¿Qué es phishing? En Internet no te fíes de nadie

¿Qué es phishing y en qué consiste? Dicen que el eslabón más débil en cualquier sistema de seguridad es el usuario. Para alguien que quiere estafarte lo mejor es que seas tú mismo quien le dé las contraseñas o le ingrese el dinero directamente en su cuenta, ¿no te parece? 

Cuando yo era  adolescente mi padre me dijo una vez: en este mundo, no te fíes ni de tu padre… A mis hijas adolescentes, yo no dejo de repetirles algo parecido: en Internet, no te fíes de nadie.

¿Qué es phishing y cómo funciona?

El phishing es un problema difícil de solucionar técnicamente, ya que es un tipo de ataque de ingeniería social y se basa en errores humanos, no en errores de seguridad de una máquina. Se aprovechan la predictibilidad del comportamiento de las personas ante ciertas situaciones (por ejemplo dando datos personales a una aparente autoridad). El nombre de phishing viene de “pescar” (en inglés fishing), ya que el estafador o phisher lanza muchos ataques a ver si alguien “pica”. Las letras ph de phishing vienen de “phone phreaking”, que era un hackeo de las redes de telecomunicaciones del siglo pasado.

Phishing: en Internet, no te fíes de nadie…

El Visitante Digital

¿Por qué lo hacen?

Ahora que sabes lo que es phishing, vamos a ver por qué lo hacen. Los phishers lo hacen porque es barato y rentable. Aunque cada vez hay más programas antivirus y antimalware y los navegadores web son más inteligentes y seguros, siempre “picará” alguien. Recuerda, el usuario es el eslabón más débil en cualquier sistema de seguridad. Basta con que este usuario haga un click que no debía. Resulta que la inteligencia humana es la mejor forma para luchar contra el phishing.

El porcentaje de “éxito” para los phishers, pues, es muy bajo, pero, sin embargo, los resultados son rentables. 

El coste de “organizar” un ataque de phishing es de unos 300€ (precios “de mercado” en la Dark Web). Por otro lado, los beneficios pueden ser millonarios si la estafa está dirigida a empresas o a sus directivos. 

La compañía de seguridad Kapersky, estimó que los ciberdelincuentes podrían ganar hasta 20 veces el costo del ataque (a más complejo, más costo, pero más beneficio).

En nuestro ejemplo del kit de phishing de 300 € significaría que:

1. El atacante compra una web maliciosa y envía 6 millones de emails (300 €)
2. Una de cada 1000 personas pica y hace click y es dirigida a la web falsa de compras por Internet. Esto son 6000 personas.
3. Una de cada 10 sigue sin enterarse y decide comprar. Esto son 600 personas.
4. La compra es de 10 €, para no levantar sospechas, y el estafador se lleva 6000 € (ha multiplicado por 20 la inversión)

Relación entre el phishing, las fake news y el spam

El problema del phishing muchas veces está muy relacionado con otros dos fenómenos que son omnipresentes en la sociedad digital actual y con los que mantiene muchos puntos en común: el spam y las noticias falsas o fake news.

La vinculación entre el spam (correo electrónico no deseado) y el phishing es clara. Los correos phishing normalmente se mandan en grandes cantidades, como el spam, para aumentar las víctimas potenciales. La diferencia entre ambos es que el spam no tratan de robarte. El spam es correo basura, son anuncios no solicitados, quieren que compres: es molesto, pero no busca hacer daño. El phishing sí quiere robar tus datos. Si podemos elegir, es preferible el spam 🙂

En cuanto a las fake news, estas utilizan las mismas técnicas de ingeniería social para engañarte, pero su objetivo habitualmente es la desinformación y no la delincuencia como en el caso del phishing. Algunas de las cosas que sirven para detectar phishing también son útiles contra las noticias falsas, por ejemplo, el sentido crítico.

Clasificación de phishing

Canales por los que puedes recibir phishing

Correo electrònico	Teléfono (sms)
El método más común y clásico para practicar el phishing son los mensajes por email. En estos emails fraudulento hay enlaces que llevan a las webs falsas o archivos adjuntos con malware. El malware puede captar datos personales del ordenador y enviarlos al estafador.	El smshing es un sms que recibes con un enlace o una descarga que provoca que infectes el móvil con malware o te dirijas a una web fraudulenta. Esto ahora se amplifica con las redes sociales que ayudan a la transmisión del engaño.
Webs falsas o clonadas	Redes Sociales
Las webs con phishing son imitaciones o falsificaciones de webs reales de bancos, webs de e-commerce o servicios confiables. Estas webs te engañan para que pongas tus datos (contraseña) o hagas transacciones económicas falsas.	Enlaces en redes sociales con descarga de malware o webs fraudulentas, que, a su vez, son rápidamente difundidos por cadenas de Whatsapp, por ejemplo. También existen perfiles falsos de compañías para tratar de engañarte o también pueden etiquetar a personas al azar en fotos de Instagram para atraer a más víctimas.
Teléfono (voz)	Apps
El phishing de voz o vishing son llamadas (muchas veces automatizadas) donde el estafador intenta sacarte datos personales para hacer un ciberataque más adelante.	Aplicaciones móviles fraudulentas que instalan malware en el teléfono.

Tipos y estrategias de phishing

Básicamente hay dos grandes estrategias de phishing diferenciadas por el objetivo final (la víctima) de la estafa.

El spray and pray phishing es el menos sofisticado. Es simple y barato y consiste en un envío masivo de emails. Las víctimas son los usuarios particulares (tú y yo) y los beneficios son bajos. Es el caso más conocido cuando nos preguntamos qué es phishing.

El spear phishing, es más avanzado y sofisticado. Se dirige a un grupo concreto de individuos (trabajadores de una empresa, un gobierno, clientes de una marca…) y necesita mayor preparación y personalización. Los beneficios son más altos y también el coste de la operación.

Dentro de estas dos estrategias, son habituales algunos otros sistemas que se han hecho famosos como:

• Phishing de clonación, donde te mandan un email real que ya has recibido y sustituyen el link o el archivo adjunto.
• Whaling, ataques de phishing dirigidos contra personas concretas de una posición alta, como directivos de empresas.
• Fraude del CEO, haciéndose pasar por el jefe o el directivo, estafa a los empleados. Realmente, no te fíes de nadie, ni de tu jefe 😉
• Estafa nigeriana, variantes del típico email donde un funcionario necesita ayuda para transferir millones de dólares desde Nigeria.   
• De servicios cloud, donde Dropbox o Google u otros te piden que actualices contraseñas en páginas de inicio falsas.

¿Cómo protegerse del phishing?

¿Cuándo sospechar de phishing?

• Ante cualquier email de alguien desconocido, fíjate en la dirección de correo, sobre todo en el dominio (la parte después de la @). Si ves algo raro, sospecha.
• Sospecha si bancos o empresas conocidas te mandan mensajes que no esperabas o que te sorprenden. Fíjate en que la dirección de correo parezca auténtica. (@dropbox.com y no @dropbox-services.com ni @dropbox.support.com). 
• Una empresa auténtica nunca te escribirá desde correos genéricos como @gmail.com o @hotmail.com
• Sospecha si el email no está dirigido directamente a ti (estimado cliente…)
• Mira si el texto está mal redactado o tiene errores gramaticales (posible traducción automática). 
• Una de las características del phishing es que nos transmite sensación de urgencia para que no pensemos demasiado. Si sale la palabra “urgente” o da plazos cortos para tomar acciones, debes sospechar. Si dudas de esa urgencia, llama a la compañía o al banco.
• Del mismo modo, no te fíes de “una oferta que no puedes rechazar”.
• Si no eres cliente de la empresa que te envía el email, debes sospechar el doble.

Emails “típicos” de phishing

Además, debes prestar atención especial a los emails “típicos” con phishing. La empresa KnowBe4, especialistas en formación en ciberseguridad ha detectado que los 10 asuntos de emails con phishing más clicados en el tercer trimestre de 2019 fueron:

1	Verificación urgente de contraseña	6	Política revisada de vacaciones y baja de enfermedad
2	Se realizó un intento de entrega	7	Tienes un nuevo mensaje de voz
3	Desactivación de [tu correo electrónico] en proceso	8	Nuevos cambios organizacionales
4	Llegan nuevos camiones de comida a [nombre de empresa]	9	Se requiere cambio de contraseña de inmediato
5	Beneficios actualizados para empleados	10	Revisión de personal

¿Qué hacer si sospechas que puede ser phishing?

• Selecciona parte del texto del mensaje y búscalo en Google para ver si ya ha sido reportado como phishing. Muchas veces estos ataques aparecen de forma periódica y son conocidos.
• Puedes llamar o contactar con el banco o la empresa emisora para comprobar la veracidad. Sobre todo, ¡no respondas directamente al email sospechoso! Accede desde los canales oficiales que encontrarás en la web de la empresa. 
• No hagas click en los enlaces.

¿Cómo tratar los enlaces en los emails sospechosos?

• Nunca hagas click en un link dentro de un email que no sea 100% confiable. Pasa el cursor del ratón por encima del link para ver dónde te dirigirá (en el ordenador, en móvil no funciona). Y debes ir aún con más cuidado si son enlaces acortados (bit.ly y similares) 
• Esta URL del link, debe ser de la web de la empresa o banco. No cliques si el dominio no es el correcto (drive.google.com sí, drive-google.com no, drive.google.com.archive.net tampoco).
• Si parece correcto y quieres acceder a la web, en lugar de clicar, escribe directamente la URL en la barra de direcciones del navegador.
• Ojo con los archivos adjuntos si no proceden de alguien de confianza.

¿Cómo son las páginas web auténticas?

 Una vez estemos en la página web donde nos piden hacer el trámite,

• Asegúrate de estar en la web correcta. Las páginas más populares tienen clones maliciosos con solo una letra de diferencia respecto a la URL real… 
• Fíjate en que la dirección empiece por HTTPS: y no solo por HTTP: También tiene que aparecer un candado cerrado en la barra de estado del navegador. ¡Esta es una condición necesaria pero no suficiente!
• Haciendo click en el candado podemos ver el certificado del sitio web. Este certificado debe tener el nombre de la empresa o banco.

• Ten especial cuidado cuando accedas desde el teléfono móvil. Puede ser más complicado ver la URL de la web que cuando lo haces desde un ordenador.

¿Puedo dar datos personales? 

• Por email nunca debes dar datos personales. Las empresas y bancos te pedirán datos siempre en el entorno de una web segura y no por email.
• Nunca des datos en una situación de urgencia. Tómate tu tiempo para contrastarlo.
• Compra por internet solamente en webs con sistemas de pago seguros.

 Otros consejos de seguridad y prevención ante el phishing

• Utiliza algún sistema de seguridad antimalware. Normalmente están incluidos en los programas antivirus. Recomiendo un antivirus de pago.

• Mantén tu ordenador o dispositivos con el sistema operativo actualizado. También tu navegador.
• Si te descargas una app, asegúrate de que tenga política de privacidad y léela. Además fíjate si es la app oficial y si el desarrollador coincide con quien tiene que ser. Una app de Google firmada por alguien distinto a Google LLC no parece muy segura, por ejemplo.
• Sé consciente del problema y fórmate. Sigue los consejos de seguridad de los organismos oficiales y mantente al día mediante blogs como El Visitante Digital 😉
• Sé escéptico y no te fíes de nadie. Sigue los consejos que te he dado en este post.
• Ten una buena política de contraseñas y usa un gestor de contraseñas.
• Revisa regularmente las cuentas bancarias para poder detectar operaciones fraudulentas.
• Ante cualquier duda, no te fíes de nadie y no te arriesgues. Tómate el tiempo para leerlo dos veces, para contrastarlo y para asegurarse.

¿Sospechas que es phishing? Ante cualquier duda, no te fíes de nadie y no te arriesgues.

El Visitante Digital

Puedes poner en práctica algunos de estos consejos haciendo el test que nos propone el propio Google. No es fácil 😉

¿Qué hacer si crees que has sido víctima de phishing?

Si a pesar de todos estos consejos y de haberte dicho que no te fíes de nadie has caído en la trampa y has sido víctima del phishing, dependerá de qué información te hayan robado, pero se pueden emprender las siguientes acciones:

• Cambia rápidamente las contraseñas, sobre todo si utilizas la misma en diferentes servicios. Sobre ello quiero insistir que  es muy importante gestionar de forma segura las contraseñas (mejor con un gestor de contraseñas).

• Si se trata de una estafa bancaria, contacta con la entidad financiera lo antes posible. A lo mejor estás a tiempo de solucionarlo.
• Guarda toda la información relacionada con el caso, emails, capturas de WhatsApp, etc. y, en España, reporta el caso de fraude en el email del Instituto Nacional de Ciberseguridad (INCIBE) en incidencias@incibe-cert.es y, eventualmente, presenta una denuncia a la policía. (Más información y consejos en la Oficina de Seguridad del Internauta – OSI). Seguro que hay entidades parecidas en otros países.
• Aunque no hayas caído en la estafa, vale la pena reportar los casos de phishing que detectes. Por correo es muy sencillo; los gestores de correo suelen tener esta opción.

• En casos de suplantación de identidad, no está de más contactar con la verdadera empresa para que sepan que les están suplantando para hacer phishing.

En Internet no te fíes de nadie

He empezado el post y he insistido mucho en esta frase un tanto dramática: no te fíes de nadie. La verdad es que es un poco triste tener que navegar por Internet de esta manera y no debería ser un tema de fiarse o no fiarse. ¿No sería mucho mejor aprender y cultivar algunas competencias digitales básicas, como el sentido crítico, ya desde la escuela, para poder darnos cuenta de los engaños por phishing o spam, no creerse las fake news o saber navegar por Internet de forma segura protegiendo las contraseñas? Esto solamente se puede hacer con formación y alfabetización digital… De estas cosas intento hablar en este blog (sígueme). Al menos, a partir de ahora, ya sabrás un poco más qué es phishing 😉