El Phishing, una brecha de ciberseguridad sencilla pero peligrosa

A día de hoy, todos hemos oído hablar de los ataques informáticos y los perjuicios que pueden ocasionar tanto a las personas particulares como a las empresas, motivo por el que cada vez se da mayor importancia a la ciberseguridad. Estos ataques se presentan de distintas maneras y una de ellas es el Phishing, ámbito en el que España es el país más afectado al recoger el 8,38% de todos los ataques. Por eso es tan importante conocer qué es el Phishing, qué tipos existen, cuáles son sus consecuencias y cómo puede detectarse y prevenirse tanto a nivel personal como dentro de las organizaciones.

¿Qué es exactamente el Phishing?

La técnica del Phishing consiste en llevar a cabo un engaño a través de la suplantación de identidad, de manera que el atacante se aprovecha de la confianza que ha depositado el usuario sobre otra persona o entidad. Por ejemplo, se podría atacar a una persona enviándole un mensaje fraudulento haciéndose pasar por su banco, pero también se podría engañar a un empleado haciéndose pasar por un superior, una persona de soporte, o cualquier otro compañero solicitando el clic sobre un enlace o la descarga de algún archivo. De hecho estas dos modalidades (hacer clic en un link o descargar un archivo), son las más habituales en este tipo de ataques.

Un ejemplo real de este tipo de fraudes sería el de la farmacéutica gallega Zendal, a la que se estafaron más de 9 millones de euros, haciendo creer a uno de los responsables de la compañía con acceso a las cuentas que debía de transferir este dinero por orden de su jefe. Aunque en muchas ocasiones las estafas no se quedan en lo económico, sino que utilizan un clic en un link para acceder a los sistemas y realizar un secuestro de datos (Ransomware), bien sea para venderlos, realizar nuevos ataques de Phishing a particulares con esos datos o hacer chantajes a las organizaciones solicitando dinero a cambio de recuperar toda la información.

Tipos de Phishing más allá del email

Existen diferentes modalidades de Phishing y es importante conocerlas para poder estar alerta y saber de dónde pueden proceder los fraudes y los engaños:

• SMShing: esta técnica consiste en realizar el fraude por SMS, normalmente enviando un link para que el usuario pinche sobre él. Además, se puede solicitar que realice alguna acción como un micropago. Un ejemplo muy común de este tipo de Phishing son los SMS avisando de que hay un paquete pendiente de enviarse a tu dirección y debes de hacer un pequeño pago por él.
• Vishing: en este caso la suplantación de identidad se realiza a través de una llamada telefónica o nota de voz. En esta podrían hacerse pasar, por ejemplo, por una persona de la compañía utilizando la ingeniería social. Es decir, haciendo un estudio sobre dicha persona en LinkedIn, noticias, la página web corporativa, etc. Así podrían solicitar ciertos datos o acciones para obtener dinero o información.
• QRishing: el Phishing a través de códigos QR también es una realidad, y más con el auge de esta tecnología durante la pandemia.
• Otros tipos de Phishing: a más plataformas y tecnologías, mayores son también las variedades de ataques que pueden producirse sobre nuestros datos, por lo que debemos de ser cuidadosos en nuestro uso de aplicaciones, webs, etc. Por ejemplo, existen fraudes con los que es posible suplantar la identidad desde WhatsApp, enviando un mensaje aparentemente de un conocido solicitando un código SMS que has recibido en tu teléfono. Y esto podría suceder con otro tipo de aplicaciones dentro de nuestro teléfono.

¿Cómo detectar el Phishing a nivel usuario?

Hay algunos pasos básicos que, como usuarios o empleados, pueden seguirse para evitar los ataques de Phishing, protegiendo nuestros datos y los de nuestro alrededor:

• Revisar el remitente, asegurándonos de que esté bien escrito y el dominio coincida con la persona que verdaderamente lo envía. En el ámbito empresarial, es posible que los emails externos vengan categorizados con la etiqueta [EXT], debiendo de prestarles especial atención.
• Comprobar la gramática del correo, pues en muchos casos este tipo de emails contiene errores gramaticales o tipográficos.
• Previsualizar los enlaces antes de hacer clic sobre ellos. Para ello basta con pasar el ratón por encima y ver el texto del link, comprobando si hay algo sospechoso.
• Desconfiar especialmente de emails provenientes de entidades bancarias que soliciten hacer clic en cierto link para llevar a cabo algún tipo de acción (especialmente si se requieren datos sensibles como las credenciales, ya que una entidad bancaria nunca solicitará que la persona haga clic en un enlace ni modifique ningún tipo de dato a través de un enlace).
• Denunciar estos ataques si se produjeran, ante las fuerzas de seguridad, para su investigación.

¿Qué pueden hacer las empresas para evitar los ataques de Phishing?

Desde el punto de vista de la empresa, es muy importante salvaguardar los datos de la compañía por muchos motivos. Tanto para cumplir con las leyes de protección de datos como por el valor que tiene la información para la compañía, la imagen de marca y la confianza de sus clientes y empleados. Por tanto, para protegerse de estos ataques de Phishing las compañías pueden llevar a cabo algunas acciones preventivas:

• En primer lugar, puede revisarse el origen de las IP y los Dominios, para saber si están baneados por alguna entidad. Es decir, para saber si se encuentran en alguna lista negra tras ser marcado como Phishing por estos usuarios. Con esta información, podrían configurarse directamente los sistemas de la empresa creando un filtro que impida la llegada de estos emails o los marque como Spam para advertir al receptor del email. Con unos buenos sistemas de filtro en el correo, los riesgos pueden reducirse notablemente.
• En segundo lugar, debería de crearse un canal directo y sencillo en el que reportar directamente al equipo de sistemas aquellos emails que parezcan posibles casos de Phishing (ya sea a través de un plugin que permita informar con un simple clic o facilitando una dirección de correo específica para reenviar los emails en estos casos).
• Por último, es importante realizar campañas de concienciación de manera periódica para informar a los empleados, sin dar por hecho su conocimiento y teniendo en cuenta que, en momentos de estrés o presión, puede ser más sencillo caer en este tipo de trampas.

 Como vemos, existe la posibilidad de proteger a las compañías, utilizando tanto la tecnología y los sistemas más robustos como la formación de personas conscientes de los riesgos que se conviertan en eslabones fuertes en la cadena de la Ciberseguridad. El Phishing es un tipo de fraude frecuente pero se puede trabajar por evitarlo y mantener a salvo los sistemas, los datos y la reputación de las organizaciones.