¿Qué es phishing?

El término phishing (que en inglés suena igual que fishing, que literalmente significa: pescar) se acuñó a mediados de la década de 1990, cuando los hackers comenzaron a utilizar correos electrónicos fraudulentos para pescar información de usuarios incautos. Como a estos primeros hackers se les conocía como phreaks (que en inglés suena igual que freaks, literalmente fenómenos o frikis), el término pasó a conocerse como phishing, con “ph” (un baile de letras que en español sería: la pesca de los frikis). Un correo de phishing intenta engañar al destinatario con un cebo para que pique. Y, una vez que han mordido el anzuelo, tanto el usuario como la organización están en problemas.

Tal como ocurre con muchas amenazas comunes, la historia del phishing comienza en la década de 1990. Cuando AOL era un muy popular sistema de contenidos con acceso a internet, los atacantes usaban el phishing y la mensajería instantánea para hacerse pasar por empleados de AOL y convencer a los usuarios de que les dieran sus credenciales, con las cuales procedían a secuestrarles sus cuentas.

En la década del 2000, los atacantes comenzaron a enfocarse en cuentas bancarias. Los correos electrónicos de phishing se empleaban para convencer a los usuarios de que divulgasen las credenciales de sus cuentas bancarias. Los correos contenían un enlace a una página web malintencionada que lucía igual que la web del banco, pero el dominio era una variación del nombre oficial (por ejemplo, paypai.com en vez de paypal.com). Posteriormente, los atacantes fueron a por otros tipos de cuentas, como las de eBay y Google, para usar estas credenciales robadas para robar dinero, cometer fraudes o enviar correo no deseado a otros usuarios.

Los ciberdelincuentes utilizan los correos electrónicos de phishing porque es fácil, barato y eficaz. Las direcciones de email son fáciles de obtener y enviar correos electrónicos es prácticamente gratis. Con poco esfuerzo y a bajo coste, los atacantes pueden obtener acceso rápidamente a datos valiosos. Las víctimas de estas estafas pueden recibir infecciones de malware (incluyendo al ransomware), robo de identidad y pérdida de datos.

Los datos que buscan los hackers incluyen información personal identificable (PII)—como datos de cuentas financieras, números de tarjetas de crédito y registros médicos y fiscales—, así como datos empresariales delicados, tales como nombres de clientes e información de contacto, secretos relacionados con productos propios y comunicaciones confidenciales.

Los hackers también usan ataques de phishing para obtener acceso directo a cuentas de correo electrónico, redes sociales y otras cuentas, de modo de conseguir permiso para modificar y comprometer los sistemas conectados, como terminales de punto de ventas y sistemas de procesamiento de pedidos. Muchas de las principales filtraciones de datos ─como la de Target en el 2013, que apareció en primera plana─ comienzan por un correo de phishing. Mediante un correo aparentemente inocuo, los ciberdelincuentes logran hacerse con un punto de partida interno para cometer sus fechorías.

En el mensaje anterior, el nombre del usuario no se menciona y la sensación de urgencia tiene como objetivo convencer al usuario de que abra el archivo adjunto.

El archivo adjunto puede ser una página web, un script de shell (por ejemplo, PowerShell) o un documento de Microsoft Office con una macro malintencionada. Las macros y los scripts se pueden usar para descargar malware o tratar de convencer a los usuarios de que divulguen las credenciales de sus cuentas.

Los atacantes registran dominios similares al oficial, o a veces emplean proveedores genéricos como Gmail. Es posible ocultar parcialmente la identidad del destinatario en los protocolos de correo electrónico, pero la mayoría de los servidores destinatarios emplean seguridad de correo electrónico capaz de detectar los encabezados falsificados. Cuando los usuarios reciben los correos, es posible que los mensajes contengan el logotipo oficial de la empresa, pero la dirección de remitente no tiene el dominio oficial de la empresa. La dirección del remitente es una potencial señal de alarma, pero no debería ser el único factor utilizado para determinar la legitimidad de un mensaje.

Enlaces web malintencionados

Los enlaces, también conocidos como URL, son comunes en los correos electrónicos normales y también en los de phishing. Los enlaces malintencionados llevan a los usuarios a páginas web falsas o que están infectadas con software malintencionado, que se conoce también como malware. Los enlaces malintencionados se pueden “disfrazar” para que luzcan igual que los enlaces confiables y se incrustan en los logotipos u otras imágenes en un correo electrónico.

Aquí puede ver otro de los ejemplos de phishing en un correo electrónico recibido por usuarios de la Cornell University, una universidad de los Estados Unidos. Es un mensaje sencillo que ponía “Help Desk” (servicio de asistencia) como nombre del remitente. Sin embargo, el correo no provenía del servicio de asistencia, sino del dominio @connect.ust.hk. Según el equipo de TI de Cornell, el enlace incrustado en el correo electrónico llevaba a los usuarios a una página que lucía como la página de inicio de sesión de Office 365. El correo electrónico de phishing intentaba robar las credenciales de los usuarios.

Archivos adjuntos malintencionados

Estos adjuntos lucen como archivos legítimos, pero realmente están infectados con malware que puede comprometer ordenadores y los archivos que contienen. En el caso del ransomware —un tipo de malware—todos los archivos de una PC podrían bloquearse y quedar inaccesibles. O también se podría instalar un registrador de teclas (“keylogger”) para detectar todo lo que un usuario escribe, incluyendo sus contraseñas. También es importante darse cuenta de que las infecciones de ransomware y de malware pueden propagarse de una PC a otros dispositivos conectados en red, tales como discos duros externos, servidores y hasta sistemas basados en la nube.

Otros ejemplos de phishing en la industria de la mensajería, se han alertado desde la página de FedEX, donde se ha publicado el texto de un correo electrónico fraudulento. Este correo exhortaba a los destinatarios que imprimiesen una copia de un recibo postal adjunto y que lo llevaran físicamente a una sede de FedEX para recuperar un paquete que no se había podido entregar. Desafortunadamente, el archivo adjunto contenía un virus que infectaba las computadoras de los destinatarios. Aunque este tipo de estafas basadas en falsos envíos son particularmente comunes durante la temporada de compras navideñas, pueden ocurrir en cualquier época del año.

Formularios falsos de inserción de datos

Estos correos electrónicos les solicitan a los usuarios que introduzcan información delicada, como ID de usuario, contraseñas, datos de tarjetas de crédito y números telefónicos. Una vez que los usuarios envían esa información, los cibercriminales pueden usarla para su beneficio personal.

Aquí les mostramos un ejemplo de phishing de una landing page o página de destino falsa que fue publicada en la página web de gov.uk. Después de hacer clic en un enlace de un correo de phishing, los usuarios son redireccionados a esta página fraudulenta que parece ser parte de la agencia tributaria HMRC. A los usuarios se les dice que pueden optar por un reembolso, pero que antes deben rellenar el formulario. Este tipo de información personal puede ser usada por delincuentes para una cantidad de actividades fraudulentas, incluyendo el robo de identidad.

Es común que los atacantes utilicen mensajes que hablan de problemas con cuentas, envíos, información bancaria y transacciones financieras. Los mensajes relacionados con envíos son comunes durante la época navideña, porque hay mucha gente esperando recibir pedidos. Si un usuario no se da cuenta de que el dominio de la dirección del remitente no es legítimo, el usuario podría ser convencido para que haga clic en el enlace y divulgue datos delicados.

• Spear phishing: estos mensajes de correo electrónico se envían a personas específicas dentro de una organización, típicamente titulares de cuentas con alto nivel de privilegios.
• Manipulación de enlaces: los mensajes contienen un enlace a una página malintencionada que luce igual que la página oficial de una empresa.
• Fraude a directores generales (CEO): estos mensajes se envían principalmente a personas del sector financiero para hacerles creer que el CEO u otro ejecutivo les está pidiendo que transfieran dinero.
• Inyección de contenidos: un atacante capaz de inyectar contenidos malintencionados en una página oficial puede engañar a los usuarios para que accedan a la página y mostrarles una ventana emergente malintencionada o redirigirlos a una página web de phishing.

• Malware: a los usuarios se les convence de hacer clic o abrir un archivo adjunto que puede descargar malware en sus dispositivos.
• Smishing: usando mensajes de SMS, los atacantes engañan a los usuarios para que accedan a páginas web malintencionadas desde sus smartphones.
• Vishing: los atacantes utilizan software de modificación de voz para dejar un mensaje en el que le dicen a la víctima que deben llamar a un número telefónico en el que pueden ser estafados.
• Wi-Fi de “gemelo malvado”: suplantando a una red Wi-Fi, los atacantes engañar a los usuarios para que se conecten a una red malintencionada para poder ejecutar ataques de intermediario.

En este ejemplo de phishing, el botón morado abre una página web con un falso formulario de autenticación de Google. La página intenta convencer a las víctimas para que introduzcan sus credenciales de Google, que los atacantes usarán después para robarles sus cuentas.

Otro ejemplo de phishing es un método que usan los atacantes para fingir que son parte del equipo de soporte técnico. El correo electrónico de soporte técnico les pide a los usuarios que instalen un sistema de mensajería con malware oculto, o que ejecuten un script que descarga ransomware. Los usuarios deben prestar mucha atención a esta clase de correos electrónicos y denunciarlos ante los administradores.

En su vida personal

• Robo de dinero de cuentas bancarias.
• Cargos fraudulentos en tarjetas de crédito.
• Declaraciones de impuestos realizadas a nombre de una persona.
• Préstamos e hipotecas contraídos a nombre de una persona.
• Pérdida de acceso a fotos, videos, archivos y otros documentos importantes.
• Publicaciones falsas en redes sociales hechas en las cuentas de una persona.

En el trabajo

• Pérdida de fondos corporativos.
• Divulgación de información personal de clientes y compañeros de trabajo.
• Los intrusos pueden acceder a comunicaciones confidenciales, archivos y sistemas.
• Los archivos se bloquean y se vuelven inaccesibles.
• Perjuicio a la reputación del empleador.
• Multas financieras por infringir las reglas de cumplimiento.
• Pérdida de valor de la compañía.
• Disminución en la confianza de los inversores.
• Interrupciones a la productividad que afectan a los ingresos.

El objetivo de la mayoría del phishing es obtener beneficios financieros, por lo que los atacantes suelen enfocarse en sectores muy específicos. El objetivo podría ser tanto una organización entera como usuarios individuales. Los sectores más propensos a sufrir estos ataques son:

• Tiendas en línea (e-commerce).
• Redes sociales.
• Bancos y otras instituciones financieras.
• Sistemas de pago (procesadoras de tarjetas).
• Compañías de TI.
• Compañías de telecomunicaciones.
• Compañías de envíos.

Con la finalidad de engañar a la mayor cantidad posible de personas, los atacantes usan marcas establecidas. Las marcas establecidas generan confianza en los destinatarios, lo que incrementa la posibilidad de éxito del ataque. Cualquier marca se puede utilizar en el phishing, pero algunas de las más comunes son:

• Google
• Microsoft
• Amazon
• Chase
• Wells Fargo
• Bank of America
• Apple
• LinkedIn
• FedEx
• DHL