ciberseguridad > AMENAZAS

Phishing

¿Qué es phishing?

Phishing o suplantación de identidad, es un tipo de estafa a través de la cual un estafador o phisher, trata de obtener datos personales de la víctima (contraseña, datos de tarjeta de crédito, DNI, cuenta bancaria…) y para conseguirlo, engaña a la víctima haciéndose pasar por otra persona o entidad de confianza.

Origen del phishing

Actualmente la mayor parte de phishing llega a través de correo electrónico, pero otras vías comunes son mensajes al móvil y llamadas telefónicas.

¿Cómo combatir el phishing?

El mayor enemigo del phishing es el sentido común. Los sistemas antispam y de antivirus actuales son muy avanzados, pero se hace complicado categorizar como maligno un e-mail sin adjuntos extraños, con un texto bien formado, y remitido desde un dominio de confianza.

Algunos consejos útiles son:

  • Desconfiar de cualquier tipo de correo que te solicite datos personales, o que incluya URLs para modificar estos datos. Ejemplo típico: Un banco no te va ha solicitar nunca datos personales a través de e-mail.
  • Fijarse bien en los detalles, especialmente en el remitente. Ejemplo típico: Recibes un correo de seguridad para cambiar la contraseña de Amazon, pero el remitente no pertenece al dominio @amazon.com.
  • Evitar utilizar los enlaces recibidos a través del correo. Ejemplo típico: Te llega un mensaje del banco con una URL de acceso. En lugar de utilizar esa URL, que puede estar manipulada, abre tu navegador web y dirígete a la web oficial del banco para iniciar sesión y comprobar que el aviso es lícito.
  • Ten en cuenta el contexto. Ejemplo típico: Recibes un correo de UPS sobre un paquete que no ha podido entregarse, sin embargo no te consta haber pedido nada a ningún sitio.

Herramientas de referencia

Sin duda el mejor sistema antiphishing es el sentido común y el nivel de preparación de la víctima.

Como herramientas de referencia destacaríamos la formación y concienciación. Al respecto, incluimos un recurso de Google muy útil: https://phishingquiz.withgoogle.com/, así como un enlace a recursos de referencia del INCIBE (kit de concienciación)

Teniendo en cuenta lo anterior, y que ningún sistema antispam de correo electrónico, por muy bueno que sea, es 100% fiable, indicamos las principales soluciones tecnológicas existentes:

Por un lado, la mayor parte Sistemas de Correo electrónico de referencia incluyen un sistema de antivirus y antispam integrado, desde los archiconocidos servicios gratuitos de Hotmail/Outlook o GMail, a los planes profesionales como Microsoft Office 365 o Google GSuite.

En caso del típico caso de micro-empresas con correo externalizado a otros servicios de hospedaje, lo conveniente es informarse sobre las características y posibilidades relacionadas a la seguridad del correo. En todo caso muchos planes económicos o básicos, pueden conllevar la recepción de un número de correo SPAM y de Phishing elevado.

Para empresas grandes, hay soluciones específicas de fabricantes de referencia, tales como Fortimail, Spamina, Sophos… o soluciones de seguridad basadas en software libre como Spamassassin.

A continuación incluimos un enlace al conjunto de herramientas referenciadas en Ciberseguridad Total:

Herramientas de seguridad

 Salón de la fama

 A lo largo de los últimos años diversos casos de phishing han saltado a los titulares de prensa, sustentados sobre todo por el morbo de las personas implicadas. Algunos de estos casos son: 

  • El robo de Rusia de 50.000 correos electrónicos de Hillary Clinton, que muchos consideran determinante en la derrota de ésta frente a Donald Trump en la carrera presidencial de 2016. El método fue muy sencillo, los rusos enviaron al presidente de campaña de Hillary Clinton (John Podesta), un correo falso de GMail, con apariencia y formato muy cuidados, en el que se alertaba de un problema de seguridad y se instaba a pulsar un enlace para cambiar la contraseña de correo. Una vez la víctima picó, se hicieron con la cuenta por completo, incluidos contactos a los cuáles remitirieron nuevos e-mails falsos, aumentando el número de víctimas, y afectando no sólo al Comité de campaña electoral, sino al Comité Nacional del partido Demócrata.
  • A nivel nacional, no hace mucho (2019) el ex-líder del partido Ciudadanos Albert Rivera, sufrió el robo de su cuenta de Whatsapp, con todo lo que ello significa a nivel de privacidad. El método para efectuar el robo, fue el envío de un mensaje haciéndose pasar por la propia Whatsapp, dónde se instaba a proporcionar sus credenciales de acceso.
  • El denominado Celebgate, que consistió en el robo y publicación de fotografías íntimas de más de 100 celebridades internacionales, tales como Rihanna, Jennifer Lawrence, Scarlett Johansson o Kate Upton… El método muy simple, los atacantes enviaron a estas famosas un correo haciéndose pasar por Apple, solicitando un cambio de contraseña por motivos de seguridad. Una vez picaron las víctimas, los atacantes pudieron acceder a la información de sus iPhone: contactos, fotografías…
  • El último caso que incluimos, también nacional, el timo a la empresa municipal de transportes de Valencia EMT. La persona responsable de administración, dio por válido un correo electrónico suplantando a su superior, dónde se autorizaba transferencias bancarias con destino a Hong-Kong por valor de más de 4 millones de euros. Este tipo de ataque, donde tratan de suplantar la identidad del director general de la empresa, se denomina “fraude del CEO”. 

Ejemplo dummie

A veces un ejemplo sin tecnología de por medio, ayuda a comprender mejor ciertos conceptos. Es por eso que ponemos 2 ejemplos reales de lo que se puede considerar un «Phishing» (entre comillas):

  • Recientemente en mi comunidad de vecinos, un “sofisticado” ataque de phishing tuvo un tremendo impacto. Así, un paisano bien vestido, haciéndose pasar por comercial de la compañía eléctrica, convenció a la mayoría de vecinos para que les mostrara su factura de la luz. El engaño básicamente consistía en lo siguiente: este señor señalaba que la compañía eléctrica por motivos técnicos, no había aplicado determinados descuentos a clientes de la zona, y solicitaba poder ver la factura para comprobar si estaban aplicados estos descuentos, y de otro manera gestionarlo. El resultado es que la mayor parte de vecinos accedió a mostrarle la factura, e incluso a que éste hiciese una foto de la misma. El final de la historia es que quienes le proporcionaron la factura, vieron como al mes siguiente tenían la luz contratada en una compañía diferente a la que estaban.
  • El siguiente caso es aún peor, hace años, un señor vestido de técnico de Repsol, con kit completo: logo en el mono, herramientas…, llamó a la puerta de la casa de mi abuelo, que en ese momento estaba sólo. Indicó que era técnico de Repsol, e íba a hacer la revisión obligatoria del gas. Tras deambular por la instalación, e incluso cambiar el manguito de la bombona de butano, procede a pasar la factura: 150€. Mi abuelo que en paz descanse, no detectó nada raro hasta ese momento, y hubiera abonado la cantidad de no extrañarse por la alta cifra. Por casualidad en el momento de la discusión sobre el coste, entró en casa otro familiar, que solicitó al técnico su identificación e indicó que llamaría a Repsol para comprobarlo, entonces el supuesto técnico salió corriendo del piso sin decir nada más. 

En cualquiera de los casos anteriores, en lugar de personarse en casa, esos impostores podrían haber remitido un e-mail o sms, resultado un típico ataque de phishing.