Phishing: de­fi­ni­ción y métodos en un vistazo

El phishing se considera uno de los métodos de fraude más antiguos desde que existe Internet. Los ci­be­r­de­li­n­cue­n­tes intentan in­te­r­ce­p­tar co­n­tra­se­ñas sensibles, datos bancarios y de pago a través de la in­ge­nie­ría social, correos ele­c­tró­ni­cos de phishing o malware. Mientras que el phishing clásico utilizaba enlaces y archivos adjuntos con re­di­re­c­cio­nes ma­li­cio­sas o descargas de malware, los métodos de phishing modernos ya no se basan ne­ce­sa­ria­me­n­te en la entrega in­vo­lu­n­ta­ria de datos im­po­r­ta­n­tes.

Piensa en Ca­pe­ru­ci­ta Roja y el Lobo Feroz: el Lobo Feroz le pregunta a Ca­pe­ru­ci­ta Roja dónde vive, cómo se llama su abuela y qué lleva en su cesta. Ca­pe­ru­ci­ta Roja es tan inocente que comparte toda esa im­po­r­ta­n­te in­fo­r­ma­ción personal con el educado lobo. Poco después, el lobo está en la casa y se hace pasar por la abuela de Ca­pe­ru­ci­ta. En este caso, el lobo malvado es como un correo ele­c­tró­ni­co de phishing.

Phishing se deriva de la palabra inglesa “fishing”, ya que las víctimas de phishing son atraídas como peces a un cebo. Los mensajes o correos ele­c­tró­ni­cos falsos de bancos, servicios de su­s­cri­p­ción y pago o de supuestos amigos o co­m­pa­ñe­ros de trabajo actúan como gusanos en un anzuelo. Los afectados se dan cuenta demasiado tarde de ser víctimas de phishing.

Incluso antes de la llegada de Internet, el robo de datos formaba parte del re­pe­r­to­rio de los de­li­n­cue­n­tes. La mayoría de las veces, datos im­po­r­ta­n­tes como números PIN, di­re­c­cio­nes, datos bancarios o números de teléfono eran el objetivo de quien espiaba usando el llamado método del “shoulder surfing”, si­m­ple­me­n­te mirando por encima del hombro de la víctima. El phishing se presenta como la evolución del robo de datos para la ge­ne­ra­ción de Internet. Seguro que ya has recibido correos ele­c­tró­ni­cos de supuestas pe­ti­cio­nes urgentes de tu banco, supuestas entregas de Amazon que nunca pediste o correos de de­s­co­no­ci­dos que te quieren dejar una herencia mi­llo­na­ria. La lista de métodos de phishing es larga y aumenta cada año.

El objetivo del phishing es siempre conseguir tus datos: datos bancarios, datos de la tarjeta de crédito, co­n­tra­se­ñas para la banca en línea, tiendas online, cuentas de correo ele­c­tró­ni­co o backends de páginas web. Cuanto más pe­r­so­na­les y sensibles son los datos, más co­di­cia­dos son. El robo de datos lo llevan a cabo es­ta­fa­do­res que persuaden a sus víctimas para que in­tro­du­z­can in­fo­r­ma­ción personal en páginas falsas. Con los datos robados, los de­frau­da­do­res que recurren al phishing pueden causarte daños fi­na­n­cie­ros, suplantar tu identidad, realizar más ataques de phishing a tus contactos o corromper los datos de tu empresa.

El phishing también sirve a menudo como etapa pre­li­mi­nar para otros ataques con malware, ra­n­so­m­wa­re, spyware y scareware. Los archivos adjuntos de correos ele­c­tró­ni­cos de phishing con macros o códigos ma­li­cio­sos también se utilizan para instalar programas ma­li­cio­sos en los or­de­na­do­res.

Al igual que las te­c­no­lo­gías y la co­m­pe­te­n­cia digital, los pro­ce­di­mie­n­tos y métodos de los de­frau­da­do­res con phishing también están sujetos a cambios co­n­s­ta­n­tes. El phishing clásico seguía re­qui­rie­n­do la “ayuda” in­vo­lu­n­ta­ria de las víctimas del phishing, in­tro­du­cie­n­do datos pe­r­so­na­les o haciendo clic en enlaces y archivos adjuntos. Sin embargo, los nuevos métodos de phishing ya no se basan ne­ce­sa­ria­me­n­te en estas acciones.

Los tipos de phishing más comunes son:

• Phishing por correo ele­c­tró­ni­co: correos ele­c­tró­ni­cos falsos que suelen contener enlaces a páginas web dañinos, descargas o malware en archivos adjuntos.
• Phishing de páginas web: páginas web falsas que engañan para que se in­tro­du­z­can datos im­po­r­ta­n­tes o se instalen programas ma­li­cio­sos; también se conoce como spoofing.
• Vishing: el método vishing se refiere a las llamadas de estafa que utilizan el teléfono o la voz phishing.
• Smishing: smishing implica el uso de mensajes SMS o de me­n­sa­je­ría falsos. Su objetivo es atraer a los usuarios para que hagan clic en los enlaces, de­s­ca­r­guen malware o revelen datos.
• Su­pla­n­ta­ción de identidad en las redes sociales: en las redes sociales, la su­pla­n­ta­ción de identidad incluye el secuestro de cuentas de redes sociales o la creación de copias engañosas de perfiles de redes sociales. Estos pueden ser uti­li­za­dos para robar datos sensibles de las víctimas y contactos.

Los enfoques comunes del phishing pueden dividirse en el spear phishing, ataques dirigidos a un objetivo es­pe­cí­fi­co con un uso intensivo de la in­ge­nie­ría social, y los ataques de phishing masivo de base amplia.

En el spear phishing, los ci­be­r­de­li­n­cue­n­tes espían a un pequeño grupo objetivo o a una sola víctima. Para ello, se utiliza la in­ge­nie­ría social para recopilar in­fo­r­ma­ción pública, como di­re­c­cio­nes de correo ele­c­tró­ni­co, listas de amigos, tra­ye­c­to­rias pro­fe­sio­na­les y títulos de trabajo en las redes sociales, las páginas web de las empresas o las páginas pro­fe­sio­na­les. A co­n­ti­nua­ción, los de­li­n­cue­n­tes generan correos ele­c­tró­ni­cos que parecen ser au­té­n­ti­cos re­cu­rrie­n­do a la su­pla­n­ta­ción de la identidad de contactos, empresas, bancos o conocidos. En ellos, hay un enlace a un página web fa­l­si­fi­ca­da por pro­fe­sio­na­les que le pide que in­tro­du­z­ca sus co­n­tra­se­ñas, datos bancarios u otra in­fo­r­ma­ción. Por otra parte, el correo falso está destinado a incitarle a hacer clic en archivos adjuntos ma­li­cio­sos. Cabe señalar que el spear phishing puede preparar ataques a gran escala contra empresas o el robo de activos de la compañía mediante el espionaje de los datos de los di­re­c­to­res generales.

Mientras que el so­fi­s­ti­ca­do spear phishing se centra en la calidad de la fa­l­si­fi­ca­ción, las campañas de phishing de base amplia se centran en la cantidad de víctimas. A menudo se puede reconocer el phishing masivo por las di­re­c­cio­nes de correo ele­c­tró­ni­co ob­via­me­n­te falsas, los re­di­re­c­cio­na­mie­n­tos a páginas web y URL so­s­pe­cho­sas y sin cifrar, o la mala gramática. También pueden ser correos ele­c­tró­ni­cos de servicios de pa­que­te­ría o de pedidos, aunque no hayas pedido nada, o mensajes de Amazon y PayPal, aunque no tengas ninguna cuenta. Este tipo de phishing tiene como objetivo robar la mayor cantidad posible de datos sensibles a través del mayor número de víctimas po­te­n­cia­les.

Las nuevas técnicas de phishing ya no dependen de la in­ter­ac­ción de la víctima. Por lo tanto, hacer clic en enlaces pe­li­gro­sos o in­tro­du­cir datos no es ne­ce­sa­ria­me­n­te una parte integral del phishing en las nuevas tácticas. Basta con iniciar un ataque de in­te­r­me­dia­rio o ataque man-in-the-middle abriendo una página web o un correo ele­c­tró­ni­co infectado con código malicioso. En este caso, los ci­be­r­de­li­n­cue­n­tes se in­te­r­po­nen entre tu ordenador e Internet para in­te­r­ce­p­tar tu co­mu­ni­ca­ción por Internet, incluidos los datos sensibles. Lo ma­quia­vé­li­co es que en un ataque man-in-the-middle, a menudo es difícil detectar a los atacantes, que pe­r­ma­ne­cen sin ser de­te­c­ta­dos entre tu ordenador y los se­r­vi­do­res objetivo en Internet.

Para reconocer las tácticas de phishing y correos frau­du­le­n­tos de phishing, debes prestar atención a las si­guie­n­tes ca­ra­c­te­rí­s­ti­cas típicas:

• Correos ele­c­tró­ni­cos o páginas web que utilizan una gramática evi­de­n­te­me­n­te in­co­rre­c­ta o un español ex­tra­n­je­ri­za­do
• Correos ele­c­tró­ni­cos o páginas web de bancos u otros servicios que te pidan que in­tro­du­z­cas in­fo­r­ma­ción personal o que ve­ri­fi­ques tu cuenta o tus datos de pago.
• Di­re­c­cio­nes de correo ele­c­tró­ni­co de re­mi­te­n­tes su­pue­s­ta­me­n­te oficiales que no coinciden con el nombre de la empresa o del remitente
• Re­di­re­c­cio­nes a páginas web http o a URL so­s­pe­cho­sas y uso de enlaces acortados por aco­r­ta­do­res de URL como bit.ly
• Correos ele­c­tró­ni­cos con di­re­c­cio­nes de re­mi­te­n­tes so­s­pe­cho­sos o so­li­ci­tu­des de acción rápida que contengan archivos adjuntos so­s­pe­cho­sos como .exe, .docx, .xlsx o archivos ZIP y RAR.

Algunos casos de phishing a gran escala se hicieron es­pe­cia­l­me­n­te públicos debido a su alcance:

La fi­l­tra­ción de numerosos correos ele­c­tró­ni­cos del Partido Demócrata es­ta­dou­ni­de­n­se en 2016 es uno de los casos de phishing más conocidos y con mayores co­n­se­cue­n­cias. Los grupos de hackers Fancy Bear y Cozy Bear enviaron mensajes de phishing a co­n­gre­si­s­tas de­mó­cra­tas in­s­tá­n­do­les a cambiar ciertas co­n­tra­se­ñas. A través del enlace incluido, los atacantes in­te­r­ce­p­ta­ron los datos de acceso y ob­tu­vie­ron acceso a varias cuentas de correo ele­c­tró­ni­co de políticos de alto rango. La pu­bli­ca­ción de los datos a través de Wikileaks influyó no­ta­ble­me­n­te en la victoria del futuro pre­si­de­n­te Donald Trump.

Entre finales de 2014 y mayo de 2015 se produjo pro­ba­ble­me­n­te uno de los mayores ataques de hackers dirigidos por Rusia contra el gobierno alemán. Comenzó con correos ele­c­tró­ni­cos de su­pla­n­ta­ción de identidad dirigidos a los diputados, a través de los cuales se in­tro­du­je­ron troyanos en el sistema in­fo­r­má­ti­co interno para robar las co­n­tra­se­ñas de los ad­mi­ni­s­tra­do­res. En abril de 2015, varios miembros del Bundestag, el Pa­r­la­me­n­to Federal alemán, re­ci­bie­ron supuestos correos ele­c­tró­ni­cos de las Naciones Unidas que in­s­ta­la­ron más malware en el sistema in­fo­r­má­ti­co del Bundestag.

En 2017, los es­ta­fa­do­res lograron robar alrededor de 100 millones de dólares es­ta­dou­ni­de­n­ses a través de correos ele­c­tró­ni­cos de phishing y una identidad em­pre­sa­rial falsa. El truco tuvo éxito porque la empresa falsa apenas podía di­s­ti­n­gui­r­se de un socio comercial real de Google y Facebook. Los empleados de las grandes empresas tra­n­s­fi­rie­ron, sin saberlo, enormes ca­n­ti­da­des de dinero a las cuentas de los hackers en el ex­tra­n­je­ro.

Aunque las grandes empresas, in­s­ti­tu­cio­nes y gobiernos son el principal objetivo de los ataques de phishing, cualquier usuario corre el riesgo de caer en el phishing online. Por ello, tanto Newtral como el Instituto Nacional de Ci­be­r­se­gu­ri­dad de España publican re­gu­la­r­me­n­te ejemplos y métodos de ataque actuales.