Los cibercriminales se van de pesca: del phising al vishing

Esta práctica se inició a mediados de los años 90 y su nombre procede de la palabra inglesa “fishing” que significa pesca, como una metáfora de esta actividad en la que los hackers persiguen que los usuarios piquen y muerdan el anzuelo.

El objetivo del phishing es engañar al usuario, en la mayoría de los casos para conseguir beneficios económicos mediante la venta de datos en la red oscura o a través del robo directo. Normalmente el cibercriminal busca que el usuario entre en una web fraudulenta creada por los cibercriminales y obtener su información por distintos medios. También existe el “vishing” o phishing de voz, en el que el usuario recibe una llamada de voz solicitando información personal o alguna clave, el smishing o phishing a través de mensajes de texto SMS. Las tácticas para engañar al usuario se denominan técnicas de ingeniería social.

Según afirma Juan Miguel Velasco, CEO de Aiuken Cybersecurity, “resulta sorprendente que el principal vector de entrada de phishing siga siendo el email, puesto que lo deberían detectar mejor los programas anti-spam y anti-phishing, y, por otra parte, destaca el uso de una combinación de malware para que el vector o vía de entrada sea a través de una app o las propias vulnerabilidades de Windows o de ficheros PDF, por ejemplo”.

El phishing es una de las amenazas más extendidas que se dirige a empresas y a usuarios, según un estudio de Webroot cada mes se crean 1,38 millones de sitios web suplantando los sitios legítimos para conseguir información confidencial y en mayo se registró la cifra récord de 2,3 millones de sitios web relacionados con el phishing. Además, estas web están activas sólo entre 4 y 8 horas, para evitar que se usen las tácticas habituales de bloqueo de la web.

Esta amenaza sigue siendo frecuente porque tiene un coste muy bajo y continúa habiendo usuarios que caen en la trampa, ante comunicaciones que cada vez son más similares a las de las marcas o servicios suplantados y con un contenido más elaborado. “El que haya muy poco riesgo y un gran beneficio ha hecho que el phishing se utilice mucho más y que se profesionalice por sectores”, profundiza Luis Ángel Fernández, CEO de Invisible Bits. “Además de las grandes campañas de phishing, se está usando el spear phishing o ataque dirigido a un objetivo concreto, como podría ser el fraude del CEO, donde se envía el correo a una persona concreta donde tratan de manipular a puestos clave en organizaciones”.

Otro ejemplo que estamos viendo ahora continúa Fernández“es un correo de phishing enviado a puestos importantes de grandes empresas tratando de forzarles a que hagan transferencias en bitcoins bajo la amenaza de filtrar documentos confidenciales de la compañía”.

Las organizaciones y marcas populares son muy utilizadas para el phishing, en 2017 se han registrado campañas suplantando la imagen de Amazon, Apple, Coca-Cola, Facebook, Google, Linkedin, Netflix, Whatsapp, gran parte de las entidades bancarias y de seguros, empresas eléctricas como Endesa e Iberdrola e incluso la Agencia Tributaria española, entre otras muchas.

Un problema añadido es el robo de identidad en Internet a través del phishing. Según Eurostat en España el 7% de los internautas ha visto su identidad comprometida en 2017 y es el país de la UE donde se producen más robos de identidad. Como indica Ignacio Arrese, CEO de SmartHC, “estamos observando que se hacen campañas de phishing para robar la identidad de los usuarios en Internet y después usar estas identidades, por ejemplo, en aplicaciones de compraventa de segunda mano, donde se realizan pequeñas estafas a muchos usuarios con unos datos falsos, que por volumen resultan muy rentables”. Además, “los medios de propagación del phishing cada vez se han ido extendiendo a toda la tecnología que nos rodea y se utilizan redes sociales, formularios en aplicaciones, que también se incluyen en redes sociales, SMS, mensajes de Whastapp…”, finaliza Arrese.

El eslabón más débil de la cadena es el usuario o el empleado, que ante la rapidez de los ataques y su breve duración, tiene que concienciarse sobre este peligro y asegurarse antes de hacer clic en un enlace de un correo, un mensaje o una aplicación. Por eso, los expertos recomiendan entrar en una web tecleando la dirección directamente en el navegador. Es importante recordar que ninguna entidad bancaria solicita datos de acceso o números de cuenta por correo electrónico.

“El conocimiento de nuevos casos phishing va a ir al alza debido a que muchos gobiernos están obligando a informar de los incidentes de seguridad. En Europa a partir de este año será obligatorio, con la entrada en vigor del Reglamento General de Protección de Datos, y por este motivo se visibilizarán más los ataques de phishing”, concluye Juan Miguel Velasco, CEO de Aiuken.