El eslabón más débil de la cadena de seguridad de un sistema es el usuario, y hoy en día la mayor amenaza a la que se enfrentan los usuarios, es el phishing. Así lo demuestran las estadísticas que prueban cómo los hackeos a grandes corporaciones se habían iniciado con una brecha provocada por un empleado que cayó en un ataque de phishing. Por esta razón es tan importante saber identificarlos, ya que las consecuencias de no hacerlo pueden ser devastadoras para la compañía. Pero ¿en qué consiste el phishing?
Estas técnicas buscan suplantar la identidad de una empresa, una organización o una persona, engañando al usuario y haciéndole creer que se encuentra en un sitio de confianza, cuando en realidad está en uno falso. Su finalidad última es el robo de información confidencial como pueden ser las contraseñas de un usuario con el fin de acceder a su cuenta con fines ilegítimos.
Comúnmente suele realizarse a través de un correo electrónico con una apariencia razonablemente normal a ojos de cualquier usuario medio, simulando ser una entidad reconocida, que incluye un enlace que le dirige a un sitio web de confianza falso.
El sitio web al que se accede aparenta proceder de fuentes fiables y conocidas, sin embargo, se trata de una copia del original donde se solicita al usuario introducir determinados datos confidenciales, como su usuario y contraseña que, una vez en poder de los infractores, pueden causar daños irreparables.
Aunque en apariencia pueda parecer que proviene de una fuente de confianza, existen determinados aspectos que dejan entrever que los datos de la entidad no se corresponden con los reales:
- Utilizan URL parecidas, en las que el nombre de la entidad no está bien escrito, tiene faltas de ortografía o no se corresponde exactamente con el real, hay una letra de más o de menos.
- Tu banco u otras organizaciones nunca te pedirán que les envíes tus claves o datos personales por correo. Nunca respondas a este tipo de preguntas y si tienes una mínima duda, llama directamente a la organización para aclararlo.
- Desconfía de las URL acortadas, pues no podemos comprobar si el destino es legítimo o no. Como norma general las entidades financieras, de suministros (agua, luz, gas,…) y gubernamentales, no harán uso de direcciones acortadas, para evitar que puedan suplantarles.
- En muchas ocasiones hacen referencia a datos o información que no existe o difiere de la auténtica, por ejemplo un Departamento con un nombre sospechoso o que no pertenece a la entidad, aunque con el conocimiento suficiente podrían suplantar un Departamento Oficial, así que ¡estate atento!
- Aunque el formato del correo electrónico en un primer vistazo puede parecer el original utilizado por la entidad en sus comunicaciones, sin embargo analizado con mayor detalle puede ser identificado como sospechoso por no corresponderse con el formato de los correos corporativos: faltas ortográficas, logos de mala calidad, formato poco cuidado, tipos de letra distintos, contenido del mensaje poco claro, etc. Pero una vez más, un ataque sofisticado podría ser literalmente calcado al original por lo que hay que tener en cuenta todos los factores.
- Suelen utilizarse como gancho cuestiones que despierten el interés en el usuario, como regalos, pérdidas de la propia cuenta, o novedades interesantes que se pueden consultar a través del enlace que facilitan, también es frecuente que expresen urgencia en sus motivos.
- Ten en cuenta que archivos .doc, .pdf, imágenes o incluso audio pueden contener virus. También es habitual llamar PDF a un archivo que no lo es, sobre todo desconfía de los archivos ejecutables: .exe para Windows, .dmg para MacOS y .bin para Linux.
- Siempre que desconfíes de la legitimidad de un correo o página web, recuerda que es mejor hacer el esfuerzo de comprobarlo antes de correr el riesgo de darle tu contraseña a un ciber delincuente, especialmente en una gran compañía en la que las pérdidas pueden ascender a cifras elevadas.
- Ante la duda, contacta por otro medio con el remitente y confirma que realmente te ha enviado ese mensaje. No te fíes de los datos de contacto que contiene el e-mail, usa los detalles de contacto que ya sabes que son correctos.
- Si ya hubieras facilitado los datos, recuerda además cambiar inmediatamente tus contraseñas u otros datos confidenciales y notificar el ataque lo antes posible.
Mientras exista gente que sucumba ante este tipo de fraudes, éstos seguirán existiendo, haciéndose además cada vez más sofisticados, por lo que os alentamos a maximizar las precauciones y apelar al sentido común cuando nos encontremos con ellos.
Loreto Jiménez Muñoz | Head of Privacy | L-A