Por qué es rentable el phishing y cómo funciona

1 Oct 2014

Los ataques phishing son, sin duda, el cibercrimen más importante del siglo XXI. Hoy en día es muy común encontrar en los medios de comunicación noticias de clientes de diferentes compañías que han sido víctimas de estos ataques. Además, las estafas de phishing son cada día más numerosas y de mayor calidad. A diferencia del spam, que no es más que una distracción tediosa, el phishing conlleva, casi siempre, pérdidas de grandes cantidades de dinero. Si esta amenaza es tan grave, ¿por qué no sabemos protegernos de ella?

phishing

Por qué funciona el phishing

Hay muchas formas de aprovecharse de la confianza de los clientes. Probablemente, la principal sea la gran capacidad que tienen algunos criminales para engañar a los usuarios y meterlos en problemas. Generalmente, se utilizan ofertas seductoras de distintas cosas. Algo que, por desgracia es muy eficaz, ya que las personas se sienten atraídas por las grandes oportunidades.

Se utilizan ofertas seductoras para atraer a los clientes

Los estafadores también se aprovechan del revuelo que generan ciertas noticias o acontecimientos. Un ejemplo muy claro de esto fueron las numerosas estafas que surgieron a raíz de la Copa del Mundo celebrada en Brasil. Una de estas estafas consistía en recolectar firmas para reincorporar al Mundial a Luis Suárez, delantero de Uruguay, que fue expulsado del certamen por comportarse de forma antideportiva. Para llevar a cabo su trampa, la página web phishing se hacía pasar por la página web oficial de la FIFA y presentaba un formulario que los usuarios rellenaban con su nombre, país, número de teléfono y e-mail.

Otra página web phishing ofrecía a los visitantes la posibilidad de descargar una entrada electrónica para acceder de manera gratuita a algunos partidos del mundial. El enlace para hacer la descarga infectaba a los usuarios con un troyano que robaba su información personal y financiera.

phishing 2Para llegar a los usuarios que aprendieron de pequeños la lección de no fiarse de los desconocidos, los estafadores utilizan otra herramienta muy efectiva, las redes sociales. Según una investigación realizada por Kaspersky Lab, en 2013 más del 35% de los ataques phishing iban dirigidos a usuarios de redes sociales. La herramienta antiphishing de los productos de Kaspersky detectó más de 600 millones de accesos a páginas phishing que se hacían pasar por redes sociales conocidas. Un 22% de los casos eran páginas falsas de Facebook.

Otro método que los delincuentes utilizan mucho para engañar a los usuarios y que hagan clic en algún enlace es generar urgencia y pánico. Un caso típico podría ser la amenaza de bloquear las cuentas bancarias o los perfiles de las redes sociales de la víctima. Muchas veces, para asegurarse de que el ataque va a tener éxito, los criminales utilizan tácticas de “vishing” (phishing por voz). No todo el mundo es capaz de pensar fríamente en este tipo de situaciones críticas, en las que un supuesto representante de un banco te solicita tu número de tarjeta de crédito para evitar que tu cuenta sea bloqueada.

El phishing evoluciona constantemente

Una de las principales razones por las que estos ataques son tan eficientes, se debe a la constante evolución y sofisticación de las técnicas y herramientas del phishing.

Es muy difícil distinguir visualmente las páginas web falsas de las originales. Muchas de ellas tienen, incluso, URLs convincentes y utilizan conexiones seguras con certificados HTTPS verdaderos.

Asimismo, el phishing en teléfonos móviles es cada vez más común, ya que las características técnicas de los Smartphones y Tablets (las dimensiones de las pantallas, por ejemplo), hacen que sea aún más difícil distinguir las páginas reales de las falsas.

Recuerda que para llevar a cabo un ataque phishing, el cibercriminal ni siquiera necesita entrar en el sistema del usuario. Por eso, ninguna plataforma puede protegerte completamente contra todos los tipos de ataques, convirtiendo el phishing en una auténtica amenaza global.

Es muy rentable para los cibercriminales

Primero, la popularidad del phishing no va a desaparecer, ya que es uno de los ataques más lucrativos que existen. Las herramientas utilizadas para los ataques phishing son muy accesibles y su capacidad de alcance es enorme, sobre todo en redes sociales. Asimismo, no requiere mucho esfuerzo por parte de los criminales, ya que la mayoría de las acciones se hacen de forma automatizada.

phishing 3Si tenemos en cuenta todos estos factores, el phishing es una de las formas más sencillas en las que un cibercriminal puede obtener dinero (en la mayoría de los casos, los criminales roban datos financieros).

el phishing suele utilizarse como catalizador generando una reacción en cadena

Además, el phishing suele utilizarse como catalizador de otro tipo de ataques. A través de un email phishing enviado a través de spam, los criminales pueden obtener acceso a todos los contactos de un usuario, generando un malware masivo en cadena que desemboca en el uso de una botnet. En su intento por crear una extensa red de contactos, los cibercriminales buscan algo más que tus datos financieros o de la tarjeta de crédito. La mayoría de los estafadores se contentaría con obtener los datos de acceso a tu e-mail o redes sociales.

¿Cómo evitar el phishing?

¿Qué podemos hacer para protegernos de estos ataques? En primer lugar: usar el sentido común.

phishing 4Mantén la calma y no te dejes provocar por nadie, algo muy común en los casos tanto de estafas como de vishing. Presta atención a los enlaces que te envían por mail o las redes sociales y fíjate en las páginas web a las que estos te dirigen. Si recibes un enlace sospechoso, de un amigo o conocido, pregúntale si fue él quien te lo envió. Si te encuentras frente a un ataque vishing (por teléfono) recuerda que ningún representante de un banco te insistirá para que le digas cuál es el número de tu tarjeta de crédito.

Lo ideal es evitar acceder a páginas web a través de enlaces. Lo mejor es que ingreses manualmente la URL del sitio que quieres visitar a través de la barra de direcciones del navegador. Mantén tu antivirus siempre actualizado, especialmente si éste cuenta con herramientas antiphishing. Por ejemplo, para poder combatir esta amenaza, la herramienta antiphishing de Kaspersky Lab evalúa cada página a la que accedes y la compara con más de 200 criterios típicos de páginas phishing.