Ingrid Inda.
¿Cómo actúa el phishing y de qué modo identificarlo?
Esta amenaza (el phishing) utiliza la Ingeniería Social para engañar, o sea, técnicas para manipular a la víctima con tal de que entregue sus contraseñas o descargue un programa malicioso. Y peor aún, los ciberdelincuentes siempre están buscando nuevas técnicas para hacer sus engaños más creíbles. Por esto, es extremadamente importante fijarse en el emisor del correo, y, además, desconfiar especialmente de correos cuyo asunto son mensajes de urgencia. Algunos ejemplos que deben hacerlo dudar son avisos de que se ha detectado algo inusual, alertas de seguridad, notificaciones de que su tarjeta está bloqueada, o su cuenta ha sido bloqueada, entre otras.
Suponiendo que el phishing contenía algún malware, y que este haya infectado al equipo, debemos saber que estos programas maliciosos están diseñados para no ser detectados. Aunque de todos modos puede haber indicios, como acciones inesperadas por parte del sistema operativo, lentitud en los trabajos habituales, aparición de archivos o programas no descargados, cambios en las direcciones del navegador y, en notebooks y celulares, la descarga más rápida de la batería.
Por lo anterior, es indispensable tener un antivirus/antispam que contemple funciones como análisis de tráfico, Machine Learning y detección de actividad inusual, tanto a nivel de estaciones de trabajo (dispositivos), como a nivel de administración del tráfico de red.
¿De qué forma afecta esta amenaza hoy a organizaciones y usuarios en Chile?
El phishing es la mayor amenaza de seguridad cibernética que enfrentan las organizaciones en Chile y el mundo. Este tipo de ataque informático utiliza técnicas de la Ingeniería Social, generalmente la suplantación de una identidad conocida, y puede tener distintos fines, como robar información sensible como contraseñas bancarias, entre otras, o intentar infectar con algún programa malicioso algún computador; no todos los phishing son iguales.
Por ejemplo, tan solo en la Red de Conectividad del Estado (red de alta velocidad que conecta ministerios, subsecretarias y servicios públicos) bloqueamos 5.220 correos maliciosos en septiembre pasado, que venían con malware en archivos adjuntos con extensiones comunes y masivamente utilizadas como .doc, .rar y .zip. O sea, las víctimas creen que abrirán un archivo de Word o un comprimido y se encuentran con un virus que puede realizar todo tipo de estragos, desde robo de contraseñas bancarias, de contraseñas de la infraestructura tecnológica o de “poder de cómputo” para minar criptomonedas, y extracción de información valiosa, hasta cifrar todos los datos del equipo o equipos afectados y exigir un rescate para liberarlos. Estos últimos programas maliciosos son conocidos como ransomware.
¿Cuáles son los tipos de phishing más comunes que vemos hoy?
Según nuestras observaciones, los dividimos en dos categorías: phishing que afectan a la ciudadanía, que en su mayoría corresponden a suplantación de identidades bancarias, ataques en los cuales los delincuentes se hacen pasar por un banco y hacen a las víctimas dirigirse a un sitio falso, que les solicita sus datos personales, como usuario y contraseña de acceso. Dentro de esta misma categoría de phishing observamos periódicamente la suplantación de algunos servicios públicos, como por ejemplo la Tesorería General de la República (TGR) y el Servicio de Impuestos Internos (SII), donde informan avisos falsos como que existen deudas o multas impagas, y de hacer clic en el enlace gatillan la descarga de un malware que infecta el equipo.
La otra categoría de phishing que observamos es la suplantación de portales de correo electrónico, que sirven para robar las contraseñas de correos institucionales, entre otras intenciones, e insertar malware (software malicioso) en las organizaciones.
En la Red de Conectividad del Estado se bloquean muchos correos que vienen con malware que son conocidos, como primer filtro, que puede robar contraseñas de navegadores, del correo electrónico, las pulsaciones de teclado realizadas por el usuario, tomar capturas de pantalla y datos de los computadores (versión de sistema operativo, CPU, RAM o nombre de usuario, entre otros). Detectamos, además, muchos otros tipos de archivos maliciosos que, de llegar a ser ejecutados, descargan amenazas que afectan la seguridad de la infraestructura y de los datos de negocio y personas que administran las organizaciones que infecten.
¿Cómo reacciona el CSIRT frente a esta amenaza?
En el CSIRT de Gobierno nos preocupamos de publicar regularmente consejos para concientizar a la ciudadanía sobre los peligros del phishing en nuestro sitio web y redes sociales. Además, pensando en los encargados de ciberseguridad y encargados tecnológicos de las instituciones públicas, difundimos información sobre campañas de phishing que se encuentran vigentes, lo que les permite implementar bloqueos preventivos y monitoreos en su infraestructura.
Asimismo, desde el CSIRT de Gobierno informamos a las instituciones públicas o privadas cuyas marcas detectamos están siendo suplantadas por delincuentes para cometer ilícitos, para su conocimiento e implementen las medidas que estimen necesarias para proteger a sus clientes.
¿Recomendaciones o medidas a considerar para no ser víctima del phishing?
Primero, hay que estar siempre atento y desconfiar. No entregar información personal ni claves de la organización. Al recibir un correo electrónico, un mensaje en WhatsApp, Instagram u otra aplicación, o un mensaje de texto (SMS), debemos fijarnos en el remitente, y si la dirección que aparece es la de quién dice venir el mensaje (aunque esto tampoco es suficiente, ya que hay formas de hacer que aparezca una dirección de origen distinta a la real).
Debemos fijarnos en la redacción del mensaje, ya que mucho del phishing proviene de delincuentes que no conocen bien nuestro idioma y cometen errores o usan traductores automáticos, habiendo imperfecciones en el texto. Ser especialmente cuidadosos con mensajes que vienen con enlaces o archivos adjuntos. No interactuar con ellos a menos que estemos seguros de que son de fiar. Si tenemos dudas, es mejor evitar hacer clic y avisar al encargado de ciberseguridad de la organización para que lo revise. O de tratarse de nuestra vida personal, llamar a la persona o institución que supuestamente nos envió el mensaje y preguntarles directamente si lo hicieron.
También son sospechosos los mensajes que digan que se ha obtenido un premio o descuentos, es mejor no interactuar con ellos, suelen ser maliciosos. Si recibimos información de instituciones como bancos, Isapres o AFPs, nunca debemos hacer clic en los mensajes, sino abrir sus sitios web oficiales directamente.
Finalmente, si tenemos dudas sobre un mensaje recibido, pero creemos que puede ser algo de verdad importante (muchos e-mails de phishing se aprovechan de nuestros miedos, y aseguran que si no abrimos un enlace o descargamos un archivo tendremos que pagar multas o perderemos dinero), debemos contactar directamente a la persona u organización y preguntar si es verdad lo que se nos asegura en el mensaje, idealmente por otra aplicación (porque, por ejemplo, si un delincuente tomó control del WhatsApp de uno de nuestros contactos y nos envía un mensaje malicioso, mejor lo llamamos por teléfono y no a través del WhatsApp, o caeremos en su trampa).
En caso de creer haber sido víctima, ¿cómo se debe actuar?
Dependiendo del tipo de phishing, a veces podrá ser suficiente con la limpieza que pueda hacer nuestro propio antivirus, o quizás no quede más remedio que formatear el equipo. Si se trata de ransomware, el llamado es a nunca pagar el rescate a los secuestradores de información, ya que se fomenta una actividad ilícita y tampoco hay garantías de recuperar la información.
Si la infección es a un equipo de la organización a la que pertenezco, debo inmediatamente dar aviso a las personas encargadas de informática o ciberseguridad, ya que puede ser necesario trabajar sobre otros dispositivos para contener una potencial infección a todo el sistema de la empresa.
Para reportar, en el sitio del CSIRT de Gobierno (www.csirt.gob.cl) contamos con un formulario de registro de incidentes, y la Policía de Investigaciones posee una Brigada del Cibercrimen para perseguir delitos informáticos, que es posible contactar al fono 2 2708 0658 y al e-mail guardia@cibercrimen.cl. Finalmente, recomendamos cambiar claves y aplicar doble factor de verificación en todo sistema y aplicación que lo permita, de modo que cualquier clave que sea robada, requiera de validación con otro dispositivo o cuenta de correo, al acceder desde un dispositivo desconocido.
¿Qué relevancia tiene la concientización del usuario?
Es indispensable. Las organizaciones deben enfocarse no solo en las tecnologías de seguridad, sino también en la concientización periódica a sus trabajadores sobre los riesgos del phishing. Porque la clave de la solución no está en solo mitigar sus efectos tras una infección, sino en prevenir, de modo de no caer en engaños, en primer lugar.
Lo crucial es enseñar y reforzar entre los trabajadores el que no descarguen o abran archivos de fuentes que no les conste son seguras, y que ante cualquier correo que les parezca sospechoso, o que les exija con urgencia un pago o un rescate, alerten inmediatamente a los encargados de ciberseguridad de la organización o al equipo TI.
¿Cómo se proyecta el avance del phishing?
El phishing se aprovecha de la naturaleza humana (parte de las amenazas que se han denominado de “Ingeniería Social”), manipulándonos para que abramos o descarguemos algo malicioso. Por eso, no es que su esencia cambie en el tiempo. Lo que debemos tener presente es que los pretextos que usan los delincuentes para convencernos cambian con el tiempo, y se aprovechen de eventos específicos. Por ejemplo, no sería raro que aparezcan hoy día engaños con entradas o viajes para el mundial de Qatar, o a eventos y conciertos.
Por otra parte, el phishing se adapta a las plataformas de moda. Si bien mucho del phishing sigue teniendo lugar en el correo electrónico, debemos estar atentos a todas las plataformas: nos referimos a phishing por WhatsApp y por SMS, a los links maliciosos disfrazados de premios o beneficios; también se puede encontrar phishing en los comentarios de YouTube y Twitter, o puede surgir en conversaciones de Instagram.
¿Qué otras amenazas surgen como patrones de ataques?
Más que nuevas amenazas, debemos estar atentos a las nuevas tácticas que usarán los ciberdelincuentes para implementar viejos conocidos, como el phishing y el ransomware, los que seguirán en alza a medida que cada día una mayor proporción de la economía global (incluyendo el teletrabajo) y de la socialización de las personas ocurra en Internet.
Por ejemplo, se ha popularizado el secuestro de WhatsApp y el robo de cuentas en redes sociales, lo que muchas veces incorpora el phishing, al enviarle a la víctima un enlace en el que debe hacer clic.
Para estas acciones maliciosas también se ve hoy el uso combinado de distintos medios, por ejemplo, llamadas por WhatsApp al teléfono de la víctima por alguna encuesta y pedirle al final su código de verificación de WhatsApp, algo que como usuarios nunca debemos entregar a nadie.
