la suelen obtener por medio de las redes sociales o SMS.
Sin embargo, existen maneras de identificar correos maliciosos y aunque categorizar un elemento como “sospechoso” puede ser subjetivo, hay diferentes características que se pueden reconocer dentro de un mensaje falso.
- Faltas de ortografía
- Solicita datos personales
- La dirección del correo y dominio- las páginas o correos que utilizan los phishers habitualmente tienen letras con acentos o con puntos debajo de ellas.
- Redirecciona a otras páginas por medio de enlaces
- Ante la duda, no hagas click y antes de abrir cualquier cosa verifica con el emisor.
Aunque las indicaciones o claves para reconocer un ataque de phishing son sencillas, los hackers actúan con precisión quirúrgica aprovechando el desconocimiento de los usuarios, lo que hace difícil evitar la reincidencia de los mismos.
Un estudio hecho por Google encontró que ser víctima de un ataque de phishing vuelve a los usuarios 400 veces más vulnerables de perder su cuenta por completo que un usuario que no ha sido víctima.
Esto sucede porque los phishers no solo obtienen datos como el usuario o la contraseña, sino que muchas veces entre los datos robados también se encuentran números de teléfono, ubicación geográfica, preguntas secretas, e identificadores de los dispositivos que usa la persona.
También, el estudio identificó 788.000 víctimas potenciales de keyloggers, 12.4 millones de víctimas potenciales de kits de phishing, y 1.900 millones de nombres de usuarios y contraseñas expuestos en brechas de datos y vendidos a través de foros en el mercado negro.
Las redes en México
México no escapa del anzuelo de estos pescadores puesto que se encuentra dentro de los 20 países más atacados por el phishing a nivel mundial. La cifra de estos ataques, junto con otros crímenes cibernéticos, significan un gran problema de ciberseguridad para el país.
El Economista afirma que tan sólo en los primeros tres meses del 2017 se cometieron 7 mil 617 fraudes en Internet diarios en México. Además, la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (CONDUSEF) detalló que en el primer trimestre de 2017 se registraron 1.5 millones de reclamaciones por fraude en el sector bancario, de las cuales 639,857 corresponden al tipo cibernético.
También, en el Estudio de la Seguridad de la Información 2017, se realizó un registro general de la tasa de incidentes de informática que se sufren en el país. Los resultados arrojaron que el 87% de los mexicanos ha sufrido algún tipo de incidente de seguridad, de los cuales la principal fuente es interna; el 44.5% se atribuyen a ex empleados, seguido por 34% a hackers y 31.2% a competidores.
Además, el 43.7% de los fraudes ocurren a través de dispositivos móviles y 40.8% de los ataques a la información en el país son de phishing.
Para no caer en el anzuelo y estar protegido, la Policía Federal del Gobierno de México recomienda lo siguiente:
- NO responder solicitudes de información personal realizadas a través de correo electrónico, llamadas telefónicas o mensaje de texto.
- Al visitar sitios web, teclear directamente la dirección URL en la barra de direcciones; nunca ingresar por enlaces proporcionados por algún otro sitio. Considerar que las entidades bancarias utilizan certificados de seguridad y cifrados seguros.
- Revisar cuentas periódicamente para detectar transferencias o transacciones irregulares.
- No olvidar que las entidades bancarias no solicitan información confidencial a través de canales no seguros como el correo electrónico.
- Utilizar filtro anti spam.
El futuro del phishing
El mundo digital avanza y cambia con gran velocidad hacia destinos quizás indefinidos e inesperados. Por lo tanto, predecir el futuro en el área de la informática es un arte difícil que, por su naturalidad, carece de precisión. Sin embargo, grandes expertos han compartido su visión acerca de lo que se puede esperar en el 2018 en cuanto al fenómeno del phishing.
Las técnicas pueden cambiar, pero el panorama es el mismo: los problemas de seguridad volverán a ser protagonistas en el campo tecnológico un año más.
“Los días del phishing básico por correo electrónico han llegado a su fin, ahora los ciberdelincuentes utilizarán cada vez más técnicas increíblemente bien enmascaradas.” – Rich Campagna, CEO de Bitglass
Los nuevos esquemas de phishing en el 2018 serán mucho más sofisticados y de acuerdo con el directivo de Bitglass, continuarán evolucionando a la par de las medidas de seguridad.
En consecuencia, algunas compañías o incluso poderes políticos deberán prescindir de la dependencia estricta de las contraseñas estáticas. En su lugar, requerirán un sistema de seguridad de autenticación de múltiples factores y una gestión de identidad dinámica.
“Afortunadamente, las empresas se verán obligadas a priorizar la seguridad de los datos, porque se enfrentarán a fuertes sanciones regulatorias si no cumplen las nuevas normativas como el Reglamento General de Protección de Datos y otras leyes existentes”. – Rich Campagna
Asimismo, es importante recordar que a pesar de todas las medidas de seguridad aplicadas, los seres humanos son el eslabón más débil. En caso de no tener preparación y conocimientos previos, es fácil que un empleado comparta o acceda a datos no gestionados y revele sus credenciales a phishers.
Al ser una de las técnicas más antiguas de fraude por Internet, los hackers han logrado hacer del phishing un método sofisticado y de alta precisión. Por lo tanto, como lo mencionó Campagna: “quienes no hayan modernizado sus soluciones de seguridad para abordar estas preocupaciones sufrirán inevitablemente una brecha de seguridad.”
Puede parecer un panorama algo lúgubre, sin embargo aún en la oscuridad existen luces y puede ser posible que, aun con sus errores, las personas logren unir su inteligencia junto con la de las computadoras para crear un sistema o fortaleza inquebrantable y ponerle un fin a lo que parece una interminable temporada de pesca.
