Cerrar panel

Cerrar panel

Cerrar panel

Cerrar panel

Ciberseguridad 23 sep 2021

‘Phishing’ al desnudo: ¿De verdad es tan difícil detectar un ataque de ‘phishing’?

BBVA_Phishing-al-desnudo_ciberseguridad-proteccion-online-internet
Alejandro Tarriño (Experto en ciberseguridad - BBVA)

Si hay una técnica de ciberdelincuencia que destaca por encima del resto y todo el mundo conoce, esa es el ‘phishing’. Podemos decir que un ataque de ‘phishing’ no es un ataque en sí mismo, sino un intento de engaño utilizado por un ciberdelincuente como primer paso para perpetrar un ciberataque o una estafa. Normalmente se basan en la suplantación de identidad, haciéndose pasar por una empresa o servicio conocido (aunque no siempre sea así). El ‘phishing’ es la forma más sencilla y efectiva de llevar a cabo un ciberataque.

Las consecuencias de ser víctima de un engaño de ‘phishing’ dependen de la intención del ciberdelincuente, pero las más comunes son económicas:

  • Las estafas económicas
  • El acceso a datos de tarjeta o cuentas bancarias para usos fraudulentos o venta en la Dark Web

También pueden buscar recopilar información para cometer otros ataques, a veces más elaborados, como:

  • Robo de información personal y privada
  • Robo de credenciales de acceso
  • Robo de información confidencial a empresas

Y otros ‘phishing’ lo que buscan es instalar un ‘malware’ en algún dispositivo de la víctima y así continuar con un ataque más sofisticado, o tomar el control de su ordenador o tableta.

¿Cómo se puede detectar si un correo electrónico se trata de un ‘phishing’?

Si en algo se basa un intento de ‘phishing’ es en la ingeniería social. Los ‘phishers’ saben aprovechar muy bien nuestras debilidades como seres humanos y para ello explotan nuestros sesgos cognitivos. Y esto, que históricamente ha sido lo que hacía difícil su detección y nos convertía en víctimas, es lo que a día de hoy nos debe servir para no picar nunca más en un engaño de este tipo.

A menudo se es mucho más desconfiado en el mundo físico que en el mundo digital, cuando debería ser al revés. Debido al alto número de intentos de ‘phishing’ que existe en la actualidad, es más necesario que nunca adoptar una mentalidad de “confianza cero” o “Zero Trust” cuando se recibe un email en nuestra bandeja de entrada.

¿Y cuáles son esas señales que deben hacer sospechar?

Precisamente las que utilizan la ingeniería social de una manera descarada. Cualquier persona que recibiera un email donde se indicara que se ha producido una transferencia de alto importe desde una de sus cuentas, se pondría nerviosa y tendería a actuar sin pensar. Y es ahí donde los ciberdelincuentes atacan, suplantando a BBVA o cualquier otro banco del mundo. Por eso, ante este tipo de correos, lo mejor es siempre pensar fríamente y no precipitarse cuando se encuentren asuntos como los siguientes:

  • “Se ha realizado una transferencia de alto importe desde una de sus cuentas”
  • “Se ha bloqueado su tarjeta de crédito por uso indebido”
  • “Hemos bloqueado su cuenta de Apple/Google/Netflix/Facebook porque alguien está intentando acceder desde (una ubicación de un país o ciudad remota)”
  • “Su cuenta en la nube ha sido bloqueada y en caso de no acceder en las próximas 24 horas perderá todas sus fotos y archivos almacenados”

Recuerda: Si recibes un email que te pone nervioso, cuenta hasta 10 y párate a pensar antes de actuar.

No pinchar en los enlaces ni llamar a los números indicados

Otra cosa que todos esos emails tienen en común es que en su contenido siempre habrá o bien un enlace a una página web falsa que imita a la original, o un número de teléfono al que nos invitan a llamar para solucionar el problema, donde terminarán de perpetrar el engaño consiguiendo lo que quieren.

Para estar totalmente a salvo, no se debe pinchar nunca en los enlaces existentes en estos correos; hay que acceder directamente desde el navegador a la página del banco, red social o servicio en cuestión, para estar seguros de que se accede a la página auténtica. En caso de tener que llamar por teléfono, hay que buscar siempre el teléfono en la página oficial y desconfiar del que se proporciona en el email, o bien contactar con ellos por los medios que ofrezcan en la página oficial.

¿Y qué pasa con todas esas ofertas irresistibles que se reciben cada día?

Se debe huir de los teléfonos gratis, cheques de 50 euros para el supermercado favorito o bienes y servicios a precio muy reducido. Por lo general, serán mentira pero, para asegurarse, hay que visitar la página oficial de la compañía de la supuesta oferta y comprobar que es real.

Como siempre, la mejor forma de protegerse ante el ‘phishing’ es usar el sentido común y pensar antes de hacer clic en los enlaces de los correos o llevar a cabo las acciones que se pidan en estos.

Otras historias interesantes