Cuando se trata de ganarse la confianza de los usuarios para engañarlos, los ciberdelincuentes se sirven de todo un abanico de técnicas y artimañas con las que conseguirlo; esto es conocido como la ingeniería social. Una de estas técnicas, y quizás la más popular de todas, es el phishing.
El phishing es una técnica que consiste en el envío de un correo electrónico en el que los ciberdelincuentes suplantan la identidad de entidades, como el banco del cual somos clientes, una red social, una entidad pública – por ejemplo EL MINISTERIO DE HACIENDA-, una empresa reconocida o un servicio que utilicemos, y su objetivo es obtener toda la información personal y bancaria que puedan conseguir de nosotros, como usuarios y contraseñas, direcciones, datos de tarjetas de crédito, etc., realizar un cargo económico o infectar el dispositivo. Para ello, adjuntan archivos infectados o enlaces a páginas fraudulentas.
Precisamente gracias a la ingeniería social los ciberdelincuentes aplican sus “anzuelos” de acuerdo con el conocimiento que ya tienen de la persona a la que les hacen llegar el correo, por ejemplo, en el caso de este servidor que es informático le puede hacer llegar un correo como el que se muestra en la siguiente imagen:
Imagen: Ejemplo de correo phishing.
¿Cómo funciona el Phishing?
Vamos a desarrollar un ejemplo para comprender esta modalidad de ciberdelincuencia:
“La madre de la familia -usuaria de internet- suele utilizar su teléfono móvil inteligente para llamar y recibir llamadas, escribirse con su familia y amigos, utilizar algunas apps para ver vídeos y escuchar música y, desde hace poco, revisar también su correo electrónico.
Generalmente, su bandeja de entrada solo contiene algunos correos con ofertas de las aplicaciones que utiliza, algunas facturas y mensajes de su banco y correos personales que intercambia con su círculo de amistades.
Sin embargo, esta mañana recibió un correo que ha llamado su atención. El correo pertenecía a una tienda online muy conocida donde nuestra protagonista tenía una cuenta creada y había realizado compras en varias ocasiones.
Bajo el titular “Cuidado, actividad sospechosa en su cuenta”, podía leer en el cuerpo del mensaje cómo la empresa propietaria de la web le advertía sobre algunos inicios de sesión localizados en otro país y que, por seguridad, lo más recomendable era que actualizase su contraseña lo antes posible y revisase las últimas transacciones en busca de alguna irregularidad.
Para ello, el mensaje incluía un enlace que la redirigiría supuestamente a la web en cuestión.
Nuestra protagonista, preocupada por el estado de su cuenta, hace clic sobre el link, que la llevó a una ventana de inicio de sesión con los logos y textos habituales de la web. Introdujo su usuario y contraseña, pero tras un breve instante, volvió a una ventana muy similar a la anterior, aunque con algunas diferencias.
Volvió a introducir sus datos de acceso y entonces sí logró entrar a su cuenta, donde pudo comprobar que no había ninguna compra previa.
Las semanas pasaron, cuando otro mensaje llegó a su bandeja de entrada, que llamó su atención. En este caso, era de su banco, informándola de una serie de cargos realizados desde su cuenta bancaria. Sin embargo, ella no había realizado ninguno de ellos.
¿Qué había ocurrido? Los ciberdelincuentes crearon un mensaje falso simulando ser la tienda online, desde el que se redirigía a una web fraudulenta muy similar a la original. Cuando nuestra protagonista hizo clic en el enlace e introdujo sus credenciales, realmente las estaba compartiendo con los atacantes. Estos consiguieron entrar en su cuenta, en la que se encontraban sus datos bancarios, y con los que realizaron varias compras sin el consentimiento de nuestra protagonista.”
Los eventos de phishing siguen todo un mismo modo de operación o muy similar: suplantan la identidad de todo tipo de entidades, la mayoría de ellos incluyen enlaces que nos llevan a webs fraudulentas o archivos adjuntos maliciosos que, una vez descargados y ejecutados, instalarán un malware, infectando así nuestro dispositivo.
Es precisamente por esta razón que desde hace años, muchas instituciones de Costa Rica, no sólo las bancarias, están procurando hacer que la población comprenda la existencia de esta técnica. Por ejemplo en la siguiente imagen se aprecian recomendaciones del Ministerio de Ciencia Innovación, Tecnología y Telecomunicaciones (MICITT), en un infograma que procura alertar al respecto, y basada en las directrices del Ministerio muchas otras insituciones públicas y privadas hacen lo mismo.
Imagen: Recomencaciones del MICITT sobre PHISHING.