Conoce uno de los ataques más replicados en la Red. El phishing y sus variantes: smishing y vishing

Fecha de publicación 18/04/2023

Autor

INCIBE (INCIBE)

El desarrollo de la digitalización ha supuesto un auge de la ciberdelincuencia. A la vez que se han ido desarrollando las nuevas tecnologías, los ciberdelincuentes han ido puliendo sus técnicas, consolidando métodos de ataque cada vez más sofisticados.

Aun así, a veces, sofisticado no es sinónimo de (técnicamente) complejo. Los tipos de ataque que se exponen en este artículo pueden ser aparentemente sencillos de desarrollar (la clave es que cuenten con un buen diseño gráfico), pero cumplen con creces su objetivo.

Este tipo de ciberataques, normalmente, no son dirigidos, sino que están destinados a conseguir las credenciales de la mayor cantidad posible de víctimas. Con ello, se logrará el acceso a sus cuentas de correo electrónico, redes sociales, datos bancarios, etc. Nos referimos, en concreto, a ataques como el phishing, smishing y vishing.

¿Qué es el phishing?

El phishing es una técnica de ingeniería social, es decir, requiere de argucias para obtener información personal manipulando y engañando a usuarios. Estas artimañas consisten, en el caso del phishing, en envíos de correos electrónicos los cuales aparentan proceder de una compañía u organismo público legítimo, que solicitan información sensible al destinatario.

Por información sensible, se entienden datos personales, como nombre y apellidos, DNI, fecha de nacimiento, cuentas bancarias, credenciales de acceso…. Así pues, la consecución de los datos mencionados supondrá para el ciberdelincuente una vía de acceso a la identidad de su víctima.

Normalmente, a través de los correos electrónicos, que parecen provenir de una fuente confiable, los ciberdelincuentes incitan al destinatario a hacer clic en un enlace o descargar un archivo adjunto, que redirige al usuario a una página web maliciosa. En dicha web fraudulenta, que está diseñada para parecerse mucho a la original, se solicita a la víctima que introduzca sus credenciales (usuario, contraseña, datos bancarios…). De hacerlo, los datos quedarán en manos de los ciberdelincuentes, que los utilizarán para acceder a sus cuentas bancarias, redes sociales, correo electrónico, etc., y realizar acciones maliciosas, como el fraude, la suplantación de identidad o incluso, la venta de información sustraída a terceros-. Estas páginas web suelen alojarse en servidores fuera de la Unión Europea, los cuales se encuentran en países con poca legislación en cuanto a ciberdelitos, utilizando así la menor información posible para evitar ser identificado.

En caso de que el correo electrónico contenga un archivo malicioso, no sería necesaria la interacción de la víctima para que introduzca sus datos. Simplemente, al conseguir que haga clic en el enlace corrupto o descargue algún documento infectado, este descargará un software malicioso en el equipo de la víctima.

El software descargado puede ser de diferentes tipos, dependiendo de la finalidad del ataque. Podría tratarse de un keylogger, que monitorice las pulsaciones del teclado de la víctima; un troyano, para hacer equipos zombis; un ransomware para exigir un rescate por los datos secuestrados…

A continuación, veremos un ejemplo real de una campaña de phishing que suplanta a una entidad pública. El correo electrónico tiene como asunto «Aviso de notificación de XXX». En el cuerpo del mensaje se advierte al usuario de que tiene una notificación y se le incita a pulsar en un enlace, que resulta ser malicioso.

En caso de acceder al enlace, se redirige al usuario a una página web, muy similar a la legítima, donde se le solicita ingresar su correo electrónico y contraseña. Cabe destacar que el proceso de autenticación de la sede electrónica de la Agencia Tributaria es a través del DNI electrónico, @Clave o certificado digital, el hecho de que se solicite el correo electrónico ya debería alertar al usuario.

En caso de ingresar los datos y pulsar en «Entrar», estos quedarían en manos de los ciberdelincuentes.

El phishing y sus variantes

El uso de ataques de tipo phishing se ha extendido de forma que han ido surgiendo diferentes maneras de cometer este fraude. Entre las variantes más importantes están el smishing y el vishing, técnicas basadas en la ingeniería social que explicamos a continuación.

¿Qué es el smishing?

El smishing es una variante del phishing que se centra en el uso de los mensajes de texto (SMS), para la obtención de la información a través del engaño. El término proviene de la combinación de las palabras «SMS» y «phishing».

Los mensajes enviados por los ciberdelincuentes intentan parecer legítimos, y suelen imitar a los mensajes de texto de bancos, aplicaciones u otros proveedores de servicios.

En los mensajes, se suele incitar al destinatario a hacer clic en un enlace con la excusa de verificar su identidad, actualizar su contraseña, hacer el seguimiento de un paquete o activar alguna nueva versión de la aplicación a la que tratan de suplantar.

El siguiente ejemplo es un caso real de smishing en el que se intenta suplantar a una entidad bancaria. En ocasiones, los mensajes fraudulentos recibidos se hacen pasar por una entidad bancaria de la que el usuario ni siquiera es cliente. En este caso, sería fácil reconocer el engaño, pero, en caso de coincidir la entidad con la real del usuario, puede llevar a la víctima a «morder el anzuelo».

El enlace, como en el caso del phishing, normalmente, redirige a la víctima a una página web falsa que parece legítima. También, puede descargar software malicioso en su dispositivo.

Para hacer aún más creíble el engaño, los ciberdelincuentes pueden buscar información, por ejemplo, en redes sociales para personalizar los mensajes. Asimismo, utilizan técnicas de spoofing, pudiendo suplantar la identidad del remitente para que parezca provenir de una fuente legítima. Incluso, consiguen enviar los mensajes fraudulentos en un hilo de mensajes reales (por ejemplo, de una entidad financiera), haciendo aún más difícil identificar la estafa.

¿Qué es el vishing?

El término vishing nace de la combinación de «voice», voz, y «phishing» y, como su propio nombre indica, es una técnica de ingeniería social que emplea las llamadas telefónicas para, como en los casos anteriores, obtener información de la víctima mediante el engaño.

En este caso, los ciberdelincuentes utilizan sus «armas» de engaño para convencer a la víctima de que la llamada proviene de una empresa legítima. Suelen hacerse pasar por representantes de compañías telefónicas, entidades bancarias, agencias gubernamentales, etc., con el fin de convencer a la víctima de revelar información personal y/o financiera.

Los ciberdelincuentes suplantan la identidad de las empresas, e incluso a veces el número que aparece al recibir la llamada es igual que el original.

En el caso de las pymes, los ciberdelincuentes usan esta técnica haciéndose pasar por un proveedor, un cliente o incluso alguien interno de la empresa. En el caso de fingir ser un empleado interno, el ciberdelincuente suele optar por alguien del Departamento Tecnológico, en quien la víctima suele confiar para proporcionarle cualquier tipo de información, incluso credenciales.

¿Cómo pueden afectar este tipo de ataques a la seguridad de las empresas?

Ser víctima de los ataques que hemos presentado, en cualquier versión de ellos, puede acarrear graves consecuencias para las empresas afectadas. Más aún, cuando nos referimos a los empleados que utilizan sus dispositivos personales para el trabajo (BYOD).

En primer lugar, el robo de las credenciales puede dar vía libre a los ciberdelincuentes para acceder a los servicios donde se están utilizando esas credenciales. Una vez dentro, podrán acceder a la información que se maneje en esos servicios, pudiendo derivar en la pérdida de información, ya sean datos confidenciales de la empresa o de los clientes.

Contraseñas, información bancaria, números de la seguridad social, etc., la información es, en cualquier caso, uno de los activos más importantes para las empresas, y el phishing podría ser la vía de entrada de los ciberdelincuentes para conseguirla. Además de esto, esta pérdida de datos a consecuencia del ataque, puede suponer un gran impacto reputacional, haciendo perder la confianza de los clientes y proveedores, haciéndoles buscar otras alternativas. Sin olvidar las repercusiones legales que la pérdida de datos pueda implicar, como demandas, multas y responsabilidades legales.

Por todos estos motivos, es importante que las empresas y sus empleados sean conscientes de las consecuencias y sigan una serie de buenas prácticas y recomendaciones para evitar ser «pescados».

Recomendaciones para una empresa

Los tres ataques que hemos visto en este blog son delitos que emplean la ingeniería social, por lo que es necesaria la interacción del usuario. Así que, especialmente en este caso, es esencial centrarse en el eslabón más importante de cualquier empresa: los empleados.

Para evitar este tipo de ataques, se recomienda a las empresas tomar las siguientes medidas:

Formación para el personal acerca de estos y otros ataques. Todos los empleados de la empresa deben estar concienciados sobre la importancia de la ciberseguridad y conocer algunas pautas básicas sobre cómo reconocer los ataques de phishing, smishing y vishing. Algunas de ellas son:
- Se recomienda que nunca se acceda a los enlaces facilitados, ya que muchas compañías se han comprometido a no mandar enlaces a través de SMS o correos electrónicos.
- Las compañías, como entidades bancarias, públicas, etc., nunca solicitarán las credenciales vía correo electrónico, SMS o llamada telefónica. Así que, si los piden, se recomienda desconfiar y contrastar la información con la fuente original a través de los canales oficiales.
- Prestar especial atención a la ortografía y gramática del mensaje. En la mayoría de los casos, estos mensajes se traducen, y suelen tener fallos que una empresa fiable no incluiría en sus comunicaciones.
- Revisar el enlace antes de acceder. Un enlace legítimo será fácilmente reconocible, además comenzará con https. Si el enlace resulta sospechoso, probablemente se trate de una página web maliciosa.
- Avisar al resto de compañeros si se detecta un correo, mensaje o llamada fraudulentos.
- En caso de duda, es mejor no hacer clic y reportarlo al equipo encargado de la seguridad de la empresa.
Establecer reglas en los dispositivos móviles que filtren mensajes o llamadas de números que no estén en la agenda.
Instaurar una política de contraseñas, que incluya el uso de contraseñas seguras y la obligación de modificarlas regularmente.
Utilizar un doble factor de autenticación siempre que sea posible. De este modo, aunque los ciberdelincuentes se hagan con la contraseña, no podrán acceder a la cuenta de la víctima.
Mantener siempre los sistemas actualizados a la última versión.
Realizar copias de seguridad periódicas para asegurar la recuperación de los datos en caso de pérdida debido a un ataque.
Reportar a INCIBE este u otros incidentes similares para obtener ayuda con el procedimiento a seguir y evitar que el fraude se propague.

Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o del formulario de contacto para empresas, que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).

Etiquetas