En momento en que el phishing se ha convertido en un azote a la seguridad de la información que se procesa con las Tecnologías de la Información y las Comunicaciones (TIC) y que en Cuba no estamos exentos de este tipo de ataques, porque se han materializado a cuentas en la red de la Universidad de Oriente y también en las cuentas Nauta, Google ha publicado un conjunto de indicadores que permiten comprender si la persona puede ser un blanco fácil.
El phishing es la estafa digital más comúnmente utilizada y con mucha vigencia en las redes. Seguramente, en algún momento se ha recibido un correo que intenta engañar y hacer creer que es legítimo, cuando la verdadera intención camuflada es robar información personal o financiera. Los que manipulan las campañas de phishing utilizan técnicas de ingeniería social que buscan inducir a un individuo a realizar determinada acción que lo convertirá en víctima de un delito informático.
Recientemente Google ha lanzado un test que presenta varias muestras de técnicas comunes de phishing como forma de educar a sus usuarios para evitar que sean presa de este tipo de delito.
Los cibercriminales no se detienen en sus intentos para envolver en sus redes a los usuarios con viejas y conocidas técnicas que aún siguen siendo efectivas por la falta de conocimiento acerca de cómo hacer un uso seguro de la tecnología. Por ello, el conocer una breve guía de señales que indican la propensión a ser presa de las trampas de los cibercriminales, constituye el objetivo central para educar a lo que es considerado el eslabón más débil en el uso de las TIC.
No se conoce la URL del sitio buscado
Es importante conocer que los cibercriminales utilizan estrategias de Blackhat SEO para posicionar en los primeros resultados de los buscadores los sitios que suplantan la identidad de servicios legítimos con la finalidad de engañar a los usuarios, así se ingresa creyendo que están en la página oficial. Por lo tanto, es importante que por más confianza que tengamos en los resultados que nos ofrecen buscadores como Google, Bing, Yahoo u otro, tengamos presente que es posible que un falso sitio aparezca bien posicionado (al menos durante un tiempo) en busca de víctimas distraídas.
Las estrategias SEO (optimización para los motores de búsqueda) son legítimas y son utilizadas en marketing teniendo en cuenta lo que más valoran los motores de búsqueda a la hora de ofrecer los resultados de una búsqueda. Pero cuando un sitio se posiciona mediante Blackhat SEO nos referimos a que utiliza técnicas para engañar a los motores de búsqueda.
No dejarse llevar por el mensaje en el asunto de un correo
Para que la víctima no piense demasiado y caiga en el engaño, los cibercriminales aprovechan este campo del correo para intentar manipular las emociones y generar sentimientos que pueden ir desde la euforia hasta la desesperación.
Por ejemplo, correos que nos hablan de premios que hemos ganado, una oportunidad única que no podemos dejar pasar o hasta una herencia que tenemos para cobrar. Mientras que en la vereda de enfrente hemos visto campañas que buscan generar paranoia con correos que nos llegan con nuestra contraseña o número de teléfono en el asunto o que nos dicen que nuestra cuenta ha sido pirateada.
En estos casos, lo primero que debemos hacer es no perder la calma. En segundo lugar, no responder.
Revisar la dirección de correo de los remitentes y la dirección real de los vínculos que se indican en los mensajes.
Que un mensaje incluya tu nombre real no asegura que sea genuino, ya que existen varias maneras de obtener ese tipo de información por parte de los actores maliciosos. Por lo tanto, analizar la dirección del remitente puede ayudarnos a interpretar si estamos, por ejemplo, ante un caso de spoofing, que es la técnica utilizada para enviar mensajes de correo electrónico con una dirección de remitente falso, consiguiendo que la víctima los reciba como si fueran el remitente legítimo.
Por ejemplo, que llegue un correo donde el remitente aparente ser de un banco del cual no somos clientes, es algo que debería encender las alarmas. Lo mismo si nos llega un correo donde el remitente se presente como representante de una empresa o servicio y que el dominio del correo sea de un servicio de correo gratuito, como Gmail o Hotmail, por ejemplo. También es común que en su afán de aparentar que el correo es de una empresa legítima los cibercriminales envíen correos cuyo dominio incluya el nombre de una empresa legítima pero que esté rellenado por otros caracteres, como por ejemplo un dominio que se utilizó en una campaña de phishing que se hacía pasar por Apple que era “@servicedstoredapps.live”.
En algunos casos, los atacantes utilizan técnicas de spoofing más complejas, como la fue el caso de una campaña reciente que notificamos donde los cibercriminales enviaban un correo que simulaba ser desde la propia cuenta del usuario.
Es un error no revisar las URL (direcciones) de destino
Es importante revisar a dónde nos direcciona el enlace que viene en el cuerpo del correo, ya que muchas campañas de ingeniería social esconden falsas URL que aparentan ser legítimas. Para hacer esto, una técnica común suele ser incluir un enlace en un pasaje de texto, de forma que no se puede ver directamente la URL. Según el contexto del correo, el usuario puede creer que si pincha será direccionado a un sitio que puede resultar siendo otro. Para descubrir esto muchas veces es suficiente pasar el cursor sobre el hipervínculo y nos daremos cuenta si coincide o no el nombre del supuesto sitio, aunque para corroborar esto en el teléfono debemos mantener el texto “apretado” para que nos muestre la URL sin dirigirnos. Algo similar ocurre con las herramientas para acortar enlaces. Al usarlas, el usuario no puede ver el nombre de la URL final. Sin embargo, en caso de sospechar del enlace, es posible averiguar si se trata de un engaño o no mediante algunas herramientas que permiten descubrir el contenido del enlace antes de abrirlo, como por ejemplo: Unshorten.It.
Otra técnica recurrente es la de ataques homográficos, donde los actores maliciosos registran dominios que a simple vista parecen ser legítimos pero que pequeñas variaciones en uno de los caracteres hacen que sea difícil darse cuenta que en realidad se trata de un sitio falso.
No compartir información personal a través de las redes sociales.
Muchos usuarios no son conscientes de los riesgos de la sobreexposición en las redes sociales y comparten datos personales como el número de documento, fecha de nacimiento, número de teléfono, dirección domiciliaria, entre otros tantos más. A veces, una simple imagen que contenga esta información puede llegar a un individuo de dudosa ética. Lo mismo cuando nos vamos de vacaciones y sin querer, informamos a todos los que puedan ver nuestros perfiles que no estamos en casa.
Por lo tanto, además de pensar dos veces antes de compartir algo en las redes sociales, es importante configurar bien la privacidad de cada una de las plataformas que utilizamos para filtrar quien puede ver nuestras actividades. De lo contrario, estamos expuestos a que un cibercriminal pueda construir un perfil bastante preciso sobre un blanco de ataque simplemente recopilando información de sus perfiles y las actividades que comparte.
Por último, piensa de la manera que lo haría un atacante: ¿la información que comparto puede ser utilizada en mi contra? En caso de que la respuesta sea sí, mejor no compartirla.
No confiar en un sitio web porque tiene HTTPS (seguro)
Lamentablemente, ya no basta con que un sitio tenga HTTPS y un candado para determinar que se trata de un sitio seguro. Si bien en un primer momento las páginas fraudulentas utilizaban protocolo HTTP, en la actualidad los atacantes pueden hacer lo mismo y obtener un certificado SSL/TLS válido y de manera gratuita.
No confiar en servicios o plataformas de uso masivo, porque también sufren ataques y son suplantadas.
No se trata de desconfiar de todo, sino de estar informado de cuáles son los vectores de ataque utilizados por los cibercriminales. No todo lo que vemos en redes sociales es legítimo. De hecho, en estas plataformas los cibercriminales crean cuentas falsas intentando suplantar la identidad de compañías legítimas e incluso realizan campañas publicitarias con falsas promociones (malvertising) que buscan que los usuarios pinchen en un enlace para luego robar sus datos. Algo similar sucede con los anuncios publicitarios que se muestran en la red de publicidad de Google, que ha sido utilizada por cibercriminales para distribuir malware. De hecho, Google lanzó una guía para prevenir esta práctica en la que además ofrece recomendaciones para usuarios y anunciantes.
No abrir un archivo adjunto que viene en un correo no solicitado.
Los usuarios deben saber que un banco o una entidad seria no suele enviar archivos adjuntos sin que exista una solicitud previa de nuestra parte. Por lo tanto, el hecho de que llegue un archivo adjunto que no solicitamos debería ser motivo de sospecha inmediata.
En segundo, las entidades financieras, por ejemplo, nunca solicitarán por correo que envíes tus credenciales de acceso al sistema de banca online o los datos de tus tarjetas de crédito. Por lo tanto, en caso de recibir una petición de este tipo deberías desconfiar.
Tampoco es un comportamiento normal que una entidad que se precie de ser seria solicite a través de un mensaje que inicies sesión desde un enlace que viene en el mensaje. Recibir un mensaje de una institución financiera solicitando datos es una señal de correo fraudulento.