Saltar al contenido

Qué es phishing

Qué es phishing

¿Alguna vez has escuchado hablar sobre qué es phishing? Si te gusta la informática y la cibernética, de seguro ya estarás familiarizado con el término phishing. En el mundo del internet este concepto se asocia con uno de los métodos más utilizados por delincuentes cibernautas para estafar y obtener información confidencial.

En este artículo trataremos el tema a mayor profundidad para que sepas mejor de lo que hablamos, bien sea la primera vez que oigas hablar del phishing, o ya tengas una noción básica de lo que es.

Significado de phishing

Para conceptualizar, comenzaré diciendo que el Phishing consiste en un método utilizado por ciberdelincuentes para poder engañar a personas y que de esta manera revelen información personal, las cuales puedan ser utilizadas por el estafador para un beneficio económico.

El término phishing en inglés proviene de la palabra “fishing”, lo que significa pescar. Esta palabra hace alusión a que las personas que se intentan estafar muerdan el anzuelo, haciendo de esta manera que otorguen sus datos confidenciales de cuentas importantes.

La persona que practica el phishing se le llama phisher, lo que se puede traducir como pescador. A su vez, se puede decir también que phishing es la contracción de la oración “password harvesting fishing” lo que se traduce como cosecha o pesca de contraseñas.

Se considera que posiblemente esto es un acrónimo retroactivo, puesto que la escritura de «ph» es una sustitución muy común de la letra « que se suele ver entre los hackers, un ejemplo de esto puede ser la forma de hacking telefónico llamada phreaking.

La historia del término data desde enero de 1996, la primera vez que se acuñó el mismo. Este fue utilizado en un grupo de noticias de hackers, llamado alt 2600. Este término fue adoptado por aquellas personas que intentaban pescar cuentas de miembros de AOL, una compañía norteamericana de servicios de internet y medios.

El phishing se comenzó durante los años 90, en AOL, donde diferentes estafadores obtenían cuentas por medio de la estafa cibernética para poder obtener servicios de esta compañía, a través de números de tarjetas de créditos válidos, los cuales se creaban utilizando algoritmos.

AOL hizo lo posible para reforzar la seguridad de su sistema, pero los crackers recurrieron al phishing para obtener cuentas legítimas de AOL y no tener necesidad de utilizar los algoritmos.

Técnicas de phishing

Qué es phishingEl phishing básicamente consiste en intentar conseguir detalles confidenciales, como lo pueden ser datos personales de un usuario, contraseñas de tarjetas de créditos, información bancaria, claves de servicios de pagos en línea, etc.

El estafador, también conocido como phisher, utiliza técnicas de phishing ingeniería social para poder hacerse pasar por una empresa o persona de confianza por medio de un supuesto mensaje de comunicación oficial electrónica.

¿Qué tipo de información roban?

  • Datos personales: Dirección de correo; número de documento de identidad; datos de localización y contacto.
  • Información financiera: Números de tarjetas de crédito; números de cuentas; información de eCommerce o Home Baking.
  • Credenciales de acceso: Redes sociales; cuentas de correo, etc.

¿Qué medios utilizan para estafar?

El phisher utiliza diferentes métodos para obtener tu información confidencial, puede llegar a valerse de un correo electrónico, sistemas de mensajería instantánea, redes sociales, mensajes de texto, utilizar malwares, spywares y hasta por medio de llamadas telefónicas.

A continuación una lista de técnicas de phishing:

  • Mensajes de texto haciéndose pasar por una persona de confianza o por una institución oficial para pedirte tus datos personales.
  • Llamadas telefónicas
  • Ventanas emergentes
  • Webs que simulan una entidad
  • Recepción de correo electrónico simulando ser de un sitio web reconocido y de confianza al usuario como entidades bancarias, servidor electrónico, e incluso por parte de administradores de redes sociales.

Los mensajes recibidos pueden llegar a parecer reales y de confianza, y por lo tanto mucha gente cae en ellos, creyendo que les están otorgando su información a sitios seguros y legítimos.

Las consecuencias pueden llegar a perjudicarte económicamente, así como de manera personal, ya que pueden llegar a enviar correos malintencionados a tu nombre, afectando de esta manera tu reputación.

Diseño de mail o sitio falso (Phishing tradicional)

          Normalmente el phishing está asociado a la capacidad de duplicar una página web, para hacerle creer a quien la visita que se encuentra en el sitio web original, asimismo, también hacen con los correos.

           Uno de los métodos más utilizados por los phishers para obtener datos personales de otras personas, es la recepción de correos electrónicos. Para esto se debe diseñar un mail que sea similar al de la organización por la cual se quiere hacer pasar el phisher.

            Hay muchos métodos para lograr crear dominios sumamente similares al de las webs reconocidas que usa todo el mundo, un ejemplo de estos pueden ser las direcciones de internet que estén mal escritas o la utilización de un subdominio dentro de la dirección.

Un ejemplo de esto puede ser: http://wwwfacebook.com.webdelphisher.com/

 Otra manera de hacerlo es camuflar el enlace del sitio utilizando el carácter @, como por ejemplo: http://twitter.com@webdelphisher.com/. De esta manera, una persona descuidada podría pensar que está accediendo a la web oficial, cuando en realidad está entrando a la web del phisher y cediendo su información persona.

También está el método referente a los nombres de dominio internacinacionalizados (IDN), haciendo parecer que ambos son idénticos cuando en realidad son distintos. Ejemplo: ejemplo: www.dominio.com y www.dọminiọ.com.

Puedes pensar que ambas direcciones son iguales, pero en realidad en la segunda se ha sustituido la letra “o” por la letra griega ómicron “ọ”, haciendo parecer que estás en el dominio oficial.

Phishing redirector

          Este método es normalmente utilizado en campañas masivas, y aunque tienen un bajo porcentaje de víctimas, por el hecho de que se realiza en masa, este porcentaje es una gran cantidad de personas afectadas.

            A diferencia del phishing tradicional, este cuenta con un mayor nivel de dificultad al anterior, puesto que se utiliza dos sitios o más para llevar a cabo el ataque. Se utiliza la redirección para reflejar un sitio almacenado en determinado servidor, desde otro servidor.

            Sólo podrás ver dicho servidor mediante el estudio del código de fuente. Por medio de estos, los delincuentes ganan tiempo de obtener tus datos confidenciales en el tiempo que le toma a tu equipo detectar y eliminar el contenido de sitios fraudulentos.

Existen varias maneras de realizar este tipo de phishing, las más conocidas son:

  • Acortadores de URL’s
  • Inyección de Iframes
  • Explotación técnica ligada a los marcos de código HTML

Spear phishing

          A diferencia de los anteriores, este tipo de phishing se encuentra dirigido a grupos más reducidos, por lo tanto este tipo de ataques están más personificados, y por lo tanto consiguen un mayor porcentaje de víctimas a la hora de efectuar el atentado.

            Están apuntados a perfiles determinados, como empleados de empresas, administradores de sitios, etc. No buscan masividad, si no afectar a personas específicas, y por lo tanto pocas veces afectan entidades bancarias o redes sociales.

            En ese sentido, las víctimas que buscan atacar, reciben correos personificados con su nombre y apellido e incluso datos personales de la persona para hacerles creer que hay mayor confianza y empatía entre el sitio y la persona atacada.

            Se debe considerar  que los ciberdelincuentes buscarán el eslabón más débil del sistema para adentrarse al mismo, por lo tanto, no atacarán a los cargos principales inicialmente, sino a alguien con menor conocimiento técnico de informática, que sea más fácil de engañar.

            Para realizar este tipo de phishing, se debe llevar a cabo un estudio previo de las víctimas, y emplear una metodología de la mano con ingeniería social para poder lograr los resultados deseados.

            Hacerlo correctamente da como resultado una técnica solida con la cual se puede comprometer credenciales e incluso el sistema mismo de una red corporativa. En ese sentido, es importante llevar a cabo en las empresas programas de concienciación y capacitación, para poder evitar este tipo de problemáticas relacionadas con la seguridad de la información.

Smishing (SMS)

          Para este tipo de estafa cibernética, se utiliza canales digitales como los teléfonos celulares. De igual manera como en los casos anteriores, el phisher se hace pasar por entidades conocidas las cuales envían mensajes de textos a la víctima.

            Normalmente estos mensajes alertan al atacado que se ha ganado un premio, y adjuntan un link el cual puede contener malware que robe tu información. Otras veces piden códigos o números personales para validar los falsos premios.

            Por medio de la ingeniería social que utilizan los smisher, pueden llegar a provocar que la víctima haga 3 cosas:

  1. Hacer clic en un hipervínculo
  2. Llamar a un número telefónico
  3. Responder un mensaje de texto

De esta manera logra el objetivo de la operación, el cual es obtener un beneficio económico. Hay casos en las que se reciben mensajes de felicitaciones por haber ganado un premio y a continuación se piden datos personales e incluso se creaban centros de atención telefónica totalmente falsos para engañar a las personas.

Las víctimas de comunicaban con dicho centro, y estos de una manera muy profesional engañaban a las mismas pidiéndoles sus datos personales, cuentas bancarias, e incluso sus números de tarjetas de crédito.

El smishing no sólo se ve a través de mensajes de texto, también está la variante en donde se utilizan aplicaciones de mensajería instantánea como WhatsApp o Telegram, y esto es aún más peligroso, puesto que no se cobra envío de mensaje, y sólo basta con estar conectados a internet para que la amenaza se propague e manera rápida, y de una manera aún más económica para el delincuente.

Vishing

            Por medio de centros de atención telefónica falsos se realizan llamadas con el objetivo de engañar a las personas para realizar fraudes, y esto es lo que comúnmente se denomina vishing.

            Normalmente viene ligado con otro tipo de ataque como los  que te mencionamos anteriormente, con el objetivo de que ambos se complementen para que de tal manera se logre generar mayor credibilidad en el engaño, y de esta manera estafar a la víctima de una forma mucho más eficaz y fácil.

           

¿Cómo hacer phishing?

Qué es phishingYa que estamos aprendiendo todo sobre qué es Phishing, vamos a ver cómo hacer phishing; en realidad se necesita un circuito de ataque previamente planeado, del mismo modo, se necesita tener un conocimiento avanzado de ingeniería social e informática, e idear un plan para llevar a cabo la estafa cibernética. El circuito de ataque es el siguiente:

  1. Falsificación de un ente de confianza: Como te decíamos anteriormente, esto se puede hacer haciéndose pasar por una persona de confianza, o creando links similares a los de sitios webs reconocidos.
  2. Envío de mensajes por algún medio de propagación: Esto puede ser por mensajes de texto, mensajería instantánea, mails o redes sociales.
  3. Acceso del usuario a la web falsa: Un porcentaje de aquellos que reciben el mensaje, piensan que es verídico, y por lo tanto hacen clic, llevándolos de esta manera a la web del phisher.
  4. Obtención de datos personales: Una vez los usuarios hayan accedido a la web, se les pide sus datos personales, y aquellas personas incautas dan estos detalles confidenciales al phisher, el cual los utiliza para su beneficio.

Consecuencias de caer en el phishing

  • Robo de dinero de tus cuentas bancarias
  • Uso indebido de tu tarjeta de crédito
  • Venta de tus datos personales
  • Suplantación de tu identidad
  • Envío de publicidad desde tu cuenta
  • Pérdida de acceso a tus cuentas y correo electrónico

Cada vez se hace más común en la población el robo de identidad debido a las personas incautas que dan su información personal por medio de la web, generando de esta manera que sus credenciales se pongan en riesgo.

Una vez que estos datos son adquiridos por los phishers, pueden utilizarlos para crear cuentas falsas a nombre de la víctima, gastar su dinero, e impedirles el acceso a sus propias cuentas.

¿Cómo puede prevenir los ataques de phishing?

Cómo pudiste leer, hay muchas maneras de caer en el phishing, y por lo tanto es primordial actualizar las claves constantemente, no obstante, esto no es suficiente, es por eso que te enseñaré además algunas técnicas para protegerte de los ataques de phishing a continuación:

·         Aprende a reconocer los correos electrónicos sospechosos: Arriba te mostramos algunos ejemplos de cómo podrían llegar a lucir.

Existen algunos detalles que pueden llegar ayudarte a reconocer un correo o sitio web falso, y el darte cuenta de que lo son podría ahorrarte muchos problemas. Algunos de estos aspectos son:

  • Utilizar un remitente con el nombre de la empresa o el nombre de un empleado real de la empresa
  • Utilizan webs visualmente similares a los sitios originales
  • Tratan de engañarte mediante ganchos como regalos, premios o pérdidas de la propia cuenta existente.

·         Verifica siempre la fuente de información de los correos que recibas: Ten en cuenta que tu banco nunca te pediría que envías tus datos personales o claves por medio de un correo, por lo tanto debes evitar responder este tipo de preguntas, y en el caso de tener dudas al respecto, llama directamente a la institución oficial para aclarar la cuestión.

·         No utilices links incluidos en correos electrónicos para acceder a sitios webs bancarios: Al hacer clic en hipervínculos o enlaces adjuntados a correos a nombre de tu banco, puedes estar siendo redirigido a  webs fraudulentas.

Si deseas acceder a la web de tu banco, hazlo directamente desde tu navegador.

·         Busca reforzar la seguridad de tu ordenador: Utiliza un buen antivirus para evitar este tipo de ataques, asimismo, mantén tu navegador y sistema operativo actualizados, ya que esto es tan importante como ser prudentes y utilizar el sentido común para evitar los casos se phishing.

·         Introduce tus datos confidenciales sólo en webs seguras: Recuerda que este tipo de webs deben comenzar siempre por ‘https://’ y debe aparecer un ícono de un pequeño candado cerrado en tu navegador.

·         Revisa y actualiza periódicamente tus cuentas: No está demás revisar tus cuentas de vez en cuando para estar al tanto de lo que sucede con ellas. Si detectas algún movimiento extraño deberías actualizar tus contraseñas para evitar que vaya más allá.

·         Recuerda que el phishing va más allá de la banca: Si bien la mayoría de estos ataques van dirigidos a entidades bancarias, pueden utilizar cualquier web, ejemplo de estos puede ser Amazon, eBay, Facebook, PayPal, etc.

·         Está al tanto sobre la evolución del malware: Mantente al tanto sobre los últimos ataques de malware para evitar cualquier peligro en la red.

Es muy importante que utilices el sentido común y estés muy pendiente de todo aquello que llega a tu correo y lo que respondes. Evita dar tu información confidencial a través de estos medios, al menos que sea sumamente necesario y estés seguro de que la envías a un sitio de confianza.

Casos reales de Phishing en el 2017

  1. Correo apócrifo de Santander

Se trató de un correo falso de Santander el cual informaba a los usuarios que su código de fuente había sido bloqueado de manera temporal, y se les pedía ingresar a una liga para reactivarlo.

De esta manera, las víctimas se dirigían a sitios falsos donde le solicitaban datos personales como su nombre, domicilio, contraseñas, número de identificación personal, números de cuentas, de tarjetas, etc.

  1. Préstamos falsos de Autofinanciamiento Intégrate

Consistía en una alerta dirigida a la población en general, la cual se emitió por empresas que buscaban aprovecharse de la necesidad de créditos de algunas personas. La Condusef ubicada en Ciudad Juárez, Chihuahua, recibió reclamos de parte de los usuarios los cuales se vieron afectados luego de solicitar un crédito de auto por medio de la institución de Autofinanciamiento Intégrate S.A de C.V.

Tal empresa se hacía pasar por SOFOM ENR, cuando en realidad no lo era. La misma no pedía requisitos ni aval para darles el crédito a quienes lo pidiesen, sino más bien pagos por adelantado con la razón de que esto funcionara como una garantía recíproca de un seguro.

De esta manera utilizaron el argumento a los usuarios sobre que el compromiso de devolución de recursos económicos no se completaría a menos de que se concretara la transferencia del pago adelantado.

Al final resultó que luego de que la gente realizó sus depósitos correspondientes para solicitar su préstamo mediante una transferencia electrónica a una cuenta bancaria, los usuarios no recibieron nunca el crédito prometido, y de la misma manera, perdieron el dinero que habían depositado.

  1. Caso de Vishing contra clientes de BBVA Bancomer

Este fue uno de los casos de phishing más sonados de los últimos tiempos. Se realizó una alerta a los usuarios de los servicios financieros de BBVA Bancomer sobre el nuevo caso de vishing a nombre de la institución.

Posteriormente en julio de 2017, se realizó otra alerta en la que se involucraba nuevamente a la misma institución.

Se trata de un supuesto empleado de la empresa, el cual llama al usuario para preguntarle si cuenta con el número de folio de un supuesto reembolso autorizado por un servicio que no contrató.

La persona convencida de que no compró este servicio, responde que no, y la supuesta operadora argumenta que para llevar a cabo la cancelación de dicha compra, es necesaria  la numeración de su tarjeta y su vigencia, para que por medio de un sistema de seguridad, la operadora le otorgue los primeros 6 dígitos de la tarjeta, de manera tal que si son correctos el usuario debe proporcionar el resto.

A continuación la operadora otorga los primeros 4 números de la tarjeta que aparecen en la parte de atrás, y si estos son correctos el usuario le debe mencionar los siguientes tres para continuar abriendo el sistema y seguir con el trámite para cancelar la compra.

De esta forma se iba obteniendo poco a poco los datos confidenciales del usuario, hasta que se culminaba la supuesta cancelación de la compra que el mismo nunca realizó.

            Recuerda siempre mantener buenos hábitos de seguridad de datos personales para evitar este tipo de casos. Esperamos que por medio de este artículo hayas aprendido sobre qué es phishing, y que gracias a este puedas defenderte y prevenir el mismo.