Junto con el ransomware, el phishing es el ataque informático más habitual. Suele llegar por el correo electrónico y está basado en el engaño, en hacernos creer lo que no es para sustraernos información confidencial.  

En los últimos tiempos, los ataques informáticos a empresas y organismos públicos se han hecho habituales en diarios de información general y televisiones. Importantes compañías energéticas o el mismo Servicio Público de Empleo Estatal (SEPE) han tenido que suspender su operativa durante horas y días por culpa del chantaje de los ciberdelincuentes. 

Términos como ransomware, phishing, troyano, spyware o malware están dejando de formar parte de la jerga incomprensible de los informáticos y ya se cuelan en las conversaciones cotidianas. Pero conviene precisar lo más posible qué es cada uno, para reconocerlo y saber a qué nos enfrentamos. 

En este post vamos a desentrañar qué hay detrás de la palabra phishing y cómo se extiende este tipo de ataque. También hablaremos de cuáles han sido los ataques de phishing más sonados y, sobre todo, cómo prevenirlos. El objetivo siempre será garantizar un negocio seguro.  

Qué es el phishing: origen y definición

En origen, la denominación “phishing” viene del inglés “fishing”, que significa “pesca”. Y hace alusión al acto de ‘pescar’ usuarios mediante señuelos cada vez más sofisticados. Este ciberataque está basado en el engaño y la suplantación de identidad. Es lo que los expertos encuadran en “ataque e ingeniería social”. La gasolina del phishing es nuestra ingenuidad. 

Ejemplos muy habituales de esta técnica son los envíos de correos electrónicos que parecen proceder de nuestro banco de confianza, de una oficina del Gobierno o incluso de un amigo. En esos emails, el atacante suele pedir a la víctima que pinche en un enlace o que vaya a una página web (falsa) donde dejará la información confidencial (como el número y el PIN de la tarjeta de crédito o las claves de acceso a la cuenta del banco) que luego será usada para robar o vendida a terceros en el mercado negro. Por eso el phishing también se suele denominar “ataque de suplantación de identidad”. Alguien se hace pasar por quien no es con fines maliciosos.  

El phishing es uno de los ataques más efectivos que hay, pero al mismo tiempo es el menos sofisticado. Por ejemplo, no requiere conocimientos técnicos sobre las vulnerabilidades de un sistema operativo o de una aplicación. Se basa más bien en fabricar un mensaje falso lo más convincente posible. Está dirigido al eslabón más débil de la cadena: el ser humano. De ahí que sea muy conveniente que en las empresas, todo el personal esté informado sobre la naturaleza de este tipo de agresión y sospeche por defecto de cualquier correo electrónico recibido. 

Los momentos más peligrosos del año

Durante todo el año hay campañas de phishing que afectan a millones de usuarios en España y en todo el mundo. Los delincuentes intentan aprovechar el interés generalizado en algo para que piquemos en su anzuelo. El cibercrimen prolifera en periodos de mucha actividad comercial, por ejemplo. O durante la campaña de la declaración de la Renta, donde los delincuentes imitan las comunicaciones de la Agencia Tributaria. Además, en 2020 y en lo que llevamos de 2021, los ciberdelincuentes han estado más activos si cabe, intentando aprovechar el incremento del tráfico en internet producido por la pandemia, y por la búsqueda desesperada de información en torno a la COVID-19 y las vacunas. 

Por ejemplo, cuando llega el Black Friday, es habitual el envío de correos electrónicos donde alguien se hace pasar por Amazon o una compañía de mensajería, como Correos, FedEx, Seur o DHL. En ese mensaje nos dirán que hay “problemas con la entrega de la mercancía” y nos pedirán que demos nuestra información personal, o incluso que paguemos para recibir el envío. También son frecuentes durante las campañas comerciales los mensajes con descuentos especiales que, obviamente, son falsos. 

Con la campaña masiva de vacunación para hacer frente a la COVID-19, los ciberatacantes han estado muy activos enviando avisos de cita por WhatsApp, algo que no hace casi ninguna comunidad autónoma, pero que ha llevado a muchas personas a caer en la trampa. 

Para hacernos una idea del alcance del phishing en todo el planeta, basta un dato: solo en relación a la COVID-19, Google detecta al día hasta 18 millones de mensajes de malware y phishing en Gmail, su servicio de correo. En España, y según el último barómetro mensual del fabricante de antivirus Eset, el phishing bancario fue la amenaza más destacada. Eset encontró varios casos de ataques a entidades financieras grandes y pequeñas que suplantaban la identidad y que trataban de conseguir las credenciales de acceso o incluso los datos de la tarjeta de crédito de las víctimas.  

En las empresas también circula el phishing. Y lo hace en forma de correos de desconocidos que aparentan estar enviados por un cargo muy importante de la compañía y donde se convoca a la víctima a una reunión por Teams o Zoom a través de un enlace. También existe el llamado “fraude del CEO”, un phishing muy selectivo donde los delincuentes se hacen pasar por el director general y piden a un empleado información confidencial o reclaman al jefe financiero que abone ciertos pagos a la mayor brevedad. 

¿Cómo hacer frente al phishing?

Es puro engaño y para protegernos de él, hay que aplicar, sobre todo, sentido común y cautela. Por ejemplo, hay que desconfiar de una oferta comercial muy atractiva, pero poco probable, que nos llega por el correo o por WhatsApp. 

Tampoco hay que fiarse de los mensajes plagados de errores ortográficos, de puntuación o gramaticales. Los delincuentes, que suelen ser foráneos, recurren a traductores automáticos para confeccionar sus envíos falsos de mailing. Además, conviene poner atención en las URL por las que navegamos, y desconfiar si el nombre de la empresa está mal escrito (“paypa1” en lugar de PayPal, por ejemplo) o si no se usa un protocolo seguro, como https://. 

Usar un navegador seguro también puede ayudar a detectar el phishing. Entre Google Chrome, Mozilla Firefox, Apple Safari y Microsoft Edge hay diferencias en cuanto a capacidad de bloqueo de este tipo de ataque. Además, es recomendable tener un buen antivirus o una suite de seguridad instalada. En cualquier herramienta de pago o gratuita, el antiphishing es un clásico. Y, por último, si en casa o en la empresa somos víctimas de un ataque de suplantación de identidad y hemos dado nuestros datos personales, hay que cambiar cuanto antes la contraseña del servicio afectado, o llamar al proveedor para avisarle del problema, sobre todo si es el banco.

Por último, recuerda que para garantizar la integridad de la infraestructura digital de tu negocio, es recomendable que te mantengas informado sobre la actualidad el sector cibernético, así como recomendable que acudas a espacios de confianza para realizar test con los que medir el nivel de seguridad.

 

 

Fuente: Santander Impulsa Empresa