Los ataques phishing son, sin duda, el cibercrimen del siglo XXI. Hoy en día, es muy común encontrar en los medios de comunicación noticias sobre cientos de miles de clientes de diferentes compañías que se convirtieron en víctimas de estos ataques. Además, cada día, las estafas phishing crecen en cantidad y calidad. Y, a diferencia del spam -que no suele ser más que una distracción tediosa-, el phishing frecuentemente desemboca en pérdidas de grandes cantidades de dinero. Entonces, si la esta amenaza es tan grave ¿Por qué todavía hay tantas personas que no pueden evitarlas?
¿Por qué funciona el phishing?
Hay muchas razones por las cuales el phishing funciona. Probablemente, la principal sea la gran capacidad que tienen algunos criminales para engañar a los usuarios y meterlos en problemas. Generalmente, la metodología de ataque involucra la utilización de ofertas seductoras sobre distintas cosas. Y, lamentablemente, son muchísimas las personas que sienten atraídas por las grandes oportunidades.
A su vez, los estafadores también se aprovechan del revuelo que generan ciertas noticias o acontecimientos. Un ejemplo muy claro de esto fueron las numerosas estafas que surgieron a raíz de la Copa del Mundo celebrada en Brasil. Una de estas estafas consistía en una junta firmas para reincorporar al Mundial a Luis Suárez, delantero de Uruguay, que fue expulsado del certamen por una actitud antideportiva. Para llevar a cabo su trampa, el sitio phishing se hacía pasar por la página web oficial de la FIFA y presentaba un formulario que los usuarios llenaban con su nombre, país, número de teléfono e e-mail.
Otra sitio phishing ofrecía a los visitantes la oportunidad de descargar un ticket electrónico para acceder de manera gratuita a algunos partidos del mundial. El enlace de descarga infectaba a los usuarios con un troyano que robaba la información personal y financiera de las víctimas.
Pero esta no es la única manera en que los criminales llevan a cabo sus fraudes. Según una investigación de Kaspersky Lab, más del 35% de los ataques phishing apuntan al público de redes sociales. En 2013, el componente Antiphishing de los productos Kaspersky detectó más de 600 millones de accesos a sitios phishing que se hacían pasar por redes sociales populares. El 22% de estos sitios eran páginas de Facebook falsas.
Otro método que los delincuentes utilizan mucho para engañar a los usuarios y hacerlos clickear en algún enlace consiste en crear una sensación de urgencia y pánico. Los escenarios más comunes, involucran mails que advierten a los usuarios que sus cuentas bancarias o sus perfiles de redes sociales fueron bloqueados. Muchas veces, para asegurar la eficiencia de sus ataques, los criminales utilizan tácticas de “vishing” (phishing por voz). Lo cierto es que son muy pocas las personas que consiguen pensar fríamente en este tipo de situaciones críticas, en las que un supuesto representante de un banco te solicita tu número de tarjeta de crédito para prevenir que tu cuenta sea bloqueada.
En 2013, el componente Antiphishing de los productos Kaspersky detectó más de 600 millones de accesos a sitios phishing que se hacían pasar por redes sociales
Tweet
El phishing evoluciona constantemente
Una de las principales razones por las que estos ataques son tan eficientes radica en la constante evolución y sofisticación de las técnicas y herramientas del phishing.
Los sitios web falsos son muy difíciles de distinguir visualmente de los originales. Incluso, muchos de ellos, cuentan con URLs convincentes y utilizan conexiones seguras con certificados HTTPS genuinos.
Asimismo, el phishing en dispositivos móviles es cada vez más común, ya que las características técnicas de los smartphones y tablets (las dimensiones de las pantallas, por ejemplo) suelen facilitar el éxito de los ataques.
Además, es muy importante saber que, para realizar un ataque phishing, el cibercriminal ni siquiera necesita ingresar en el sistema del usuario. Es por esta razón que ninguna de las plataformas existentes es 100% capaz de protegerte contra todos los tipos de ataques. Es una amenaza universal.
Es extremadamente beneficioso para los cibercriminales
La popularidad del phishing no se irá pronto, ya que es uno de los ataques más lucrativos que existen. Las herramientas utilizadas para los ataques phishing son muy accesibles y su capacidad de alcance es enorme, sobre todo en redes sociales. Asimismo, no requieren de mucho esfuerzo por parte de los criminales, ya que la mayoría de las acciones se realizan de manera automatizada.
Si tenemos en cuenta todos estos factores, resulta evidente que el phishing es una de las formas más sencillas de obtener dinero para los cibercriminales.
Además, el phishing suele utilizarse como disparador de otros tipos de ataques. Por medio de un mail phishing, los criminales pueden obtener acceso a todos los contactos de un usuario. A raíz de esto, logran generar una cadena de malware, que luego desemboca en el uso de una botnet.
Por lo tanto, no debes creer que lo único que buscan los cibercriminales es tu tarjeta de crédito. La mayoría de los estafadores se contentaría con obtener las credenciales de acceso a tu e-mail o tus redes sociales.
¿Cómo evitar el phishing?
¿Qué herramientas tenemos los usuarios para protegernos de estos ataques? Bueno, en primer lugar: el sentido común.
Mantén la calma y no caigas preso de las provocaciones de nadie. Mira con cuidado los enlaces que te envían por mail o redes sociales y presta atención a qué sitios web te dirigen estos enlaces. Si un amigo o un colega te envía un enlace sospechoso, pregúntale si, en efecto, fue él quien te lo envió. Si te ves frente a un ataque vishing (por teléfono) recuerda que ningún representante de un banco te insistirá para que le digas cuál es el número de tu tarjeta de crédito.
Idealmente, trata de evitar el ingreso a sitios web a través de enlaces. Lo mejor es que ingreses manualmente la URL del sitio que quieres visitar a través de la barra de direcciones del navegador. Siempre mantén tu antivirus actualizado, especialmente si éste cuenta con herramientas antiphishing. Por ejemplo, para poder combatir esta amenaza, el componente antiphishing de Kaspersky Internet Security evalúa cada sitio al que ingresas y lo contrasta con más de 200 signos típicos de los sitios phishing.
Traducido por: Guillermo Vidal Quinteiro