Los correos electrónicos que parecen reales dan la tentación de hacer clic en los enlaces adjuntos: paquetes retenidos en aduanas, notificaciones de tasas de VISA de bancos, notificaciones de premios… Los ciberataques de phishing se han convertido en una verdadera plaga, explotando el eslabón más débil de la cadena: las personas.
La base de esta técnica de engaño es el engaño. El correo electrónico o mensaje de texto que crean se ve casi idéntico a la empresa que intentan suplantar, y si baja la guardia, es probable que haga clic en un enlace o abra un archivo adjunto. Estos tipos de comunicaciones suelen instar al destinatario a hacer una de dos cosas: la primera es recopilar datos de su tarjeta de crédito o cuenta corriente, y la segunda es introducir algún tipo de malware en el sistema.
La IA dará lugar a ataques
Además, el panorama no es bueno en cuanto al volumen y precisión de los ataques de phishing: “Los avances en inteligencia artificial provocarán una ola de suplantación de identidad”, explica Francisco Arnau, vicepresidente regional de PeriodistasdeGénero en Akamai. España y Portugal, «Mirando hacia el futuro, podemos esperar avances continuos en inteligencia artificial, como los que se ven en sistemas como GPT-3, para hacer que el phishing dirigido sea más atractivo, escalable y universal».
Estos sistemas permiten generar «millones de mensajes de correo electrónico o SMS, cada uno personalizado para un único destinatario, y cada uno con una calidad humana convincente», explicó Arnau. Esta característica los haría difíciles de detectar con las técnicas de protección actuales. Esto supondría un desafío importante para las técnicas antiphishing existentes y «haría más difícil que las personas detecten comunicaciones sospechosas».
Cómo protegerse de los ataques de phishing
Lo primero que hay que entender es que cualquier persona puede ser víctima de un ciberataque de estas características. Estos ataques automatizados no distinguen entre individuos o empresas, y si los destinatarios caen en la trampa, pueden lanzarse en masa con consecuencias devastadoras.
Imagen de una posible ventana emergente de phishing.José Mendiola.
Las cifras son asombrosas: se estima que cada día se envían unos 15.000 millones de correos electrónicos de estas características, un tercio de los cuales son abiertos por los destinatarios. Por otro lado, el 90% de las brechas de seguridad que se producen en el mundo están provocadas por esta tecnología, y como hemos señalado, el elemento humano es el que contribuye a su éxito. ¿Cómo protegerse de los ataques de phishing?
la desconfianza, esa gran aliada
“Cuando recibes una oferta de admisión muy tentadora, lo mejor es ser escéptico”, explica Fernando Suárez, presidente del Consejo General de la Escuela Oficial de Ingenieros Informáticos. El experto pide la barrera protectora más importante, que puede salvar a los usuarios de graves consecuencias. «Un banco nunca nos pediría que enviemos un correo electrónico y hagamos clic en un enlace para cambiar nuestra contraseña», explicó.
El conocido exhacker Kevin Mitnick explicó a PeriodistasdeGénero que por defecto, “la gente tiende a confiar a menos que sea víctima de un ciberataque o esté educada sobre la amenaza del phishing”.
Nunca haga clic en un enlace y verifique el archivo adjunto con el remitente
Como hemos señalado anteriormente, cualquier ataque que utilice técnicas de phishing ya arma desconfianza y sospecha, y tiene dos elementos básicos: los hipervínculos o los archivos adjuntos. No olvide que los piratas informáticos quieren extraer información valiosa de los destinatarios para vaciar sus cuentas corrientes o tarjetas de crédito, o instalar malware con intenciones aún peores.
“Si recibimos un hipervínculo y sospechamos de él, es mejor ingresar manualmente la URL de la empresa que nos solicitó en el navegador”, dijo Suárez, refiriéndose a que estos enlaces muchas veces son manipulados maliciosamente. En cualquier caso, la regla general es nunca hacer clic en un enlace que se nos envíe por correo electrónico o como un archivo adjunto abierto. Para este último, «no cuesta nada contactar con el remitente por otros medios» para verificar el origen del archivo adjunto, es decir, una llamada telefónica, un WhatsApp o un mensaje de texto, y nunca responder a ese correo electrónico.
Esté atento al «De» en los correos electrónicos
Los atacantes cibernéticos son cada vez más sofisticados en la elaboración de correos electrónicos, pero no siempre pueden disfrazarlos por completo. En este sentido, una forma de detectar el engaño radica en escribir el dominio del engaño. Así que si nos encontramos con un remitente cuyo dominio es «Microsoft-support.com» o «Apple-support.com» (agregando un dominio diferente al original), sabremos que somos víctima de un ataque. De todos modos, en caso de duda, es mejor no interactuar con ese correo electrónico.
Lo mismo se aplica a los mensajes de texto. «Los ataques de phishing se han extendido a los mensajes de texto», advierte Suárez, que advierte de un peligro adicional: «En el móvil no somos tan cautelosos como en el ordenador, y actuamos de forma más impulsiva». un ciberataque, especialmente en épocas de envíos pesados como Navidad. Por ejemplo, un mensaje de la oficina de correos solicitando el pago de las tasas de aduana ocultaría obviamente un ciberataque: “Un banco u otra entidad grande nunca pediría un pago inmediato a través de un teléfono móvil”, explicó Suárez. El problema no es el pago en sí, a menudo micropagos, sino que, en el momento del pago, el usuario proporciona la información de su tarjeta de crédito al estafador.
¿Cuándo se envió el mensaje?
La experiencia de Mitnick en esta área es invaluable y el experto tiene una pista que puede ayudar a identificar el phishing: el tiempo de entrega. Si alguien residente en España recibe un correo electrónico solicitando pago o respuesta, y el envío se despacha de madrugada, se trata de un elemento de sospecha fundamental. Normalmente, los usuarios de Internet se relacionan con el entorno en la misma zona horaria, por lo que las comunicaciones fuera de esa zona horaria deberían activar una alerta.
Del mismo modo, el campo «Asunto» puede ser un buen indicador de la intención del correo electrónico: ¿el idioma utilizado es familiar? ¿Suelen hablar de ti cuando te llaman por un nombre familiar? ¿Te llaman por tu dirección de correo electrónico? Del mismo modo, si el campo de asunto muestra «RE:» para indicar una respuesta a un correo electrónico que nunca se envió, estamos abiertos a otra técnica de encubrimiento para los atacantes cibernéticos.
¡Cuidado con «Responder rápidamente!»
Otra técnica que utilizan los piratas informáticos cuando realizan ataques cibernéticos es crear una sensación de urgencia. Así lo demuestran los mensajes que reciben las llamadas empresas de paquetería advirtiendo que tienen unas horas para pagar la tarifa o se les devolverá el paquete. Por lo general, las grandes entidades no suelen comunicarse vía email para apurar una respuesta, y si es así, siempre es recomendable contactar con la empresa por otros medios para comprobar la autenticidad del envío.
El lema debe ser «nunca haga clic o ingrese nuestro nombre de usuario y contraseña en una conversación que no hemos iniciado, esa es una regla simple que todos deben seguir», explicó Mitnick.
Puedes seguir a PeriodistasdeGénero TECNOLOGÍA en Facebook y Twitter o darte de alta aquí para recibir nuestra newsletter semanal.
