El Observatorio de Seguridad del Internauta ha detectado, en lo que lleva 2019, campañas de envío de correos falsos (‘phising’, en la jerga de la ciberseguridad), contra bancos como Bankia, BBVA, Caja Rural e ING, y contra empresas como PayPal, Endesa, Netflix o Correos, entre otras.

Los bancos se encuentran entre los principales afectados por los ataques de phishing: en 2018 el 21,7% de estos intentos de fraude tuvieron como objetivo los bancos. Pero el dato más alarmante es que España es el octavo país del ranking mundial con más usuarios afectados por esta práctica. El 20% de los internautas ha sufrido ataques de phishing.

«La banca informa regularmente a sus clientes sobre cómo evitarlos. Algunas entidades, incluso, añaden un pie de página en sus correos electrónicos en el que recuerdan que el banco nunca solicitará por e-mail contraseñas o números secretos», destacan los expertos en finanzas personales del comparador HelpMyCash.com.

Sin embargo, seguimos cayendo en la trampa. ¿Por qué? Porque sobrevaloramos nuestras capacidades para distinguir los ataques de phishing. Según un estudio realizado por la compañía Webroot, el 79% de los empleados de oficinas piensan que «pueden distinguir un mensaje de phishing de uno real”.

Pero la realidad es que, aunque el 81% de los participantes en este estudio tenía conocimiento de que los correos electrónicos son uno de los medios usados por los atacantes para abordar a sus víctimas, solo un 60% conocía que también lo son las redes sociales. El porcentaje se reduce en el caso de los mensajes de texto (59%), llamadas telefónicas (43%), notificaciones de apps (40%), correo postal (34%) o chats (22%).

“Estamos más acostumbrados a sufrir ataques de phishing por e-mail, por lo que tenemos más capacidades para detectar los correos fraudulentos”, señalan en HelpMyCash. Además, muchas campañas de prevención se enfocan sobre este medio.

El problema es que los ataques son cada vez más sofisticados y pueden aparecer por cualquier vía, como los mensajes de texto o las redes sociales.

A pesar de que uno de los métodos más sencillos para verificar un ataque de phishing es comprobar si los enlaces que acompañan a los mensajes se corresponden con el destino al que supuestamente deben dirigir, únicamente el 43% verifica que los links coincidan con su destino antes de pinchar sobre ellos, “a pesar de que hacer clic en enlaces maliciosos es una de las principales formas en que un simple intento de phishing puede convertirse en una infección importante”, resaltan en Webroot.

Solo el 52% de los usuarios verifica la gramática del mensaje; el 44%, la firma original del remitente; y el 38% comprueba su tono.

La consecuencia es que el phishing ya se ha convertido en la modalidad de
ataque más sencilla y productiva para los ciberdelincuentes, según el Lessons
Learned from a Decade of Data Breaches report, elaborado por F5 Labs, el área de
inteligencia en ciberseguridad de F5 Networks.

El phishing es la técnica responsable de cerca de la mitad de violaciones de datos (48%). A esto le sigue el relleno de credenciales (18%) y las vulnerabilidades de las aplicaciones web (también con el 18%).

El Anti-Phishing Working Group indica que la actividad de este tipo de fraudes online ha aumentado un 5.753% en los últimos 12 años.

«Es cada vez más evidente que los piratas informáticos están empleando con éxito y de
forma masiva técnicas de ingeniería social y phishing a escala global», afirma Keiron
Shepherd, ingeniero de sistemas senior de F5 Networks.

“Los cibercriminales siguen logrando acceder sin mucho esfuerzo a los datos de las
empresas y sus empleados. En la mayoría de los casos, las aplicaciones son el punto de
entrada principal. Cuando se consigue explotar la vulnerabilidad de una aplicación, es
relativamente sencillo abrirse paso a través de la red y conseguir acceso a los datos. Es
fundamental que las organizaciones adopten las medidas adecuadas para mitigar los
riesgos, lo que incluye formar a los empleados convenientemente para que puedan realizar su labor con seguridad, así como llevar a cabo pruebas de penetración para evaluar la resistencia del sistema», añade este experto.

El sentido común, el mejor antivirus

La mayoría de los ataques de phishing, especialmente los que están relacionados con los bancos, funcionan igual. La víctima recibe una comunicación, por ejemplo un e-mail o un SMS, de un remitente supuestamente oficial que le invita a pinchar sobre un enlace. Ese link apunta, aparentemente, a la página web de la compañía, aunque en realidad se trata de una copia. Una vez en la web, el objetivo es que la víctima introduzca sus datos, normalmente datos financieros, o realice algún pago. Si caemos en la trampa, lo más probable es que perdamos dinero o nos suplanten la identidad.

«Lo cierto es que muchas veces el sentido común es nuestra mejor herramienta para detectar ataques de phishing», señalan los expertos de HelpMyCash.

En primer lugar, debemos verificar quién es el remitente y si la cuenta desde la que envía la comunicación es corporativa o usa un dominio gratuito, como gmail.com o hotmail.com. Si se trata de este último caso, lo más probable es que sea phishing.

En segundo lugar, debemos comprobar el tono del mensaje. Si el contenido es alarmista e inesperado y nos insta a llevar a cabo una acción, por ejemplo introducir nuestros datos bancarios en una web so pena de que nuestras cuentas queden bloqueadas, es phishing.

En tercer lugar, hay que prestar atención a la forma en la que está escrito el mensaje. Si parece una mala traducción y está repleto de errores sintácticos y ortográficos, es phishing. Una comunicación oficial de una compañía reconocida como un banco estará cuidada. Y si el diseño gráfico del mensaje no se corresponde con el estándar corporativo de la empresa, debemos estar alertas.

Y lo más importante, debemos comprobar que la URL a la que apunta el mensaje redirige a una página web oficial y no a una que intenta suplantarla. Antes de hacer clic, podemos ubicar el cursor del ratón sobre el hipervínculo y comprobar a dónde apunta. Hay que estar atentos, porque en muchos casos la diferencia con la web original es de solo un punto o una letra. Si llegamos a pinchar, antes de dar ningún dato personal, debemos comprobar que la web está totalmente operativa y que realmente es la original, además de verificar que cuenta con los estándares de seguridad esperados (certificado válido, protocolo seguro de transferencia de datos, etc.). Y no olvidemos que nuestro banco nunca nos pedirá todos nuestros datos de golpe, como, por ejemplo, todas las posiciones de una tarjeta de coordenadas.

Los expertos de F5 Labs ofrecen seis pautas de seguridad:

1.-Tenga cuidado con lo que comparte: las redes sociales animan a las personas a
compartir información personal que, en determinados casos, también puede estar
relacionada con su actividad profesional. Esta información es muy valiosa para los
hackers, ya que puede convertirse en la base de una acción de phishing. Las
organizaciones deben poner en marcha y mantener en el tiempo campañas de
formación y sensibilización dirigidas a sus empleados, para que todos ellos
adquieran una cultura responsable en su actividad en redes sociales.

2- Evalúe regularmente el contenido de su web: los hackers pueden centrar su
atención en una organización concreta basándose en la información existente sobre
empleados, partners, etc. en la web corporativa. Es necesario revisar
periódicamente estos contenidos y decidir si todo lo que se publica resulta
verdaderamente esencial para el negocio.

3.- Asegure la red: los sistemas de red vulnerables y las aplicaciones protegidas
inadecuadamente pueden facilitar la filtración de información interna, como nombres
de servidores, direcciones de redes privadas, direcciones de correo electrónico e,
incluso, nombres de usuarios. Es necesario comprobar regularmente que los
sistemas de red están configurados de manera robusta para mitigar posibles riesgos
de fugas de datos.

4.- Recuerde que las aplicaciones contienen pistas: muchas aplicaciones no se
construyen con una mentalidad de seguridad por diseño; y, generalmente, se
ensamblan desde librerías y frameworks públicos. Algunos componentes pueden
contener pistas sobre el equipo de desarrollo y los procesos organizativos. Asegurar
esto es una prioridad ineludible.

5. Revisar los encabezados de los correos electrónicos: los asuntos de los correos
electrónicos son una excelente fuente de información de configuración interna, y los
atacantes a menudo envían correos electrónicos para recopilar direcciones IP,
determinar el software del servidor de correo y descubrir cómo fluyen los correos
electrónicos en la organización. Las empresas deben pedir a sus empleados que
verifiquen los encabezados o asuntos de los correos electrónicos antes de abrirlos.

y 6. No sea complaciente: cuanta más información se tenga sobre el tema, mejor. Si un
empleado entiende cómo se puede piratear su información y las implicaciones que
eso puede conllevar, seguramente trabajará de forma más segura. Establecer unas
normas claras y poner en marcha iniciativas de formación pueden ayudar a construir
una mejor cultura de seguridad.