Por Genaro Delgado Montalvo, cofundador de </cyberwag> Cybersecurity Intelligence.
gdelgado@cyberwag.com
Este es el primer artículo de una serie de cuatro entregas en las que describiremos 4 conductas criminales que aplican comúnmente los delincuentes informáticos, estas son: Phishing, SPAM, Spoofing e Ingeniería Social.
Los ataques cibernéticos mezclan dos o más conductas maliciosas, por lo cual los ataques, que se convierten en fraudes, suelen ser más elaborados y difíciles de detectar; hasta personas expertas en el tema de ciberseguridad han caído fácilmente.
Así que, si alguna vez fuiste víctima de algún fraude hecho vía email o por teléfono, no te sientas mal, todas personas son vulnerables a ser defraudados, pero esto no es una razón para cruzar los brazos, al contrario, mientras más conozcamos de los modus operandi de estos delincuentes, disminuiremos en gran medida las probabilidades de que nos “ataquen”.
¿Qué es el «Phishing»?
El llamado Phishing es una técnica en el mundo cibercriminal en la que los atacantes utilizan correo electrónico, mensajes SMS y otras aplicaciones de comunicación como WhatsApp, incluso llamadas telefónicas, y a través de éstos medios emplean links que dirigen a otros sitios maliciosos a nombre de instituciones bancarias o compañías de servicios que son muy comunes, por ejemplo servicios de telefonía celular, servicios de televisión o internet, CFE, servicios municipales, el SAT, entre muchos otros.
El objetivo es que la víctima introduzca números de cuenta, contraseñas, números de tarjeta, o cualquier otro dato que permita al atacante apoderarse de toda esa información para robo de identidad, falsificación de instrumentos de crédito financiero, uso de las contraseñas para probar en otros servicios y clonarlos.
Vamos a revisar algunos ejemplos que la gente ha subido como denuncia en blogs de ciberseguridad:
La imagen anterior viene del blog: https://blogs.protegerse.com/
Es un ejemplo de cómo, a través de redireccionamiento de sitio web malicioso, el atacante engaña o “pesca” a sus víctimas haciéndoles creer que su cuenta bancaria está comprometida.
¿Cómo detectar estos fraudes?
- El remitente frecuentemente tiene un dominio totalmente ajeno a la institución bancaria, en este caso el remitente es info@graexcon… el cual evidentemente no tiene nada que ver con Bancomer BBVA.
- Normalmente el cuerpo del correo (contenido en texto o gráfico) suele tener faltas de ortografía o errores gramaticales muy marcados. Si vuelven a leer el cuerpo del correo de este ejemplo, lo notarán (prácticamente hay un error ortográfico y gramatical en cada línea)
- Los links (o botones de “presione aquí”) que el atacante activa para “pescar” a sus víctimas, comúnmente tienen dominios URL (el nombre del sitio web al cual dirige el link) muy dispares de acuerdo con el supuesto remitente oficial. En este caso el botón que dice: “Acceder a mi”, (en sí esta leyenda en el botón ya es rara por tener un error gramatical, ojalá puedas notarlo) si posicionamos nuestro mouse sobre el botón sin hacer click en él, podemos ver que la dirección URL al cual dirige ese link es una llamada: fortyone.web… sobra decir que no tiene nada que ver con Bancomer BBVA
Revisemos uno un poco más difícil. El siguiente caso fue subido al blog https://blog.bankinter.com/
En este caso, tal vez el link nos pudo haber llegado por email, SMS, o cualquier otro medio, incluso a través de una “popup” web (anuncios que salen continuamente en sitios para descargar de películas, libros, software, entre otros de manera ilegal)
Al dar click en la liga, te lleva a un sitio suplantado con la misma carátula para ingresar a tu cuenta de AMAZON (si es que tienes alguna); si ingresamos los datos que nos pide, el atacante tendrá nuestro usuario y password de AMAZON y con ello podría adquirir cosas a nuestro nombre y nos podríamos dar cuenta muy tarde.
Las probabilidades de que nuestro usuario y contraseña que usamos para este tipo de servicios sea el mismo que usamos para otros como Netflix, PayPal, Mercado Libre, y AliExpress, entre otros, es muy alta, por lo que esos servicios también pueden ser vulnerados fácilmente.
¿Cómo me doy cuenta?. Primero, si recibiste una liga extraña “no des click”, no importa quién te la haya mandado, ya que los atacantes pueden usar software malicioso en los servidores de correo electrónico haciendo parecer que alguno de tus contactos te ha mandado el link.
Si ya ingresaste al link entonces verifica al menos que la URL tenga elementos que den indicios que es el sitio oficial y no una falsificación. Si no estás seguro, preferentemente no hagas nada hasta que revises por otro medio (otra computadora, tableta o teléfono móvil seguro) que tu cuenta del servicio no ha sido vulnerada.
Tips para no caer en estos ciberfraudes
- Cambia tus contraseñas de acceso con frecuencia, sobre todo en los servicios financieros, y tiendas en línea. Por favor, en la medida posible, ten una contraseña diferente para cada institución financiera o tienda en línea.
- Evita realizar sesiones de compras o transferencias electrónicas en computadoras de uso público o compartido. Esto incluye usar redes abiertas, nunca conectes tus dispositivos en una red abierta o gratuita como la de los centros comerciales, plazas, cafeterías, aeropuertos, etc. Para realizar sesiones donde hagamos movimientos financieros o compras en línea.
- Recuerda que ninguna Institución Financiera, tiendas en línea o muchos de los servicios multimedia que tenemos en casa, solicita información personal o confidencial por correo electrónico o teléfono. Por ningún motivo ingreses tus contraseñas, sobre todo bancarias, en sitios al que llegaste por un enlace en correo electrónico o mensaje instantáneo. Lo recomendable es ingresar directamente a la dirección oficial de la Institución Financiera.
- No ingreses o hagas “click” sobre links sospechosos. No descargues por completo o respondas ningún mensaje sospechoso enviado por email, SMS o WhatsApp, de remitentes desconocidos o aquellos que te dicen haber ganado un premio, viaje o sorteo, ya que generalmente requieren tus datos personales para otorgar la recompensa.
Aparentemente, con toda la preocupación por no ser víctimas de este tipo de crímenes cibernéticos, es sencillo implementar e interiorizar estas simples costumbres de medidas de seguridad informática contra el Phishing, pero no es así, la realidad es que en México hace mucha falta la concientización de temas de ciberseguridad, y que la responsabilidad en este tema que compete a todos.
Una de las mejores maneras de enfrentar estos crímenes cibernéticos es estando continuamente informados de las técnicas y herramientas que los cibercriminales están implementando para volcar un poco nuestras vidas digitales con repercusiones en nuestras vidas en el mundo de los átomos.