El número de ataques de phishing en el mundo crece a razón de 150% cada año, de acuerdo con APWG (Anti-Phishing Working Group) que en su Phishing Activity Trends Report para el cuarto trimestre de 2022, informa de 1,350,000 ciberataques de este tipo durante ese periodo y una cifra récord anual con más de 4,700,000 de este tipo de acometidas que han vulnerado la ciberseguridad.
Phishing está ligado a la existencia del correo electrónico, así que para tener una idea del tamaño de oportunidad que tiene la ciberdelincuencia al utilizar esta técnica con fines de estafa, se estima que en 2021 en todo el mundo se enviaron y recibieron 319,600 millones de correos electrónicos cada día.
La previsión para 2025 es que esta cifra se incremente hasta llegar a 376,400 millones de correos electrónicos diarios.
Ahora bien, de acuerdo con el reciente informe de Defensa Digital 2022 de Microsoft, son 710 millones de correos electrónicos de phishing los que resultan bloqueados cada semana.
¿Cuándo nace y qué es el phishing?
En términos simples y llanos, el phishing es un correo electrónico fraudulento, diseñado para engañar a alguien.
El año 1995 marca el nacimiento del phishing con un ataque a usuarios de AOL (AmericaOnLine), en ese momento, la principal empresa proveedora del servicio de internet en los Estados Unidos. Aunque sus antecedentes más lejanos están en una conferencia en 1987 donde se habló de este tipo de actividad intrusiva, haciendo referencia al documento titulado “Sistema de Seguridad: La perspectiva de un Hacker”
Los ataques de phishing son ataques de ingeniería social. Esto es, una práctica cuyo propósito es obtener información de manera ilícita mediante la manipulación de los usuarios, para que realicen una acción que les perjudica, convirtiéndose en víctimas del engaño. Su rango de objetivos es tan amplio y variado como tipos de ciberdelincuentes.
Características
Todo ataque de phishing tiene tres características:
- Se lleva a cabo a través de comunicaciones electrónicas, ya sean correos o llamadas telefónicas;
- El ciberdelincuente se hace pasar por una organización o persona de confianza;
- El objetivo es obtener información confidencial, personal, como los son las claves de acceso o los números de cuentas bancarias.
¿Cómo detectar un mensaje de phishing?
Hay elementos que permiten detectar un mensaje de phishing en forma muy temprana, con lo que se puede hacer una importante labor preventiva ante este tipo de ataques.
- Comprobar el nombre de dominio del remitente de correo es la primera validación a realizar.
- El asunto del correo puede tener faltas de ortografía o errores de concordancia, situación que también puede existir en el texto del correo.
- El asunto parece extraño o sospechoso. Incita a la urgencia de la respuesta o provoca miedo.
- Se solicita el ingreso a un sitio web mediante un enlace, previo registro de datos personales o bancarios, o bien, requiriendo este tipo de información al entrar al sitio.
- El correo incluye algún tipo de archivo adjunto, truco que se usa para evitar que sea clasificado como spam.
Suplantación de identidad y phishing, qué hacer
Hacerse pasar por otra persona en forma malintencionada constituye una suplantación de identidad, que busca por ejemplo obtener información ilegalmente, cometer fraude, engañar para acceder a recursos financieros, etc. Se trata de un delito o conducta delictiva, dependiendo del marco jurídico en cada país, así como del alcance de la suplantación.
Los ciberdelincuentes usan habitualmente la suplantación de identidad para cometer diferentes delitos, que van desde el phishing para obtener datos financieros o personales; hacerse pasar por las víctimas en sus comunicaciones sensibles, o bien, el secuestro de navegador/sistema para configurar un ransomware.
El auge del mundo digital ha favorecido el crecimiento de la suplantación o usurpación de identidad, a través de phishing en los servicios de correo electrónico, pero también abarcando redes sociales y comunicaciones telefónicas.
Así que hay un tipo de suplantación de identidad, el más sencillo, creando un perfil falso, que al no buscar beneficio económico alguno ni causar un perjuicio a terceros, no recibe el tratamiento de delito. Es el tipo más sencillo de suplantación de identidad
Una segunda fórmula es la creación del mismo perfil falso, pero añadiendo información personal de la víctima, que va desde su foto, hasta datos de localización, incurriendo así en conductas delictivas. La tercera opción es acceder o beneficiarse de algún servicio, haciéndose pasar por la persona que es víctima de la suplantación, con lo cual se suman delitos como robo de contraseñas, invasión a la privacidad, revelación de secretos, entre otros.
¿Qué hacer, si cree que ya ha sufrido un ataque de phishing?
Como primera recomendación en caso de sospechar ser víctima de un ataque de phishing, está el cambio inmediato de contraseñas.
En seguida, proceder a denunciar dicho ataque de phishing.
Para la denuncia es importante recabar todas las evidencias posibles que comprueban la situación, por ejemplo, capturas de pantalla, copias de correos electrónicos, testimonios de terceras personas.
¿Cuáles son los casos de phishing más comunes?
Además del tradicional ataque de phishing lanzado en forma general o masiva a través del correo electrónico, hay modalidades que van siendo más especializadas de acuerdo con el objetivo por alcanzar.
Hay casos enfocados en personas o grupos en particular. Cuando una cuenta ha sido comprometida -los atacantes se hacen pasar por una empresa de confianza- el usuario recibe un correo por parte de esa empresa –deceptive phishing-, con lo que se da inicio a un bombardeo de correos o email bombing, que es unos de los casos de phishing más comunes. El Business Email Compromise (BEC) se direcciona a ejecutivos de alto nivel, gerentes y directores de áreas financieras y de recursos humanos, utilizando ingeniería social y aprovechando la vulnerabilidad de las personas.
Otros de los casos de phishing comunes son los de spear phishing – ataque con fines de estafa dirigido en forma selectiva a personas u organizaciones- y el whaling -va tras los más altos cargo de una organización-.
Fuera del ámbito de los correos electrónicos están el vishing y el smishing. El primero se aplica a través de llamadas telefónicas -phishing por voz-, en tanto el segundo parte del envío de mensajes de texto o SMS – phishing por mensaje-.
En el caso de pharming, también conocido como DNS-Based Phishing, se manipula el tráfico de un sitio web para lograr el robo de información confidencial.
En el “SEO Poisoning” o phishing por motores de búsqueda, el ciberdelincuente hace pasar su propio sitio web como uno legítimo – de un banco, de un sitio de compras en línea-, dirige a la víctima a ese sitio web fraudulento y roba los datos que ingresa la víctima.
¿Cuándo es más común?
Ataques de phishing suceden en todo momento, pero se han identificado algunos periodos del año más propicios en los cuales se incrementa esta actividad. Se trata en primera instancia de navidad y fin de año, por una razón sencilla, es cuando se incrementan las posibilidades de éxito para los ciberdelincuentes, ya que hay más disponibilidad de dinero en las cuentas bancarias, por lo tanto, una actividad comercial intensa de compras en línea, así como una actitud más complaciente en las personas, que favorece cierto descuido o falta de atención en prevenir situaciones adversas.
En segundo lugar, los periodos vacacionales -verano, finales de cursos escolares- y los periodos del tipo “Buen Fin” donde se multiplican las ofertas y descuentos comerciales legítimos, junto con la posibilidad de crear ofertas falsas para atraer la atención de los usuarios.
El phishing y las redes sociales
El phishing por social media tiene, al igual que el tradicional por correo electrónico, el propósito de robar datos personales o bien, hacerse con el control del perfil o cuenta. Instagram, Facebook, Twitter o LinkedIn, son las redes sociales que más están sufriendo los ataques de phishing.
Una técnica frecuente del phishing por social media es el uso de enlaces web acortados, que los atacantes emplean para esconder referencias a sitios dedicados a estafar o bien, donde se distribuye malware.
Phishing con criptomonedas
Aprovechando el crecimiento de los mercados de criptomonedas, los ciberdelincuentes envían a los usuarios de estos servicios mensajes de texto, haciéndose pasar por la plataforma, e incluyendo un enlace para cancelar supuestos retiros -entra en juego la ingeniería social-. Dicho enlace los conduce a un sitio web falso donde se recopilan sus credenciales de acceso e inicio de sesión para finalmente robar sus fondos en criptomonedas.
Más fraudes con criptomonedas
En el llamado ecosistema de las monedas digitales se encuentran los exchanges, plataformas de servicios por internet donde los usuarios intercambian o comercializan sus criptomonedas y que manejan monederos donde se alojan éstas provisionalmente. Los ciberdelincuentes aquí usan el phishing para obtener los datos de acceso o de sesión del usuario para ingresar a su cuenta y robar los fondos disponibles.
Los monederos o billeteras en este entorno, son programas instalados en equipos de cómputo o dispositivos inteligentes para alojar las monedas digitales de los usuarios. Los ciberdelincuentes en estos casos buscan obtener a través del phishing el código semilla o conjunto de palabras que sirve para activar el monedero en un equipo diferente y hacerse con los fondos.
Una posibilidad adicional es la que brindan las páginas y servicios ilegítimos, que son copias idénticas de las originales, pero diseñadas para engañar al usuario y sustraerle información y/o estafarle mediante ofertas supuestamente lucrativas.
¿Cómo protegerse?
Las áreas informáticas se benefician ampliamente cuando implementan un enfoque con varias capas de protección que mejora la resistencia contra el phishing, minimiza interrupciones e incrementa la probabilidad de detección temprana de ataques vía correo electrónico.
Cómo protegerse desde la perspectiva del usuario individual, pasa por recomendaciones como el mantener los equipos actualizados, con antivirus activos, no hacer verificación de datos personales ni bancarios a través del correo electrónico, teléfono o SMS, así como evitar activar links recibidos por correo o SMS. Revisar que la dirección de los sitios web inicie con https y tenga la imagen de un candado, lo que indica que es un sitio confiable. En el caso de llamadas telefónicas, confirmar la identidad de quien llama antes de responder a cualquier pregunta.
¿Cómo denunciar un caso de phishing?
Con respecto a la ciberseguridad En México, de acuerdo con la Profeco (Procuraduría Federal del Consumidor), para denunciar un caso de phishing hay varias recomendaciones a observar.
Por ejemplo, en redes sociales, si es una suplantación de identidad que no involucre estafa, la recomendación es reportar el perfil en la red social de la que se trate.
En cualquier otro caso, integrar un archivo con los respaldos de toda la evidencia digital posible, que incluya copias de correos electrónicos o de mensajes, capturas de pantalla, fotos, conversaciones, copia de las direcciones electrónicas de los sitios web involucrados.
Comunicarse al número telefónico 088, de alcance nacional, mediante el cual la Guardia Nacional toma conocimiento del caso, orienta para presentar denuncia ante el Ministerio Público, y asigna un folio de atención para el seguimiento del caso. Por último, presentar la denuncia correspondiente ante Ministerio Público.
La Guardia Nacional tiene como parte de su estructura al CERT-MX (Centro de Respuesta a Incidentes Cibernéticos, de la Dirección General Científica), donde se hace el seguimiento a los casos de ciberdelincuencia, incluidos los ataques de phishing. Entre sus herramientas cuenta con una sección específica para denuncias a través de un formulario.
