4 simples pasos para evitar el phishing y pharming

¿Cuál es la diferencia entre estos ataques?

El phishing y pharming son cibercrimenes bastante similares, siendo ambos ataques bastante efectivos para obtener información de sus víctimas aprovechándose de ingeniería social con un mínimo esfuerzo.

El phishing es un tipo de ataque informático que ocurre cuando alguien te contacta por correo electrónico intentando engañarte para que reveles información personal, como contraseñas y números de tarjetas de crédito, fingiendo ser de una fuente confiable.

Una de las formas más comunes de phishing se puede realizar a través de mensajes de correo electrónico que parecen provenir de empresas que conocemos. Esto incluye correos electrónicos que simulan provenir de nuestro banco o sitio de redes sociales, por ejemplo.

Los correos electrónicos de phishing a menudo tienen enlaces a lo que parece ser el sitio web de la empresa y normalmente te “invitan” a revisar algo en dicha empresa dando clic al enlace falso, o a descargar un archivo adjunto en el correo para realizar alguna acción, lo que normalmente termina en una infección de malware.

Aunque los ataques de malware y las grandes violaciones de datos suelen acaparar los titulares de los medios de comunicación, las estafas de phishing son mucho más comunes y, en muchos casos, una amenaza igual de grave para las empresas, de hecho, aproximadamente el 69% de las organizaciones que sufrieron un ataque de ransomware, reportaron que los atacantes ganaron acceso a su red por medio de correos de phishing o a través de redes sociales.

Además de utilizarse para robar información de tarjetas de crédito, números de cuentas bancarias, credenciales de inicio de sesión, números de la seguridad social y otros datos sensibles, las estafas de phishing también se utilizan ampliamente como punto de entrada para ataques de malware y ransomware. El phishing puede provocar no sólo el robo de identidad, sino también la pérdida de datos de los clientes y de la propiedad intelectual de la empresa.

Actualmente se puede ver en los reportes más recientes que la mayoría de estafas de phishing estan hosteados en sitios HTTPS, con cerca de la mitad de los sitios de phishing utilizando el protocolo seguro. Esto hace que los mecanismos de alerta de los navegadores no reporten una amenaza, y que el contenido sea invisible para los antivirus antiguos, que no pueden leer tráfico cifrado.

Por otro lado en un ataque de pharming, el ataque se puede de dar normalmente hacia dos áreas, la primera es envenenando el archivo de hosts local, utilizando un virus o troyano, para hacer que el tráfico de tu computadora hacia ciertas páginas se redirija a otras páginas falsas; la segunda es atacando directamente un servidor DNS, que es el que "resuelve" los nombres de los dominios, redirigiendo el tráfico a páginas falsas, muchas veces creadas exactamente igual que las originales, para que no te des cuenta que estas en un sitio falso y puedan robar tus datos ya sea para recopilar información adicional para un ataque mas complejo o para robar tu identidad.

¿Cómo funciona un ataque de phishing?

El correo electrónico es el principal vector, pero no el único. También se han explotado los mensajes de texto, las llamadas telefónicas directas (vishing) y las redes sociales como Facebook, Twitter y LinkedIn, pero el objetivo es siempre el mismo: conseguir que la víctima haga clic en un enlace, realice una llamada telefónica o inicie algún otro tipo de acción que desencadene la estafa.

Muchas estafas de phishing intentan hacerse pasar por un proveedor con el que la víctima está familiarizada, presentando una situación que requiere de una acción urgente, generando molestia y estrés para evitar descubrir detalles que podrían desenmascarar la estafa, ya sea como un cargo a una tarjeta, una suscripción adicional, una compra en un ecommerce, la baja de un servicio importante para ti, etcétera.

Los mensajes de phishing de este tipo presionan los botones psicológicos correctos. El destinatario se molestará por el "error" y le preocupará que no se le cobre, por lo que existe un fuerte incentivo para hacer clic en el enlace "revisar su suscripción".

Los enlaces suelen estar manipulados para parecer legítimos si no se les presta mucha atención, Sólo algunos de ellos suelen ser reales, pero realmente, la mayoría de las personas no se detienen a pensar y mucho menos a revisarlos.

Una vez enganchada la víctima, la estafa puede consistir en cualquier número de artimañas, desde timos fraudulentos de asistencia técnica hasta páginas falsas de inicio de sesión de correo electrónico. Una táctica común es decir a la víctima que necesita actualizar su cuenta de correo electrónico y luego proporcionar un sitio falso razonablemente convincente para robar las credenciales.

¿Porqué se realizan los ataques de phishing y pharming?

Para cualquier ataque cibernético generalmente la manera más efectiva para iniciar es una campaña de phishing.

Psicología

El eslabón mas débil de una defensa cibernética casi siempre es la conexión entre el teclado y la silla, utilizar la psicología humana para ingresar a un sistema es mucho más fácil que engañar a los equipos tecnológicos. Incluso las personas que saben detectar enlaces maliciosos, no son inmunes a ser víctimas de una campaña de phishing bien pensada.

Utilizando técnicas de ingeniería social, perseverancia y un buen reconocimiento inicial, el phishing es una forma bastante efectiva para que un atacante consiga un punto de entrada. Los delincuentes tienen la psicología y la tecnología de su lado. Si a esto se le añade algún tipo de presión de tiempo o sensación de urgencia, como ofertas limitadas de temporada como el "Buen Fin" o la noticia inesperada de un equipo legal falso de que tiene una demanda por la que puede ir a la cárcel, el objetivo de conseguir que la víctima haga clic en un enlace está estadísticamente a favor del atacante.

El truco consiste en aprender lo suficiente sobre el objetivo para saber qué es lo que le va a "presionar" y utilizar esa información en una suplantación cuidadosamente elaborada de una fuente de confianza.

Bajo riesgo, alta rentabilidad

Si bien el phishing y pharming pueden ser utilizados por un atacante para lograr la entrada directa en un objetivo, la técnica es más comúnmente utilizada por actores sin otra intención que la de robar credenciales y venderlas en la DarkNet, utilizando bitcóin y otras criptomonedas para recibir fácilmente pagos no rastreables.

Dado que muchas personas reutilizan las mismas credenciales de inicio de sesión en varios sitios, el uso de una técnica de phishing puede tener recompensas inesperadas para quienes se aprovechan de la venta de información sensible en línea, donde una sola credencial de inicio de sesión podría abrir un vasto tesoro de datos y puntos de acceso.

Es sumamente difícil comprobar las identidades a través de la comunicación escrita. Si un amigo hace una video llamada o una llamada telefónica, puedes reconocer instantáneamente que es tu amigo el que está al otro lado de la línea.

En un mundo tan acelerado, es prácticamente inevitable que algunos de nosotros hagamos clic en algo malicioso sin querer. Los delincuentes lo saben y, como en cualquier tipo de campaña publicitaria, conseguir "clics" es una cuestión de conocer a tu público y de poner un volumen suficiente.

Suplantación de Identidad

Si recibes un mensaje de texto de tu amigo pidiéndote que consultes un enlace o abras un documento, las cosas se complican considerablemente.

No se necesitan conocimientos técnicos

Antes, la piratería informática requería conocimientos tecnológicos para crear programas maliciosos. Ahora es posible que personas sin conocimientos técnicos con una intención delictiva creen un ataque de phishing y pharming, y estos proveedores de servicios lo están haciendo fácil. Este tipo de ataques se ofrece como malware como servicio. De este modo, los desarrolladores de malware pueden vender su software malicioso como un servicio en línea.

Tipos de phishing

Ademas del phishing y pharming existen otros tipos de ataques relacionados, estos son algunos ejemplos de phishing:

1. Phishing por correo electrónico
   • También llamado "phishing de engaño", el phishing por correo electrónico es uno de los tipos de ataque más conocidos. Los enlaces suelen llevar a sitios web maliciosos que roban credenciales o instalan código malicioso, conocido como malware, en el dispositivo del usuario. Las descargas, por lo general PDFs, tienen contenido malicioso almacenado que instala el malware una vez que el usuario abre el documento.
2. Phishing HTTPS
   • El protocolo de transferencia de hipertexto seguro (HTTPS) se considera a menudo un enlace "seguro" para hacer clic porque utiliza el cifrado para aumentar la seguridad. La mayoría de las organizaciones legítimas utilizan ahora HTTPS en lugar de HTTP porque establece la legitimidad. Sin embargo, los ciberdelincuentes están aprovechando ahora el HTTPS en los enlaces que ponen en los correos electrónicos de phishing.
3. Spear Phishing
   • Aunque el spear phishing utiliza el correo electrónico, tiene un enfoque más específico. Los ciberdelincuentes empiezan por utilizar la inteligencia de fuente abierta (OSINT) para recopilar información de fuentes publicadas o disponibles públicamente, como las redes sociales o el sitio web de una empresa. A continuación, se dirigen a personas concretas de la organización utilizando nombres reales, funciones laborales o números de teléfono del trabajo para hacer creer al destinatario que el correo electrónico procede de otra persona de la organización. Finalmente, como el destinatario cree que se trata de una solicitud interna, la persona realiza la acción mencionada en el correo electrónico.
4. Whaling
   • Otro tipo de phishing corporativo que aprovecha la OSINT es el whale phishing, también llamado whaling o fraude al CEO. Los actores maliciosos utilizan las redes sociales o el sitio web corporativo para encontrar el nombre del director general de la organización o de otro miembro de la alta dirección. A continuación, se hacen pasar por esa persona utilizando una dirección de correo electrónico similar. El correo electrónico puede pedir una transferencia de dinero o solicitar que el destinatario revise un documento.
5. Vishing
   • El phishing de voz, o "vishing", se produce cuando un ciberdelincuente llama a un número de teléfono y crea una sensación de urgencia que hace que la persona realice una acción en contra de sus intereses. Estas llamadas suelen producirse en momentos de estrés. Por ejemplo, muchas personas reciben llamadas falsas de personas que se hacen pasar por el Servicio de Impuestos Internos (IRS) durante la temporada de impuestos, indicando que quieren hacer una auditoría y necesitan un número de seguridad social. Como la llamada crea una sensación de pánico y urgencia, el receptor puede ser engañado para que dé su información personal.
6. Smishing
   • Los delincuentes suelen aplicar tácticas similares a diferentes tipos de tecnologías. El smishing consiste en enviar textos que solicitan a una persona que realice una acción. Son la siguiente evolución del vishing. A menudo, el texto incluye un enlace que, al hacer clic, instala un malware en el dispositivo del usuario.
7. Angler phishing
   • A medida que los actores maliciosos se mueven entre los vectores de ataque, las redes sociales se han convertido en otro lugar popular para los ataques de phishing. Al igual que el vishing y el smishing, el angler phishing se produce cuando un ciberdelincuente utiliza las notificaciones o las funciones de mensajería directa de una aplicación de redes sociales para incitar a alguien a realizar una acción.
8. Pharming
   • El pharming es más técnico y a menudo más difícil de detectar. Los actores maliciosos secuestran un servidor de nombres de dominio (DNS), el servidor que traduce las URL del lenguaje natural a direcciones IP. Entonces, cuando un usuario teclea la dirección del sitio web, el servidor DNS lo redirige a la dirección IP de un sitio web malicioso que podría parecer real.
9. Pop-up phishing
   • Aunque la mayoría de la gente utiliza bloqueadores de ventanas emergentes, el phishing en ventanas emergentes sigue siendo un riesgo. Los actores maliciosos pueden colocar código malicioso en los pequeños cuadros de notificación, llamados pop-ups, que aparecen cuando la gente entra en los sitios web. La versión más reciente del phishing emergente utiliza la función de "notificaciones" del navegador web. Por ejemplo, cuando una persona visita un sitio web, el navegador le pregunta "www.thisisabadwebsite.com” quiere mostrar notificaciones". Cuando el usuario hace clic en "Permitir", la ventana emergente instala un código malicioso.
10. Clone phishing
    • Otro ataque de phishing por correo electrónico dirigido, el phishing de clonación, aprovecha los servicios que alguien ha utilizado previamente para desencadenar la acción adversa. Los actores maliciosos conocen la mayoría de las aplicaciones empresariales que requieren que las personas hagan clic en enlaces como parte de sus actividades diarias. A menudo se dedican a investigar qué tipos de servicios utiliza regularmente una organización y luego envían correos electrónicos dirigidos que parecen proceder de estos servicios. Por ejemplo, muchas organizaciones utilizan DocuSign para enviar y recibir contratos electrónicos, por lo que los actores maliciosos podrían crear correos electrónicos falsos para este servicio.

Cómo evitar las estafas de phishing

Teniendo en cuenta los peligros, ¿qué puede hacer una persona con mucho trabajo para reducir el riesgo de caer en una estafa de phishing? He aquí algunos consejos:

Toma el control

Asegúrese de que las preferencias antiphishing de su navegador están activadas. No es raro que los usuarios desmarquen esta opción, y es bastante fácil que el malware la desactive sin el permiso del usuario.

Dependiendo de su navegador, la configuración puede encontrarse en varios lugares y con varios nombres. En el caso de los navegadores como Chrome, suelen estar en Avanzado o Privacidad y se llamarán algo así como "Navegación segura" o "Protección contra phishing y malware".

Firefox llama a la configuración "Bloquear contenido peligroso y engañoso", que se encuentra en su página de Preferencias en "Privacidad y Seguridad". En el caso de Safari, marque la opción "Avisar al visitar un sitio web fraudulento" en su pestaña de Seguridad de las Preferencias.

En su cliente de correo electrónico, desactive la carga automática de imágenes y contenidos externos almacenados en servidores remotos. No hacerlo permite a los atacantes utilizar imágenes clicables, que pueden evitar los filtros de seguridad, en lugar de texto para los enlaces. También les permite incluir imágenes ocultas para notificarles cuando un objetivo abre el correo electrónico infectado.

Observa con atención

Los errores ortográficos y gramaticales en los correos electrónicos y otros mensajes son siempre una señal de alarma de un intento de suplantación de identidad, así que acostúmbrate a mirar con atención el texto de los correos electrónicos que contienen enlaces. Pasa el ratón por encima de los enlaces antes de hacer clic en ellos para ver a dónde dirigen realmente.

También es una buena idea adquirir el hábito de no hacer nunca clic en un enlace de un correo electrónico. Evita hacer clic en enlaces o marcar números de teléfono que soliciten información personal, números de tarjetas de crédito o contraseñas de cuentas. En su lugar, ve a la página desde un marcador en tu navegador, o busca la dirección en un motor de búsqueda de Internet. Del mismo modo, comprueba siempre dos veces cualquier número de teléfono al que te pidan que llames, ya sea a través de una búsqueda en la web o consultando tu correo anterior.

Valida

Si el correo electrónico es de alguien que conoces, pero tienes alguna duda, siempre es mejor revalidar ya sea por medio de un mensaje de texto, una llamada o en persona, dependiendo de la importancia y consecuencias que la acción que se solicita pueda tener, imagina que llega un correo del dueño de la empresa a la persona de finanzas solicitando un depósito urgente a una cuenta bancaria, validar esa transacción ahorraría bastantes dolores de cabeza y de paso unas cuantas monedas.

Sigue tu plan

En el caso de los usuarios de empresa, considera la posibilidad de realizar un taller de concienciación sobre la seguridad de los empleados que simule campañas de phishing de forma regular y fomente una buena higiene de las contraseñas, incluida la exigencia de la autenticación multifactor.

El uso de un buen software de seguridad de última generación, como SentinelOne, que pueda inspeccionar el tráfico cifrado y aplicar el control del cortafuegos para bloquear los sitios fraudulentos conocidos, también ayuda a defenderse de la ciberdelincuencia.