“Phishing” es un término que se usa para describir varias técnicas que los (Ciber)criminales usan para engañar a su víctima, haciéndose pasar por una persona o entidad de confianza con el fin de inducir a la víctima a que revele información confidencial o a que haga algo que lo perjudicará. Por lo general el objetivo del phishing es robar a la víctima, cometer fraudes o estafas o instalar software malicioso en el dispositivo o computador.
El término se deriva de la palabra inglesa “fishing” (pesca), ya que el criminal (phisher) lanza un anzuelo con una carnada y espera a que sus víctimas “muerdan el anzuelo”.
Existen muchas variedades de phishing y el medio no solo es por correo electrónico o sitios web, sino que también se puede producir por llamadas telefónicas, mensajes de texto, mensajería instantánea, redes sociales o una combinación de todos estos.
La manera más fácil de caer en el phishing es estar desprevenido. Una persona desprevenida puede caer fácilmente en el engaño y la mejor manera de prevenirlo es aprender a reconocerlo y permanecer en un estado de alerta constante.
PHISHING POR CORREO ELECTRÓNICO
En este tipo de phishing la víctima potencial recibe un mensaje de correo electrónico que aparentemente proviene de una persona o entidad conocida. El mensaje puede venir con un anexo que el mensaje pide abrir para obtener más información. También puede venir con un vínculo o una imagen con un vínculo sobre el que la víctima debe hacer clic para obtener alguna información supuestamente relevante.
¿Qué pasa si abro el anexo? Lo más seguro es que se ejecute un programa malicioso que infectará al computador o dispositivo. La infección puede ser, entre otras:
Secuestro de archivos: Todos los archivos del computador (documentos, imágenes, etc.) son encriptados de tal manera que se convierten en inutilizables y el criminal pide un “rescate” para desencriptar los archivos. Por lo general el rescate debe ser pagado por la modalidad de criptomonedas. Este software malicioso se conoce como “Ransomware” (del inglés ransom=rescate).
Uso no autorizado de recursos: En este caso la infección es silenciosa, la víctima no se da cuenta. El software malicioso que se instala puede tener las siguientes funciones:
- Instalar un “bot” y convertir al computador en un “zombie”. Un bot es una pieza de malware que infecta una computadora para ejecutar comandos bajo el control remoto del atacante. Al computador infectado también se le suele llamar “bot”. Los criminales utilizan los “bots” para desde allí atacar otros equipos o sistemas. En este caso el criminal se “roba” algunos recursos del equipo para usarlos en ciberataques a otros equipos. Un síntoma puede ser que el equipo de pronto “se puso lento”. Los criminales recolectan muchos bots y forman un “botnet” o red de bots para hacer ataques coordinados hacia otros sistemas.
- Minería de criptomonedas: La manera en que las criptomonedas son creadas requiere una inmensa capacidad de procesamiento. El software malicioso puede convertir al dispositivo infectado en un “minero” que realiza parte de las operaciones de cómputo necesarias para crear criptomonedas. En este caso el computador también experimentará lentitud.
Espionaje: En este caso el software malicioso crea una “puerta de acceso” a la red o sistema para hacer espionaje y reconocimiento y llevar a cabo más adelante un ataque que puede ser robo de información de una empresa o sabotaje.
¿Qué pasa si hago clic en el vínculo? Hacer clic en el vínculo puede tener 2 efectos: Que se abra una página del navegador de Internet o que se descargue un archivo maligno en el equipo.
Si se abre una página de Internet, lo más seguro es que sea una página falsa que aparenta ser de una entidad legal y reconocida. Puede ser la página de un banco que está diseñada con la misma apariencia que la página legítima y que pide información confidencial, como nombres de usuario y contraseña.
PHISHING E INGENIERIA SOCIAL
El phishing está íntimamente ligado a una técnica que se llama “Ingeniería Social”, la cual ha sido usada por estafadores durante siglos y esto se debe a que el ataque de phishing no está diseñado para explotar una vulnerabilidad técnica de un computador o dispositivo, sino para explotar vulnerabilidades del ser humano, tales como la buena fe, el temor y la ambición.
Por lo general en el ataque de phishing el cibercriminal trata de disparar una emoción en la víctima y nublar su buen juicio. Esta emoción puede ser:
Sentido de urgencia: Si no hago esto ya va a pasar algo malo o voy a perder algo
Miedo: Me van a poner una multa, me van a embargar, me robaron
Deseo de ganar: un premio, dinero fácil, el empleo soñado
Curiosidad: ver fotos interesantes (¿pruebas de infidelidad?), la cura para alguna enfermedad, la solución final a un problema.
EL PHISHING COMO ACTIVIDAD CRIMINAL
No es necesario tener conocimientos técnicos para cometer phishing. Hoy en día se consiguen en el mercado negro soluciones “llave en mano” en donde el criminal alquila una plataforma que le provee todas las herramientas para ejecutar campañas de phishing, a cambio de una comisión por lo que obtenga de los ataques exitosos.
El phishing es la herramienta favorita de los cibercriminales cuando quieren infiltrarse en sistemas de empresas o del estado, ya que es lo que les permite con mayor facilidad instalar una “puerta de acceso” a esos sistemas para más tarde efectuar el ataque. Como dicen los estafadores más exitosos: “la manera más fácil de averiguar una contraseña es preguntar”.
RECONOCER EL PHISHING: EL PRIMER PASO PARA EVITARLO
En cuanto a los mensajes de correo y también los mensajes que vienen por SMS (teléfono) o mensajería instantánea debemos hacernos siempre las siguientes preguntas:
- ¿por qué recibo este mensaje?
- ¿quién me envía este mensaje?
- ¿el mensaje va dirigido a mi o mi empresa con nombre propio?
- ¿tiene sentido que me envíen un mensaje en otro idioma?
- ¿el asunto del mensaje tiene sentido para mí?
- ¿estoy esperando este anexo?
- ¿es necesario enviar un anexo o pedirme hacer clic en un vínculo para comunicarme lo que me quieren comunicar?
- ¿el mensaje me ofrece ganar dinero fácilmente?
- ¿el mensaje trata de intimidarme (embargo, foto-multa, impuestos, diligencias judiciales, cuentas bloqueadas) o promete la cura para un terrible mal?
Si, son muchas preguntas, pero no hacerlas equivale a abrirle la puerta a un desconocido.
A continuación se presentan algunos ejemplos de phishing por correo electrónico y unas pistas que nos indican que no es un mensaje legítimo.
Ejemplo 1: Cuenta bloqueada
Este es uno de los temas más frecuentes que se usan en phishing. Usted recibe un correo electrónico indicándole que su cuenta de correo está bloqueada o que ha superado la capacidad de almacenamiento o que debe cambiar la contraseña y que tiene x mensajes represados y le indican hacer clic en un vínculo para desbloquear la cuenta o aumentar la capacidad de almacenamiento o de lo contrario se borrarán sus correos:
Veamos qué pistas encontramos que nos indiquen que el mensaje es falso:
- Viene de una dirección de correo desconocida (atención, esta parte puede ser falsificada por el delincuente, en el ejemplo anterior no se tomó la molestia de hacerlo). Observamos que el domino al que corresponde la dirección del remitente es “ro”. El dominio de alto nivel (Top Level Domain) es la parte del texto que está más a la derecha, antes de encontrar el primer punto. Una consulta en Google sobre los códigos de dominios nos informa que este dominio corresponde a Rumania. Esto ya es sospechoso si uno usualmente no recibe comunicaciones desde ese país.
- El mensaje viene en inglés. Si estamos en un país que habla español y el administrador de nuestro correo electrónico es alguien de la empresa, seguramente no nos va a escribir en inglés. Si el administrador de correo es un proveedor externo nacional tampoco nos va a enviar un mensaje en inglés. Si nuestra cuenta está con Google, ellos enviarán el mensaje en nuestro idioma predeterminado que, seguramente, es español. Es posible que algunas personas reciban correos legítimos en inglés de parte de sus proveedores de correo, pero este punto hay que tenerlo en cuenta como sospechoso.
- Amenaza: no va a recibir más correos a menos que haga clic en el vínculo.
- Más amenazas: los correos pendientes serán borrados en 3 días.
Ejemplo 2. Amenaza de embargo / cobro jurídico
En estos mensajes de phishing se le hace creer a la víctima que tiene una deuda pendiente, ya sea por facturas o por otro tipo de obligación y suelen venir con un anexo, que es un archivo malicioso, que si se abre tendrá consecuencias nefastas para la víctima. En lugar de un anexo también puede tener un vínculo hacia un archivo descargable desde alguna plataforma de la nube, como OneDrive o Google docs. En el archivo del ejemplo este vínculo viene en forma de una imagen vinculada que trae un link hacia el archivo malicioso para ser descargado. La imagen no se ve porque en el momento que yo abro este mensaje mi computador está desconectado de internet.
- En el campo “para” no viene dirigido a mi dirección de correo específica. Esto es una señal de que el mensaje no ha sido enviado a una dirección específica si no a una lista de correos de posibles víctimas.
- Invitación a descargar un archivo: un desconocido me está invitando a descargar un archivo, es como si me invitara a cruzar la calle con los ojos vendados.
- Sin destinatario específico. El mensaje no va dirigido a una persona específica con nombre y apellido, como debería ser en un mensaje sobre un tema tan delicado.
- Mala ortografía y gramática deficiente. La redacción es vaga y no menciona hechos concretos.
- Último, pero más importante: contexto. Si yo sé que no le debo a nadie ya puedo tener la certeza de que el mensaje es phishing.
Ejemplo 3. Ha recibido un pago
Fantástico, nos gusta que nos paguen y nos daría gran curiosidad saber por qué esa persona desconocida nos está pagando algo. En este caso el archivo anexo es de tipo htm, es decir, puede ser abierto e interpretado por un navegador de Internet. Aunque en el nombre nos ponen “pdf” para confundirnos. Este anexo puede contener instrucciones para hacer muchas cosas en nuestro equipo.
- Viene de una dirección extraña.
- Mensaje breve, sin mayores detalles. Si queremos saber quién nos pagó, cuánto y porqué habrá que abrir el anexo (la curiosidad mató al gato).
- No recomiendo abrir anexos en formato htm, a menos que sean de una fuente absolutamente confiable y que yo tengo la certeza de que esta fuente acostumbra enviar anexos en este formato (algunos sistemas usados por empresas grandes generan ordenes de compra en este formato).
Ejemplo 4: El paquete por courier
Existen variantes con DHL, con FEDEX y con otros servicios de mensajería. En esencia nos indican que se ha recibido un paquete o que hay problemas con la entrega de un paquete y hay que hacer clic en el vínculo para ver los detalles.
Este tipo de mensajes son muy peligrosos cuando llegan a empresas que en el curso normal de los negocios reciben y envían paquetes por courier, pues puede pasar como un mensaje legítimo. Algunos de estos mensajes pueden venir con logos y colores institucionales de la empresa de transporte, para hacerlo ver más legítimo.
- Aparentemente viene del dominio dhl.com (aquí se tomaron el trabajo de falsificar el campo “de”). Un examen de las propiedades del mensaje, donde se observa la trayectoria del mensaje por los diferentes servidores de correo por los que pasó para llegar a nuestro buzón, revelará que la dirección es falsa (este es tema para otro artículo).
- Anexo en formato html, muy peligroso.
- Si dice “URGENTE” es sospechoso. Es una táctica de ingeniería social de los atacantes, hacerle sentir a la víctima esa “urgencia” por hacer doble clic en el anexo y ver de qué se trata.
- Viene en inglés. DHL Colombia enviaría el mensaje en español.
- Están saludando a un señor Austin.huang. No conozco a nadie que se llame así.
- Viene con varios colores, especialmente rojo (urgencia).
- Amenaza: cobro de bodegajes por cada día.
- La firma corresponde a una persona de otro país. Si DHL Colombia enviara un mensaje con respecto a un paquete, firmaría “Juanito Jiménez” de Bogotá.
¿Pero qué hacer si de verdad estoy esperando un paquete por courier? Anote el número de guía que aparece en el encabezado del mensaje, vaya a la página del courier digitando usted mismo la dirección (no siguiendo ningún vínculo), busque la opción de rastreo de paquetes e introduzca ese numero de guía. Así sabrá si la guía existe o si el paquete es para usted.
Ejemplo 5: Problemas de pago en Netflix o en otros servicios por suscripción.
Este mensaje busca que la persona siga el vínculo que lo llevará a una página falsa que aparentemente es de Netflix. Allí digitará sus datos: usuario, contraseña y datos de la tarjeta de crédito (¡porque no nos podemos quedar sin Netflix!).
El mensaje viene con el logo de Netflix. En el ejemplo no se ve porque al momento de abrirlo el computador está desconectado de internet.
- La dirección de origen no es de Netflix.com, si no de otro dominio.
- Amenaza: la cuenta será cerrada si no hago algo.
¿Qué hacer? Ir al sitio oficial del proveedor del servicio, digitando la dirección en el navegador (sin seguir ningún vínculo), iniciar sesión y verificar el estado de la cuenta. Consejo: Si tengo la seguridad de que mi medio de pago no tiene ningún problema, hacer caso omiso de ese mensaje.
Ejemplo 6: La riqueza inesperada
Ganarse un premio no le cae mal a nadie, ¿cierto? Normalmente estos son mensajes muy elaborados, con cantidad de detalles y al final le piden al usuario que envíe información personal. ¿Qué hacen con esa información? La pueden usar para adivinar contraseñas, para suplantar identidad en la comisión de delitos o para continuar con el engaño haciéndole creer a la víctima que el pago del premio está en proceso pero que los “gastos del giro o del proceso” son a cargo de él, por lo que debe girar tantos x dólares a tal y cual cuenta (este último caso se conoce como la estafa del pago anticipado).
La estafa del pago anticipado tiene muchas variantes, como la del millonario moribundo que te quiere dejar su fortuna o la millonaria fallecida y sin herederos que casualmente tiene tu mismo apellido. Básicamente prometen una gran cantidad de dinero, pero primero hay que girar una pequeña cantidad para sufragar los gastos de envío. Esta modalidad de estafa existe hace décadas, utilizando primero el correo normal, luego el fax y finalmente el email.
Ejemplo 7: Problemas con la DIAN (Dirección de Impuestos y Aduanas Nacionales). ¡Dios nos libre!
Es un mensaje que nos indica que tenemos una deuda pendiente con la administración de impuestos. Viene con el logo y hasta con un supuesto código de verificación y con un anexo que puede o no ser un pdf.
Algunas personas tienen la falsa creencia de que los anexos en pdf son seguros, pero los documentos PDF de Adobe pueden contener virus o código ejecutable malicioso. El malware se oculta en contenido multimedia, hipervínculos, código JavaScript y comandos del sistema. El ataque de malware se ejecuta cuando los usuarios abren el archivo o hacen clic en hipervínculos después de abrirlo.
- El dominio de la dirección de origen es “dian.com”. Todos sabemos que las direcciones de los sitios oficiales del Estado terminan en gov.co, en este caso debería ser dian.gov.co.
- En el campo “para” no viene dirigido a mi dirección de correo específica.
- No menciona a la persona con nombre y apellido.
- Imprecisión al citar la norma o ley.
¿Qué hacer en caso de duda?
Ingrese a la página de la entidad oficial (digitando usted mismo la dirección), en este caso www.dian.gov.co, inicie sesión como usuario registrado (si usted tiene usuario registrado). Lo primero que le aparece en la página son las obligaciones que tiene pendientes con la entidad. Si no tiene usuario registrado, comuníquese con la entidad para reportar el caso y averiguar cuál es el estado de sus obligaciones.
Los anteriores fueron algunos ejemplos de mensajes de correo con phishing. Existen muchos otros temas para estos mensajes, especialmente temas de temporada como cuando es época de pagar impuestos o cuando hay pandemias o desastres o cuando surge una normatividad nueva (por ejemplo con el tema de la facturación electrónica).
SMISHING
Es similar al phishing pero el medio de ataque son mensajes de texto o mensajería instantánea como Whatsapp. El método es el siguiente: llega un mensaje supuestamente del banco avisando que se ha realizado una compra sospechosa con la tarjeta de crédito. El mensaje lleva un vínculo que se debe seguir y allí le piden información para validar los datos y así proceder a anular la supuesta compra, por supuesto la página es una falsificación de la del banco. El mensaje también puede decir “comuníquese a tal teléfono” y entonces alguien se hace pasar como funcionario del banco y le pide datos de la tarjeta para proceder a reversar la compra.
VISHING
Es phishing telefónico. El estafador se hace pasar como funcionario del banco y persuade a la víctima de revelar datos confidenciales como el mes y año de vencimiento de la tarjeta de crédito.
La llamada también puede venir supuestamente de un funcionario de “Microsoft” o de una compañía de antivirus para avisarle que se ha detectado un virus en su pc y debe darle acceso remoto para ellos remover el virus. Seamos realistas: ¡Nadie en Microsoft se va a tomar la molestia de llamarle para eso! Lo que sucede es que toman el control remoto del equipo e instalan software malicioso en el (por ejemplo un grabador de teclado que registra todo lo que se digita y lo envía al criminal a través de Internet).
RECOMENDACIONES PARA NO SER VÍCTIMA DEL PHISHING
- Siempre esté alerta. Mantenga su sospechómetro encendido.
- No abra anexos ni haga clic sobre vínculos en mensajes que traten de infundirle miedo, urgencia o curiosidad o que le prometan dinero fácil.
- En caso de duda llame usted mismo a la supuesta empresa o persona que le escribió y averigüe sobre la autenticidad del mensaje.
- No visite sitios web sensibles, por ejemplo bancos, siguiendo vínculos. Digite usted mismo la dirección en el navegador.
- No envíe ninguna información personal por email ni suministre estos datos por teléfono.
- Cambie sus contraseñas regularmente.
- Revise continuamente el estado de sus cuentas bancarias.
- Tenga actualizado su antivirus.
- Tenga copia de seguridad de sus archivos y si sufre secuestro de archivos (ransomware) no pague el rescate: en la mayoría de los casos nunca se recuperan los archivos encriptados.
Imagen: Vector de Web creado por stories – www.freepik.es
Lucía Robledo F. es ingeniero electrónico especializado en gerencia de informática, desarrollo y arquitectura de software