No es tu banco, sino un engaño: guía (casi) definitiva para evitar ataques mediante ‘phishing’
Pasos sencillos para no caer en los correos y mensajes que suplantan la identidad de bancos y otros organismos para estafar al destinatario
El correo electrónico puede parecer genuino y resulta difícil resistirse a hacer clic en el enlace adjunto: un paquete retenido en aduanas, un aviso por parte del banco de un cargo en la Visa, la notificación de un premio… Los ciberataques mediante phishing se han convertido en una auténtica plaga que se aprovecha del eslabón más débil de la cadena: el humano.
La base de esta técnica de estafa reside en el engaño. Se confeccionan correos electrónicos o SMS con el aspecto casi idéntico de la empresa a la que se intenta suplantar y si se baja la guardia, resulta tentador hacer clic en el enlace o abrir el adjunto. Este tipo de comunicaciones suelen urgir al destinatario a llevar a cabo alguna de estas dos acciones; la primera para obtener datos de su tarjeta de crédito o cuenta corriente, mientras que la segunda, para introducir algún tipo de software malicioso en el sistema.
La inteligencia artificial disparará los ataques
Las perspectivas no son buenas, además, en lo que respecta al volumen y precisión de los ataques mediante phishing: “Los avances de la inteligencia artificial provocarán un frenesí de suplantación de identidad”, explica a EL PAÍS, Francisco Arnau vicepresidente regional de Akamai para España y Portugal, “de cara al futuro, podemos esperar que los continuos avances en la inteligencia artificial, como los que se observan en sistemas como el GPT-3, harán que el phishing selectivo sea más convincente, más escalable y común”.
Estos sistemas permiten general “millones de mensajes de correo electrónico o SMS, cada uno de ellos personalizado para un destinatario individual, y cada uno con cualidades convincentes similares a las humanas”, explica Arnau. Esta característica hará que sean difícilmente detectables por las tecnologías actuales de protección. Esto supondrá un reto importante para las tecnologías antiphishing existentes, y “hará mucho más difícil que la gente detecte las comunicaciones sospechosas”.
Cómo blindarse ante un ataque mediante ‘phishing’
Lo primero que hay que comprender es que cualquiera puede ser víctima de un ciberataque de estas características. Estos ataques automatizados no distinguen entre particulares o empresas, y se lanzan masivamente con consecuencias devastadoras si el destinatario cae en la trampa.
Las cifras son abrumadoras: se estima que se envían, cada día, unos 15.000 millones de emails de estas características, de los cuales, la tercera parte son abiertos por el destinatario. Esta técnica es la responsable, por otro lado, del 90% de las brechas de seguridad que se producen en el mundo, y como hemos apuntado, el elemento humano es el que propicia su éxito. ¿Cómo puede protegerse uno ante un ataque mediante phishing?
La desconfianza, ese gran aliado
“Cuando se recibe una oferta muy tentadora, es mejor desconfiar”, explica Fernando Suárez, presidente del Consejo General de Colegios Oficiales de Ingeniería Informática. Este experto apela a la barrera de protección más importante y que puede salvar al usuario de graves consecuencias. “Un banco nunca nos pedirá que cambiemos la clave a través de un email y haciendo clic a un enlace”, explica.
Kevin Mitnick, un conocido ex hacker, explica a EL PAÍS que, por defecto, “la gente tiende a confiar salvo que hayan sido víctimas de un ciberataque o hayan sido aleccionados sobre la amenaza del phishing”.
Nunca hacer clic a un enlace y verificar el adjunto con el remitente
Contando ya con la desconfianza y suspicacia como armas, como hemos indicado con anterioridad, todo ataque mediante la técnica del phishing cuenta con dos actores fundamentales: un hipervínculo o un adjunto. No hay que olvidar que los hackers desean obtener información de valor del destinatario para vaciar su cuenta corriente o tarjeta de crédito, o bien instalar malware con intenciones todavía peores.
“Si recibimos un hipervínculo y dudamos, es mejor teclear a mano en el navegador la URL de la empresa que nos lo pide”, indica Suárez, en referencia a que, por lo general, esos enlaces, son manipulados malintencionadamente. La norma general, en cualquier caso, debe ser nunca hacer clic en un vínculo que nos llega por correo ni abrir adjuntos. Para esto último, “no cuesta nada contactar al remitente por otro medio” para verificar la procedencia del adjunto; esto es, una llamada, un WhatsApp o un mensaje de texto, nunca responder a ese email.
Vigilar el ‘Desde’ en los correos electrónicos
Los ciberatacantes son cada vez más sofisticados a la hora de confeccionar los emails, pero no siempre pueden camuflarlos del todo. En este sentido, una forma de descubrir el engaño reside en el dominio desde el cual se escribe. Así, si nos topamos con remitentes cuyos dominios sean “Microsoft-support.com” o “Apple-support.com” (con añadidos diferentes del dominio original), sabremos que somos víctimas de un ataque. En cualquier caso y ante la duda, lo mejor es no interactuar con ese correo electrónico.
Otro tanto es aplicable a los SMS. “Los ataques mediante phishing se han extendido a los mensajes de texto”, advierte Suárez, quien advierte de un peligro adicional: “en el móvil, somos menos cautos que en el ordenador y actuamos más impulsivamente”. Las empresas de paquetería son víctimas colaterales de los ciberataques, en especial en momentos de alto volumen de envíos como en Navidades. Un mensaje, aparentemente, por ejemplo, de Correos, demandando el pago de una tasa aduanera, esconderá un ciberataque: “un banco u otra gran entidad jamás nos demandará el pago inmediato a través del móvil”, explica Suárez. Y el problema no es el pago en sí —por lo general, de bajo volumen—, sino que al efectuarlo, el usuario entrega los datos su tarjeta de crédito a los estafadores.
¿A qué hora se ha enviado el mensaje?
La experiencia de Mitnick en esta materia es muy valiosa, y este experto da una pista que puede ayudar a identificar el phishing: la hora del envío. Si alguien que vive en España recibe un correo electrónico exigiendo un pago o una respuesta y el envío se ha efectuado de madrugada, se trata de un elemento fundamental para suscitar sospechas. Por lo general, los usuarios de internet se relacionan con entornos en el mismo huso horario, con lo que, una comunicación fuera del mismo, debería activar las alertas.
De la misma manera, el campo ‘asunto’, puede ser un buen indicador de las intenciones del correo electrónico: ¿El uso del lenguaje es familiar? ¿Le hablan de usted cuando, por lo general, se le tutea? ¿Se dirigen a usted con la dirección del email? Asimismo, si el campo asunto muestra un “RE:” indicando una respuesta a un correo que nunca se ha enviado, estaremos ante otra técnica de camuflaje de los ciberatacantes.
Cuidado con los ‘¡rápido, responda!’
Otra de las técnicas que emplean los hackers a la hora de llevar a cabo un ciberataque es crear una sensación de urgencia. Esto es patente con los mensajes que se reciben de supuestas empresas de paquetería, en los que advierte que hay unas pocas horas para pagar la tasa o se devolverá el paquete. Por lo general, no es habitual que una gran entidad se comunique mediante email urgiendo una respuesta y si ese es el caso, siempre es recomendable contactar a esa empresa por otro medio para verificar la veracidad del envío.
La máxima debe ser “nunca hacer clic ni introducir nuestro usuario y contraseña en una conversación que no hemos iniciado, una regla simple que todo el mundo debería aplicar”, explica Mitnick.
Puedes seguir a EL PAÍS TECNOLOGÍA en Facebook y Twitter o apuntarte aquí para recibir nuestra newsletter semanal.
Sobre la firma
