La navegación por Internet, en cualquier tipo de dispositivo, conlleva una serie de riesgos para los usuarios si no se toman las medidas de precaución oportunas. Empezando con un buen antivirus. Pero a veces los ciberdelincuentes dan con teclas que escapan a los antivirus y un ejemplo son los ataques de phishing.
¿Qué es el phishing? Se trata de una práctica de ciberdelincuencia en la que el atacante se hace pasar por una persona o alguna empresa. Por medio del engaño y la manipulación el objetivo no es el robo de datos o el secuestro de un dispositivo o cuenta «por la fuerza», por decirlo de alguna manera. Sino conseguir que, cayendo en la trampa, el propio usuario dé a los ciberdelincuentes sus datos, contraseñas o información confidencial debido a la suplantación de identidad que se ha cometido, básicamente por medio del envío de emails o correos electrónicos.
Con esta definición clara, la compañía en protección antivirus y experta en ciberseguridad ESET afirma que el otoño es una época en la que los delincuentes «parecen intensificar sus campañas» de este tipo de delito. A este respecto, en octubre se celebró el Mes de la Concienciación sobre la Ciberseguridad y ESE ha dedicado parte de la campaña al tema Fight the Phish, recopilando los que a su juicio son «los mejores consejos» para evitar ser víctimas de este tipo de ciberdelito.
En palabras de Josep Albors, director de investigación y concienciación de ESET España: “Mi recomendación en los casos en los que no sabes si un correo electrónico es real o falso es visitar el sitio web real del supuesto remitente a través de un navegador, entrar en tu cuenta y buscar cualquier mensaje que haya podido ser enviado. Cualquier cosa importante estará en el apartado de mensajes de tu cuenta o en la bandeja de entrada y, si es necesario, recomiendo también contactar con la empresa y confirmar la veracidad del email”.
Consejos para protegerse del phishing
Los expertos de ESET recomiendan, en primer lugar, «ser cautelosos con los correos electrónicos y los mensajes recibidos, así como adoptar otras buenas prácticas para estar seguros en línea». Además, destacan la importancia de «trasladar las buenas prácticas a amigos y familiares, con especial cuidado a los más mayores, ya que los datos demuestran que pueden necesitar un poco más de ayuda».
Por otro lado, señala que se podría pensar que, con las continuas campañas de concienciación de las organizaciones financieras, las empresas de ciberseguridad, los gobiernos y otras entidades similares que transmiten mensajes de concienciación sobre ciberseguridad, la cifra de personas que no detectan el phishing debería ser más mucho más baja de lo que es (60% en una prueba realizada por la compañía, de lo que luego hablaremos).
«Sin embargo, algunos correos electrónicos de phishing que llegan a las bandejas de entrada están muy bien elaborados y se parecen a emails auténticos, por lo que es mucho más difícil identificarlos como falsos. Este reto será cada vez más difícil a medida que los ciberdelincuentes perfeccionen su técnica», advierte.
Además, ESET alerta también de que el aumento de los recursos informáticos a disposición de los ciberdelincuentes «supone ya un reto importante». Algunos ejemplos de ello son, el alquiler de la potencia de la computación en la nube, las cantidades masivas de información personal disponibles a partir de las filtraciones de datos y, «hasta cierto punto, los recientes ciberataques exitosos que están reinvirtiendo sus beneficios para hacer crecer la ciberdelincuencia».
Antes de continuar, recordamos esta entrevista que publicamos en Marketing Insider Review a Mónica Valle, periodista especializada en ciberseguridad y fundadora de Bit Life Media.
¿Somos capaces de detectarlo como usuarios?
En buena medida, los consejos para evitar cualquier tipo de ataque informático se basan en el sentido común. Aunque si hablamos de suplantación de identidad, por ejemplo, vemos continuamente que muchos ataques suplantan la identidad del supuesto emisor de los mensajes con mucho acierto y nos acaban engañando.
Así que, si nos preguntamos a nosotros mismos si somos capaces de detectar un intento de ataque de phishing, seguramente pensaremos que sí. A este respecto, ESET asegura en su comunicado de prensa que ha realizado una prueba con los usuarios que han querido «verificar sus conocimientos» sobre esta práctica de ciberdelincuencia.
«Durante la prueba, un sorprendente porcentaje de los participantes han fallado a la hora de identificar correctamente las campañas de este tipo: más de 60% de los usuarios no han acertado estos casos en las cuatro imágenes de mensajes reales y de phishing incluidas en esta prueba», concreta el comunicado de prensa de la compañía.
Competición gratuita organizada en Estados Unidos
Llamada ESET Phishing Derby y organizada por el equipo de ESET en los Estados Unidos, la competición, de participación gratuita, se diseñó «para demostrar lo competentes que somos a la hora de identificar los mensajes falsos frente a los reales».
El sistema de puntuación se basa en la velocidad y en distinguir correctamente los mensajes «y poco menos de 40% de los participantes identificaron correctamente tres de las cuatro muestras en un tiempo muy corto», concreta ESET.
Por lo que, añade, «en realidad, es probable que el número de personas que identifiquen los cuatro correctamente sea menor». Aunque aclara que el cuestionario «no se diseñó para generar estadísticas, sino para crear conciencia y ayudar a educar a los participantes sobre cómo identificar los correos electrónicos falsos».
¿Existen diferencias de comportamiento frente al phishing dependiendo de las edades de los internautas? Según la nota de prensa, los resultados «muestran una marcada diferencia en la forma en que los participantes más jóvenes, de entre 18 y 24 años, identificaron correctamente las muestras: el 47%, frente a sólo el 28% de los mayores de 65 años. Los que tienen entre 25 y 44 años alcanzan el 45% y los de 45 a 64 años el 36%».
Otros indicadores que avisan de los ataques de phishing
Finalmente, ESET desvela algunos consejos más sobre cómo identificar un correo electrónico de phishing. Eso sí, recordamos que hay algunas plataformas de educación online que ofrece cursos de ciberseguridad, como es el caso de Miríadax. Y desde Marketing Insider Review recomendamos que los interesados, sobre todo en ser profesionales o en mejorar su formación, que se informen de cursos o másteres en ciberdelincuencia.
- El correo electrónico no se dirige al usuario personalmente: cuando el remitente se hace pasar por una empresa que debería saber perfectamente quién es el usuario receptor y suele enviar correos electrónicos dirigidos de forma personal y no de forma genérica.
- Errores gramaticales y ortográficos: aunque los correos electrónicos de phishing se sofistican cada día que pasa, la empresa recomienda «asegurarse de leerlos dos veces, ya que los errores pueden ser más difíciles de detectar».
- Compañías desconocidas: se trata de correos electrónicos enviados por empresas con las que no el usuario no suele comunicarse de forma habitual, de la que no está suscrito en ninguna base de datos o que directamente que sean desconocidas.
- Un email para realizar urgentemente una acción: hay que tener cuidado, además, con correos electrónico que inviten a hacer clic en un enlace e iniciar una sesión para revisar transacciones pendientes o algo similar.
- La dirección de correo electrónico: para ESET, «es importante pasar el ratón por encima de la dirección de correo electrónico y comprobar que la dirección real del remitente y el dominio desde el que se envió coincidan».
- Correos electrónicos con archivos adjuntos: y para terminar, por ejemplo, cita correos electrónicos que seguramente sean phishing «que dicen ser una factura o una notificación de algún tipo y que muchas veces contienen malware».