El INCIBE advierte sobre el phishing y sus variantes: smishing y vishing
Tecnología
Typography
0
0
0
s2sdefault

 

El desarrollo de la digitalización ha supuesto un auge de la ciberdelincuencia. A la vez que se han ido desarrollando las nuevas tecnologías, los ciberdelincuentes han ido puliendo sus técnicas, consolidando métodos de ataque cada vez más sofisticados. El Instituto Nacional de Ciberseguridad (INCIBE) explica en qué consisten estas útlimas técnicas y sus variantes.

Este tipo de ciberataques, normalmente, no son dirigidos, sino que están destinados a conseguir las credenciales de la mayor cantidad posible de víctimas. Con ello, se logrará el acceso a sus cuentas de correo electrónico, redes sociales, datos bancarios, etc. Nos referimos, en concreto, a ataques como el phishing, smishing y vishing.

¿Qué es el phishing?

El phishing es una técnica de ingeniería social, es decir, requiere de argucias para obtener información personal manipulando y engañando a usuarios. Estas artimañas consisten, en el caso del phishing, en envíos de correos electrónicos los cuales aparentan proceder de una compañía u organismo público legítimo, que solicitan información sensible al destinatario.

Por información sensible, se entienden datos personales, como nombre y apellidos, DNI, fecha de nacimiento, cuentas bancarias, credenciales de acceso…. Así pues, la consecución de los datos mencionados supondrá para el ciberdelincuente una vía de acceso a la identidad de su víctima.

Normalmente, a través de los correos electrónicos, que parecen provenir de una fuente confiable, los ciberdelincuentes incitan al destinatario a hacer clic en un enlace o descargar un archivo adjunto, que redirige al usuario a una página web maliciosa. En dicha web fraudulenta, que está diseñada para parecerse mucho a la original, se solicita a la víctima que introduzca sus credenciales (usuario, contraseña, datos bancarios…). De hacerlo, los datos quedarán en manos de los ciberdelincuentes, que los utilizarán para acceder a sus cuentas bancarias, redes sociales, correo electrónico, etc., y realizar acciones maliciosas, como el fraude, la suplantación de identidad o incluso, la venta de información sustraída a terceros-. Estas páginas web suelen alojarse en servidores fuera de la Unión Europea, los cuales se encuentran en países con poca legislación en cuanto a ciberdelitos, utilizando así la menor información posible para evitar ser identificado.

En caso de que el correo electrónico contenga un archivo malicioso, no sería necesaria la interacción de la víctima para que introduzca sus datos. Simplemente, al conseguir que haga clic en el enlace corrupto o descargue algún documento infectado, este descargará un software malicioso en el equipo de la víctima.

El software descargado puede ser de diferentes tipos, dependiendo de la finalidad del ataque. Podría tratarse de un keylogger, que monitorice las pulsaciones del teclado de la víctima; un troyano, para hacer equipos zombis; un ransomware para exigir un rescate por los datos secuestrados…

El phishing y sus variantes

El uso de ataques de tipo phishing se ha extendido de forma que han ido surgiendo diferentes maneras de cometer este fraude. Entre las variantes más importantes están el smishing y el vishing, técnicas basadas en la ingeniería social que explicamos a continuación.

¿Qué es el smishing?

El smishing es una variante del phishing que se centra en el uso de los mensajes de texto (SMS), para la obtención de la información a través del engaño. El término proviene de la combinación de las palabras «SMS» y «phishing».

Los mensajes enviados por los ciberdelincuentes intentan parecer legítimos, y suelen imitar a los mensajes de texto de bancos, aplicaciones u otros proveedores de servicios. El enlace, como en el caso del phishing, normalmente, redirige a la víctima a una página web falsa que parece legítima. También, puede descargar software malicioso en su dispositivo.

Para hacer aún más creíble el engaño, los ciberdelincuentes pueden buscar información, por ejemplo, en redes sociales para personalizar los mensajes. Asimismo, utilizan técnicas de spoofing, pudiendo suplantar la identidad del remitente para que parezca provenir de una fuente legítima. Incluso, consiguen enviar los mensajes fraudulentos en un hilo de mensajes reales (por ejemplo, de una entidad financiera), haciendo aún más difícil identificar la estafa.

¿Qué es el vishing?

El término vishing nace de la combinación de «voice», voz, y «phishing» y, como su propio nombre indica, es una técnica de ingeniería social que emplea las llamadas telefónicas para, como en los casos anteriores, obtener información de la víctima mediante el engaño.

En este caso, los ciberdelincuentes utilizan sus «armas» de engaño para convencer a la víctima de que la llamada proviene de una empresa legítima. Suelen hacerse pasar por representantes de compañías telefónicas, entidades bancarias, agencias gubernamentales, etc., con el fin de convencer a la víctima de revelar información personal y/o financiera.

En el caso de las pymes, los ciberdelincuentes usan esta técnica haciéndose pasar por un proveedor, un cliente o incluso alguien interno de la empresa. En el caso de fingir ser un empleado interno, el ciberdelincuente suele optar por alguien del Departamento Tecnológico, en quien la víctima suele confiar para proporcionarle cualquier tipo de información, incluso credenciales.

Para evitar este tipo de ataques, se recomienda tomar las siguientes medidas:

Que nunca se acceda a los enlaces facilitados, ya que muchas compañías se han comprometido a no mandar enlaces a través de SMS o correos electrónicos.

Las compañías, como entidades bancarias, públicas, etc., nunca solicitarán las credenciales vía correo electrónico, SMS o llamada telefónica. Así que, si los piden, se recomienda desconfiar y contrastar la información con la fuente original a través de los canales oficiales.

Prestar especial atención a la ortografía y gramática del mensaje. En la mayoría de los casos, estos mensajes se traducen, y suelen tener fallos que una empresa fiable no incluiría en sus comunicaciones.

Revisar el enlace antes de acceder. Un enlace legítimo será fácilmente reconocible, además comenzará con https. Si el enlace resulta sospechoso, probablemente se trate de una página web maliciosa.

Utilizar un doble factor de autenticación siempre que sea posible. De este modo, aunque los ciberdelincuentes se hagan con la contraseña, no podrán acceder a la cuenta de la víctima.

Mantener siempre los sistemas actualizados a la última versión.

Realizar copias de seguridad periódicas para asegurar la recuperación de los datos en caso de pérdida debido a un ataque.

 

0
0
0
s2sdefault
Joomla SEF URLs by Artio
Ceuta, Lunes 22 de Abril del 2024

Publicidad