¿Cuáles son las diferentes caras del phishing?

Mayo 2020

Dentro de nuestra sección Ciberseguridad, recientemente desarrollamos el concepto de Robo de Identidad, es decir, el acceso a nuestra información de identificación personal de manera ilegítima. En esta oportunidad y ligado al término mencionado, hablaremos sobre el phishing debido a que es una de las modalidades por las que pueden obtener los datos que buscan.

En estos últimos meses, en tiempos de aislamiento social, preventivo y obligatorio, el uso de Internet para nuevas actividades en ciertos sectores de la población se ha incrementado de manera notable. Pagos de servicios a través de medios electrónicos, trámites en los bancos mediante el sistema de homebanking y compras en línea de diferentes productos, han permitido dar una continuidad a diversas actividades que hacíamos previamente. Pero, este crecimiento del uso de la Red de redes, tuvo algunas consecuencias negativas, ya que según datos de la Asociación Argentina de Lucha Contra el Cibercrimen (AALCC), han aumentado los casos de consultas por estafas en línea un 47% en relación al 2019*.

Entre ellas, una de los que más creció fue el phishing, que es una metodología en la que los ciberdelincuentes utilizan el envío de correos electrónicos u otros medios intentando, en muchos casos de manera eficiente, robar datos de los usuarios sin su consentimiento. En general, estos mensajes suelen tener un aspecto muy similar a los enviados por fuentes de confianza. Diferentes entidades de gobierno, bancos, compañías de servicios públicos, plataformas de contenido digital, redes sociales y plataformas e-commerce, fueron utilizadas como disfraz para engañar a las víctimas.

La creación y envío de estos mensajes falsos es realizada con motivos diversos como la solicitud de validación o confirmación de datos de una cuenta, actualizaciones, reporte de inconvenientes técnicos, promesas de empleos o invitaciones a conseguir dinero fácilmente. Estos mensajes suelen enviarse de manera masiva (Spam) para multiplicar el número de víctimas potenciales. Por otro lado, los cibercriminales emplean ciertas estrategias para crear alarma o temor en los receptores, con advertencias, y claras señales de urgencia. Con ello, buscan que el usuario actúe rápidamente ante el estímulo y no considere detenerse para evaluar los riesgos de su accionar.

El correo electrónico no es el único medio, sino que se suman los mensajes instantáneos de redes sociales, los SMS y las líneas telefónicas convencionales. En el caso de los escritos, el contenido del mensaje incluye enlaces a sitios externos o archivos adjuntos. Estos sitios, también tienen un diseño que intenta tener la misma estética y funciones de la entidad legítima, pero en realidad se trata de una copia del original donde se invita a la víctima a introducir sus datos personales.

Es importante tener en cuenta que las empresas u organizaciones verdaderas no piden datos sensibles vía correo electrónico, que algunas señales pueden basarse en el contenido del mensaje ya que puede tener la tipografía diferente, contener errores, incoherencias o faltas de ortografía y, además, que es necesario corroborar la dirección del remitente. Podemos protegernos del phishing teniendo en cuenta las siguientes recomendaciones:

- Los correos electrónicos sospechosos pueden tener como remitente el nombre de la empresa, pero es necesario verificar el correo: cómo está escrito y a qué dominio hace referencia.

- Luego de leer el mensaje recibido, no ingreses a ningún enlace ya que podrían dirigirte a un sitio fraudulento. Para hacerlo, escribí el dominio en la URL del navegador que uses o utiliza marcadores/favoritos para mayor rapidez.

- Mantené tu equipo protegido y tené el sistema operativo y navegador actualizados.

- Es recomendable tener instalado un antivirus que bloquee este tipo de ataques.

- Introduce tus datos sensibles sólo en sitios seguros: su dirección debe empezar por https:// y debes visualizar el ícono de un candado cerrado.

- Revisá periódicamente tus cuentas bancarias y facturas para estar al tanto de cualquier irregularidad en las transacciones en línea.

- Los intentos de phishing pueden llegar en cualquier idioma, por lo cual, si no es el idioma de uso habitual con la entidad que operas, omitilo.

El mejor método para evitar estos fraudes es estar informado y compartir contenidos de este tipo entre los más allegados. Las víctimas de phishing no pertenecen a un grupo determinado por la edad, por eso es importante ser cautelosos siempre, ya sea dentro del ámbito personal y familiar como en el laboral y profesional. Ante cualquier duda, comunicate con tu entidad de confianza.


*Fuente: AALCC