En un entorno cada vez más digitalizado, bien sea por trabajo o por ocio, el incremento de la actividad online también ha dado como resultado un aumento de delitos cibernéticos. Desde 2020, y motivados por la pandemia, el aumento del comercio electrónico y la guerra en Ucrania; los delincuentes se amparan en la velocidad, el anonimato y la conveniencia de internet para atacar de forma selectiva pero con poco esfuerzo.

El que más éxito tiene de todos ellos es el phishing. Se trata de una suplantación de la identidad cuando los atacantes intentan engañar a los usuarios para que hagan algo incorrecto, como clicar en un enlace falso que descargará malware o los dirigirá a un sitio web poco fiable. Olivia Trilles, directora de Investigación Tecnológica y Análisis de AuraQuantic, nos da las claves para combatirlo.

El phishing continúa siendo la forma más común  de cibeartaque debido a su simplicidad, efectividad y alto retorno de la inversión. Y ha ido evolucionando y perfeccionándose con el paso del tiempo. Si bien el correo electrónico era, en un comienzo, la forma en la que se perpetraban estos ciberataques, según el informe «Brand Phishing Report», las redes sociales se han vuelto el ecosistema más propicio para que los atacantes decidan emprender su estrategia de phishing.

Este informe destaca que entre enero y marzo de 2022, Linkedin fue, en el 52% de las veces, el principal objetivo de estas campañas fraudulentas. Y este estudio revela además que los ataques aumentaron un 44% respecto al último trimestre de 2021. Tras esta red social, le siguen DHL con el 14%, Google con el 7%, Microsoft y FedEx con el 6%, WhatsApp con el 4% y Amazon con el 2%.

El objetivo principal del phishing es robar información confidencial y credenciales de acceso a cuentas. Para engañar a su víctimas suelen suplantar la identidad de empresas y organizaciones reconocidas, sobre todo aquellas de las que pretenden robar la información. La estructura de los ciberataques es un cuerpo de mensaje con un enlace que lleva a una página web fraudulenta y que, por lo general, tiene la misma estética que la página web legítima a la que intenta suplantar ( web spoofing).

Incluso, para ofrecer más veracidad al fraude, la web fraudulenta suele utilizar un nombre de dominio similar al legítimo, ya que el objetivo es que las potenciales víctimas caigan en el engaño. Una vez la víctima del ataque ha facilitado toda la información que los ciberdelincuentes le solicitan son dirigidos a la web de la empresa suplantada para que el fraude pase el mayor tiempo desapercibido, hasta que la víctima se da cuenta y denuncia el hecho.

Por ello, identificar este tipo de mensajes y entrenar el factor humano para reconocerlos se convierten en elementos clave para luchar contra el phishing.

Las cuestiones que hemos de mirar con lupa son el análisis del remitente, la sensación de urgencia, los enlaces falseados, las comunicaciones impersonales o los errores ortográficos y gramaticales.

Los correos o mensajes de tipo phishing contienen remitentes que no coinciden con la organización a la que supuestamente representan. Y este es el primer indicador que nos debe hacer pensar. Otras veces utilizan la técnica del email spoofing que consiste en falsear el remitente y dar a entender que procede de una fuente legítima.

Otro de los aspectos que nos deben chocar es la sensación de urgencia. Generalmente sucede una consecuencia, a no ser que la persona acceda a una página web fraudulenta e introduzca información confidencial que suelen ser cancelación del servicio, cuenta, multa o sanciones.

Los enlaces falseados son otra de las cuestiones a tener en cuenta. Este tipo de mensajes incluyen un enlace. Para comprobar que no se trata de la web legítima se puede situar el ratón encima y ver en el cuadro de diálogo la web a la que lleva sin tener que ciclar en él.

Otra de las cuestiones a tener en cuenta es que este tipo de mensajes no identifican a la personas. Es decir se trata de comunicaciones impersonales. Mientras que en contra, las entidades legítimas se refieren a su destinatario utilizando el nombre y sus apellidos. Los ciberdelincuentes no conocen estos datos por lo que las comunicaciones son impersonales.

También hay que señalar que los errores ortográficos y gramaticales deben ser otra pista para hacernos dudar de su autenticidad. Una auténtica comunicación de cualquier entidad cuida mucho estos detalles.

Por ello, uno de los elementos más importantes para detectar el phishing es la propia plantilla de las compañías puesto que son ellos los que gestionan las herramientas de las empresas. Y en este sentido, es fundamental que cuenten con el conocimiento y las herramientas necesarias para identificar este tipo de fraudes y no caer en estas trampas.

En este sentido una de las mejores formas para aprender a identificar los ciberataques es el entrenamiento de la plantilla mediante formación explicita para este objetivo que no compromete información confidencial.

Y tras el factor humano, cobra vital importancia contar con compañías de software expertas y especializadas en la materia. En AuraQuantic hemos desarrollado Contextual Encryption, un nuevo módulo que se basa en el uso de recintos seguros y campos encriptados a nivel de base de datos y de interfaz. Recientemente hemos obtenido el Certificado de Conformidad con el Esquema Nacional de Seguridad (ENS). Así como el Informe Ciberseguridad Caja Negra, centrado en la parte de la aplicación pre-autenticación y el Informe Ciberseguridad Caja Blanca, que evalúa la seguridad de los sistemas y redes de la organización simulando ataques y que analiza las posibles vulnerabilidades y facilidad de explotación.

En algún momento, cualquier organización puede experimentar un incidente relacionado con la ciberseguridad. Lo importante es saber detectarlo de forma rápida, responder a ellos de manera planificada y denunciar este tipo de acciones para evitar y prevenir que otras personas o compañías sean víctimas de ellos.

Y es que, si bien la perfección está fuera del alcance del ser humano o de cualquier organización, debemos intentar morar en su cercanía.