El phishing es el enemigo silencioso que se esconde en tus comunicaciones

Recibimos cada día una enorme cantidad de comunicaciones: correos electrónicos, mensajes a través de apps de mensajería, SMS, llamadas, notificaciones en redes sociales…

Es tal el volumen de información que nos llega (y el poco tiempo que tenemos para gestionarlo) que no le prestamos a veces la suficiente atención a lo que estamos recibiendo. Precisamente de este “pequeño caos” diario se aprovechan los ciberdelincuentes.

Uno de los principales ciberataques a los que estamos expuestos usuarios y empresas es el phishing. Se denomina así a las comunicaciones maliciosas que tratan de suplantar la identidad de organizaciones o instituciones con algún tipo de señuelo. Su objetivo es que piquemos en él para conseguir robar nuestros datos o nuestro dinero.

Seguro que has recibido más de un mensaje así. Un correo electrónico que supuestamente te está enviando la DGT con información sobre una “multa” que debes pagar, un mensaje del banco alertando de un “problema en el acceso”, una comunicación de una empresa de mensajería avisando de un paquete no entregado…

Los ciberdelincuentes se esfuerzan en que estas comunicaciones tengan el aspecto de las empresas a las que suplantan, usan su logotipo, sus colores, etc. Pero hay distintos elementos que podemos verificar para detectar que se trata efectivamente de una estafa, como veremos luego.

La mayoría de esas comunicaciones cuentan con un enlace o un archivo adjunto, y se insta a la víctima o bien a acceder al link o bien a descargar el documento.

Si accedemos al enlace, nos llevará a una web que también tendrá el mismo aspecto que la compañía suplantada, pero en la mayoría de las ocasiones con un formulario en el que nos piden introducir los datos personales o bancarios, que irán directamente al estafador.

Los “cebos” cambian, los objetivos se mantienen

Phishing Global Technology Expertos en SeguridadEmpresas de mensajería, proveedores de internet, servicios de pago, bancos, instituciones públicas… Son muchas las organizaciones y servicios que son suplantadas casi cada día. Los mensajes y asuntos van variando en el tiempo, pero suelen aprovechar el miedo y la urgencia ante un supuesto problema,

Año tras año sigue siendo el principal ataque que afecta tanto a ciudadanos como a empleados y empresas. Es una verdadera “plaga digital”. De hecho, solamente en 2019 los intentos de phishing crecieron un 640%

Es un enemigo que además puede incorporar de forma silenciosa otros ataques, como por ejemplo el ransomware, que puede ser incluido en los archivos adjuntos.

Durante los últimos meses, debido a la pandemia, los ataques no han disminuido, al contrario. No solo ha aumentado el volumen de campañas de phishing, sino que además los cibercriminales han modificado sus “cebos”, adaptándolos a temas de actualidad alrededor de COVID-19 que pueden hacer picar a los usuarios en su trampa.

No debemos confundir este ciberataque con el spam. Estos son los denominados “correos basura” o “no deseados” que tienen la intención de enviarnos publicidad. Aunque sí debemos tener cuidado de no responder ni reenviar estos correos, que no son pocos. De hecho, hay que tener en cuenta que el 85% de todo el correo electrónico a escala global es correo basura, y además España lidera el ranking de spam recibido a nivel mundial.

El phishing y sus variantes

Como explicábamos al comienzo, nos comunicamos a través de todo tipo de canales… Y los ciberdelincuentes han adaptado también este ataque a todos ellos.

El principal vector de ataque sigue siendo no obstante a través del correo electrónico. Es el caso más “tradicional” y común: nos llega un correo electrónico que aparentemente proviene de una empresa o una institución legítima y parece que se dirige a nosotros.

Pero los ciberdelincuentes no han dejado pasar la oportunidad para adaptar sus ataques de suplantación de identidad a otro tipo de comunicaciones que usamos cada día.

Entre ellos están los SMS, de hecho son cada vez más comunes las suplantaciones de identidad a través de estos mensajes cortos. También a través de las publicaciones o los chats de redes sociales, así como las apps de servicios de mensajería. Esta versión a través de mensajes cortos del phishing se denomina “smishing”.

Por otro lado, los ciberdelincuentes también han modificado su técnica para adaptarla a una comunicación telefónica, así que también podríamos ser víctimas del phishing por teléfono, lo que se denomina vishing.

En cualquier caso, en todos ellos, los consejos básicos para hacerles frente son comunes, y pasan por:

  • Desconfiar de remitentes desconocidos y mensajes que no esperábamos.
  • Evitar acceder a los enlaces o descargar adjuntos de comunicaciones no solicitadas.
  • Leer bien el cuerpo del mensaje. Cada vez son más sofisticados, pero los mensajes de phishing suelen tener fallos gramaticales y frases mal construidas.
  • Desconfiar de asuntos demasiado llamativos o urgentes. Si el motivo de la comunicación es un asunto urgente que no esperabas, compruébalo antes de hacer nada.
  • Verifica antes de contestar o actuar. Si dudas, ponte en contacto con la organización que se supone que te ha enviado esa comunicación para verificar si es cierto.
  • Marca estos mensajes como spam o elimínalos, no los reenvíes ni contestes.
  • Es interesante estar al día de las campañas de phishing que están activas. Esta página del CERT de INCIBE alerta de los principales avisos de seguridad relacionados con phishing.

¿Qué puedes hacer para proteger tu empresa del phishing?

Las empresas son grandes víctimas de estos ciberataques. Por eso, contar con herramientas y soluciones de seguridad es tan importante. Existen herramientas anti-phishing que pueden detectar y evitar que lleguen a la bandeja de entrada.

Las compañías pueden asesorarse de cuáles son las mejores soluciones para cada necesidad de la mano de compañías de ciberseguridad especializadas que puedan proveer un asesoramiento adecuado.

Por otro lado, establecer unas políticas de seguridad adecuadas es igualmente muy importante, y por supuesto, debemos asegurarnos de que los empleados conozcan y cumplan estas políticas de seguridad.

Y no menos relevante es crear una buena cultura de ciberseguridad. Aunque disponemos de tecnología para detectar algunos estos ataques, muchas de las campañas siguen llegando a la bandeja de entrada, ya que los ciberdelincuentes modifican y mejoran las técnicas para evitar ser detectados. Por ese motivo, inculcar en los empleados unas buenas costumbres en el uso del correo electrónico será la base para crear una buena cultura y concienciación en ciberseguridad, y que se la puedan llevar a casa. Tan importante es que esos hábitos los tengan dentro como fuera de la oficina, más aún en época de teletrabajo.

NOTA: Si quieres saber qué es el phishing de manera más visual, hemos preparado esta infografía.