Phishing, ¡NO nos dejemos pescar!

Susana Blázquez Diéguez
Academia Malagueña de Ciencias

Creo que no es demasiado atrevido afirmar que el uso del lenguaje ingles en los términos informáticos nos despista de su significado. La palabra “Phishing”  es una modificación en el argot informático del sustantivo “Fishing” (pescar). Así podemos decir que “Phishing” es por tanto “pescar informáticamente” información relevante. El “Phishing” es  una suplantación de identidad que permite robar datos privados de determinados usuarios, pero esta suplantación de identidad se basa en lo que conocemos como ingeniería social.

La ingeniería social es una técnica que utiliza engaños intencionados que provocan que un determinado usuario realice ciertas acciones que permiten a los “hackers” (piratas informáticos) acceder al ordenador de la víctima, infectarlo con programas maliciosos o recopilar información confidencial, entre otras muchas acciones consideradas como ataques informáticos.

En todos los foros de ciberseguridad, uno de los puntos en los que más se hace hincapié, dada su importancia tanto para cibernautas como para empresas, es en la formación y la concienciación de los usuarios a fin de que ellos mismos velen por su seguridad informática. A día de hoy, recibimos un inmenso volumen de información vía internet así como multitud de correos electrónicos, infinidad de WhastApps, estamos adscritos a varias redes sociales (Facebook, Twitter, Instagram, etc.), somos clientes de diversas plataformas web (compañía eléctrica, sanitaria, seguros, etc.), disponemos de las aplicaciones necesarias para poder guardar información en la nube (GoogleDrive, Dropbox, etc.), que llega a ser materialmente imposible saber en qué momento estamos cediendo parte de nuestra información, o aceptando que accedan a ella, a un lugar inapropiado.

Tuti_Curso_01
Un buen ejemplo de lo que comento en este post, lo podemos encontrar en los cursos de ciberseguridad impartidos por CCN-CERT en los que el epígrafe “Ataques mediante Phishing” forma parte de los principales riesgos (y peligros) que pueden acaecer cuando se realiza el teletrabajo, de fuerte implantación en las actuales circunstancias de confinamiento.

Pero esto no tiene porqué llevarnos necesariamente a una situación de pánico. Normalmente, cuando nos damos de alta en alguna aplicación o red social, respondemos que a cuantas preguntas secuenciadas nos van presentando en cascada en la pantalla. Esto sucede porque es prácticamente imposible leer y asimilar todas las políticas de uso que hemos de aceptar para poder acceder a dicha aplicación. Lo importante es tener conciencia clara de que es lo que estamos instalando en nuestro dispositivo, tanto porque conocemos su uso como porque lo estemos adquiriendo a algún proveedor en quien confiamos (proveedor seguro) y, sobre todo, tenemos garantía de que posee sólidos conocimientos informáticos profesionales.

En la actualidad, probablemente seamos personas de costumbres más tecnológicas que hace no muchos años, y ello es consecuencia de los tiempos que vivimos en los que la tecnología se ha implantado en nuestras vidas e introducido en nuestros hogares como otro elemento familiar más. Pero me atrevo a decir que no hace mucho tiempo analizábamos con mayor meticulosidad la información que teníamos al alcance de nuestra mano sobre los productos que eran de nuestro interés y que pensábamos adquirir. La toma de decisiones era un proceso bastante más lento del que aplicamos  hoy en día frente al dispositivo informático con el que estemos operando. Tengo para mí que el origen de esta percepción me surgió cuando recordé la forma en la que, siendo niña, analizábamos la compra de los juegos de mesa que con tanta diversidad estaban disponibles en el mercado, lo que me permite traer a colación una moraleja.

Cuando era niña y jugaba con mis primos y mis amigas a un juego de mesa llamado “El Pale” -versión española del conocido Monopoli-, una de las mayores alegrías que podías esperar era que, tras lanzar el dado sobre el tablero, te tocara la tarjeta de la suerte: “has recibido una herencia de 5.000 pesetas de un tío de América”. Era más que evidente que ese tipo de sorpresas solo ocurría sobre el tablero de juego, o en las películas de ficción. Pero ¿quién tiene un tío desconocido en América que le deja una herencia? Verdaderamente no he conocido a nadie en toda mi vida que haya recibido una herencia de un desconocido tío de América, salvo a los que jugaban conmigo a “El Palé”, quienes, casualmente, tenían el mismo tío desconocido que yo también tenía y que siempre se presentaba en forma de tarjeta de la suerte. Esta es una lección que tiendo a recordar cada vez que me encuentro descargando una aplicación y comienzan a ofrecerte tan grandes ventajas que casi emulan la herencia de aquel tío de América que se presentaba en forma de tarjeta de la suerte en “El Palé”.

Probablemente, tiempo atrás, nos acostumbramos a manejar una menor cantidad de información de la que ahora tenemos al alcance de nuestra mano, o con la que nos bombardean cada día por internet. Quizás eso facilitaba la labor de contrastar la información recibida y la fiabilidad del mensajero, a pesar de la dificultad de acceso a sus fuentes. Este hecho me lleva a volver a insistir en la necesaria concienciación de los usuarios de internet para asegurarse de que todos los productos que adquieren proceden de fuentes seguras y fiables.

De una forma muy general, podríamos decir que la informática no “inventa nada” (¡y que no se molesten mis colegas informáticos!) sino que su labor se centra en modelizar la realidad. En el fondo los hacker que emplean el Phishing emplean engaños muy parecidos a los timos más antiguos. Pongamos por ejemplo el caso de que un señor perfectamente uniformado, vestido de revisor de la compañía que te suministra el gas para consumo doméstico, se presenta en la puerta de tu casa para hacer una revisión de la instalación, aduciendo la aplicación de normas de seguridad de la Compañía. Lo más habitual es que te confíes y que le dejes entrar sin pedirle su acreditación -más grave aún cuando se ha presentado sin haber demandado su servicio-, y al marcharse te cobra una cierta cantidad en metálico por una revisión que probablemente no haya hecho siguiendo las normas al uso.

Pantalla-Phishing-anotada
Se puede observar que en el renglón del remitente “De:” que dice ser el Banco de Santander, el correo electrónico subrayado en azul han sustituido una “O” por un cero. Detalles pequeños como esos son los que hemos de tener en cuenta para evitar mensajes maliciosos y así no caer en la trampa que nos hayan tendido. Tened en cuenta que cada individuo no es un objetivo concreto en si mismo, puesto que este tipo de mensajes se envían de manera masiva a direcciones de correo electrónico que figuran en bancos de datos con los que se comercializa de manera ilegal.

En el mundo informático “el malicioso” no se presenta en la puerta de tu casa de forma amable,  sino que te envía, por ejemplo, un correo electrónico suplantando la identidad de algún organismo oficial, banco o empresa de servicios. Algún estamento que te resulte familiar. Estos correos están muy bien diseñados, ya que el mensaje trae una identidad corporativa específica junto a su correspondiente logotipo dando la apariencia de un documento formal. Por regla general, el cuerpo del mensaje está redactado de tal manera que te ves avocado a pulsar el enlace web que te presentan en el renglón apropiado, o bien te invitan a consultar el enlace donde te ofrecerán ciertos datos que, supuestamente, son erróneos o están incompletos y que se corresponden con los de tu cuenta corriente o factura de la empresa, incluso se han llegado a emitir correos en los que te invitaban a consultar hipotéticas multas que te habría puesto la Guardia Civil, etc.

En este punto se pueden dar diferentes formas de Phishing: al pulsar el enlace a la vez que accedes a una página web engañosa, el ordenador instala automáticamente un programa en el equipo sin que seas consciente de que causa efectos maliciosos (distintos tipos de virus), o solamente te dirige a una página web que simula la oficial y nos pide rellenar datos como puede ser usuario y código para acceder al banco, datos de la tarjeta de crédito, que son aprovechados por el ciberdelincuente para sus intereses delictivos.

Aunque me he referido solo al correo, el Phishing se realiza desde enlaces compartidos en otras plataformas, ya que actualmente hacemos mucho más uso del móvil que del ordenador, y por tanto, los ciberdelincuentes amplían su ámbito de actuación y los modos de delinquir.

Las recomendaciones que hay para evitar el Phishing son similares a las que tomaríamos en la vida real para evitar los engaños y timos. Se recomienda abrir solamente los correos procedentes de fuentes fiables. Si hay duda de su procedencia y no podemos comprobar la veracidad del mensajero, deberemos borrarlo inmediatamente antes de caer en la tentación de abrirlo, además, deberíamos de recordar que el correo electrónico no es un método con validez legal para la recepción de notificaciones formales.  Ante cualquier mensaje sospechoso, es muy importante confirmar su origen y, en caso de duda, mi recomendación es suprimirlo de la bandeja de entrada.

Cuando recibimos este tipo de correos con enlaces web en el cuerpo del mensaje no clicar en el vínculo, sino copiar el enlace, abrir el navegador de internet y pegar esa dirección y fijarse con detalle en lo que pone, pues las direcciones son similares a las de la página oficial pero quitan alguna letra o las cambian de posición. Y, por regla general, acceder a través del buscador web a la página de la compañía o banco, así evitaremos que nos enlacen a páginas fraudulentas. Recordemos que no es lo mismo recibir una llamada telefónica diciendo que es un banco y que nos pida datos, que marcar nosotros el teléfono del banco y que nos pidan ciertos datos (nunca las claves de seguridad completa). En el primer caso, no sabemos quién está al otro lado del hilo telefónico, en el segundo hemos sido nosotros los que hemos iniciado el contacto y sabemos con toda seguridad que es un lugar fiable.

Lo más importante de todo es no tener miedo al uso de la informática sino actuar con sentido común. Por supuesto que las herramientas que nos proporcionan las compañías informáticas, como son antivirus, actualizaciones, etc., son muy importantes para proteger los equipos, pero tan importante como todo ello es pensar en lo que estamos haciendo en cada momento. Con esto quiero decir que hay que tener mucho cuidado cuando cedamos ciertos datos. Los bancos nunca piden  las claves completas. Si compramos por internet, confirmar que sean páginas fiables y si desconocemos la empresa comprobar, por las opiniones de los clientes, a través de los buscadores cual es su fiabilidad. Actualmente con la ayuda de internet es relativamente fácil obtener información para evitar disgustos posteriores. Tu ciberseguridad está, en gran medida, en tus propias manos.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s