Por definición, phishing es un ataque de Ingeniería Social en donde el autor puede personificar a una entidad bancaria, empresa de cobranza, retailer, autoridad o incluso familiar de la víctima. Esto con el objetivo de obtener información confidencial para facilitar otro tipo de ataques. Estos ataques se aprovechan principalmente del factor humano para llamar la atención de la víctima, ya sea ofreciendo promociones falsas, paquetes postales pendientes, deudas impagas u otro tipo de mensaje disuasivo dirigido para que el usuario realice acciones inmediatas o a corto plazo.
Por ejemplo, las conocidas llamadas telefónicas denominadas como “el cuento del tío” son un tipo de phishing. Este tipo de ataque se conoce como “vishing” o “voice-phishing”. Su forma de operar consiste en la persuasión verbal de la víctima para que esta entregue claves de acceso, datos sensibles o incluso su información de residencia. Un caso muy adverso podría facilitar a los autores del phishing cometer delitos en el lugar físico de la víctima en base a la información entregada.
Similarmente, el “smishing” (phishing a través de SMS) es un tipo de phishing en donde el emisor imita ser una organización. Este tiene como finalidad engañar al usuario para que la víctima acceda a través del teléfono móvil al sitio malicioso contenido dentro del mensaje SMS. Usualmente, estos enlaces llevan al usuario hacia un sitio falso en donde se solicitan datos como contraseñas de acceso y números de tarjeta de pago.
Mayor poder de engaño y disuasión
El levantamiento de sitios phishing que simulan ser bancos o retailers es una actividad constante que no tendrá fin. A medida que las capacidades de ciberseguridad en general mejoran para prevenir e identificar este tipo de ataques, las técnicas utilizadas por ciberdelincuentes van adaptándose proporcionalmente, mejorando el poder de engaño y disuasión.
La principal causa de la mayoría de los casos de phishing se encuentra motivada financieramente por ciberatacantes y tiene como finalidad el robo de datos financieros de los usuarios, para luego cometer fraudes online. Hoy, la industria financiera despliega constantemente mensajes de advertencia hacia los usuarios acerca de este tipo de ataques y del correcto resguardo de contraseñas. A pesar de esto, los usuarios continúan siendo engañados con este ataque de Ingeniería Social.
Una de las recomendaciones que algunos expertos han compartido para evitar caer en estafas consiste en poner atención al ícono de candado situado en la barra de direcciones, acompañado de las siglas “HTTPS” en lugar de “HTTP”. Sin embargo, este consejo no es del todo correcto, ya que el uso de HTTPS en una página web, indica que la conexión hacia ese sitio es segura (o cifrada), pero no necesariamente que el sitio propiamente tal sea seguro o legal.
Muchos sitios fraudulentos hoy emplean conexiones seguras, incluso despliegan los mismos mensajes de advertencia del resguardo de información y contraseñas. Paradójicamente, solicitan los datos de sus víctimas para cometer fraude, redirigiendo finalmente al sitio oficial para evitar sospechas.
Nuevas técnicas
Una de las técnicas que se ha visto en aumento corresponde al levantamiento de dominios homográficos, cuya identificación y detección tiene mayor complejidad, ya que el dominio emplea caracteres especiales que visualmente son idénticos o similares al dominio original. Esto dificulta considerablemente la identificación por parte de un usuario, incluso de aquellos más experimentados.
A diferencia de un phishing tipográfico, cuya identificación por un usuario en general puede ser trivial, el homográfico toma ventaja de los caracteres de alfabetos griegos, cirílicos o latinos. Por ejemplo, un dominio “prueba.com” podría ser fácilmente suplantado por otro llamado “?rueba.com”. Notar que la diferencia mínima radica en el carácter “p”, que fue reemplazada por “?”, cuyos códigos punycode son distintos.
Típicamente, los sitios phishing levantados por ciberatacantes se aprovechan de la tipografía. Es decir, agregan caracteres especiales como “-” (mi-sitio.com), registran dominios bajo otros gTLD (misitio.xyz), enmascaran faltas ortográficas (misiti0.com), incluyen palabras claves (misitio-soporte.com) y anteponen “www” como parte del dominio (wwwmisitio.com), entre otros. Las opciones son técnicamente ilimitadas.
Es por eso que la detección oportuna y “takedown” de estos dominios resulta esencial para reducir la cantidad de fraudes que pueda sufrir una organización. Lamentablemente, levantar un nuevo sitio para un ciberdelincuente resulta trivial, mientras que el “takedown” de un dominio en ocasiones puede tardar días e incluso meses.
El impacto que tuvo el Covid-19 a nivel global obligó a la gran mayoría de usuarios a cambiar sus hábitos de compra, generando que el número de transacciones y compras en el comercio online se dispararan considerablemente. Este evento dio la oportunidad a ciberdelincuentes para aprovecharse de la situación y lanzar diversos sitios phishing.
Adicionalmente, el número de malware circulando a través de correos phishing se multiplicó no solamente dirigido a usuarios, sino que también a organizaciones, quienes adoptaron la nueva rutina del trabajo desde redes menos seguras (home-office). Esto causó un incremento en ataques de ransomware durante 2021 a nivel global, impactando a todos los sectores.
Resguardos v/s esfuerzos de los ciberatacantes
Se ha discutido ampliamente que el factor humano es el eslabón más débil y corresponde (generalmente) a la puerta principal para infectar a una organización. Como se mencionó anteriormente, los ciberdelincuentes se aprovechan de mensajes disuasivos con la finalidad de engañar con mayor facilidad a sus víctimas.
Es por esto que eventos de gran connotación global son material utilizado a favor por los actores de amenaza para lanzar campañas de phishing y así aumentar la tasa de infección a través de documentos maliciosos. Se ha observado anteriormente que sucesos como el Covid-19, conflicto ruso-ucraniano y campañas políticas electorales han sido material para la distribución de correos phishing. Se prevé que para la Copa Mundial Fifa 2022, circulen documentos maliciosos con esa temática para infectar con malware a usuarios y organizaciones.
Finalmente, así como los resguardos y concientización van aumentando, lo hacen también los esfuerzos de ciberatacantes para la ejecución de técnicas de phishing. Otros ataques como spearphishing (phishing dirigido a organizaciones específicas), BEC (Business E-mail Compromise) y/o Whaling (phishing dirigido a altos ejecutivos) podrían tener mayores consecuencias.
Ataques como el “secuestro de WhatsApp” son técnicamente de baja complejidad, pero de un alto impacto, cuyo efecto a nivel financiero o reputacional puede verse altamente afectado. Es por eso que la necesidad de estar constantemente informados de los riesgos actuales en Internet es un factor que puede marcar la diferencia. El resguardo de la información privada y confidencial, uso de MFA (Autenticación Multi-Factor) y empleo de contraseñas complejas son aspectos mínimos que organizaciones y usuarios deben adoptar para prevenir la suplantación de identidad, fraude y robo de información.
