Anatomía del “phishing”. No te dejes engañar

Desde hace unos años, el riesgo que representaban los virus informáticos ha ido evolucionando, en parte por la migración al ecosistema de “la nube”, a otro tipo de ciber-amenazas, como es el caso del phishing.

Es un tema del que hablamos a menudo con alumnos y padres de alumnos de Wimba, y, dada su relevancia, nos ha parecido interesante traer un resumen traducido de un artículo muy didáctico de David Koff, publicado originalmente en Medium sobre la anatomía de este tipo de mensajes que nos llegan por email y que pueden dejarnos expuestos si no los gestionamos adecuadamente.

IDENTIFICANDO EL PROBLEMA

La práctica del phishing es robar información sensible de las personas a través de emails que simulan interlocutores comerciales de confianza de los que solemos recibir emails. Cientos de millones de este tipo de emails se envían cada día con un coste mínimo, y solo es necesario que un pequeño porcentaje de éstos funcione para que los scamers que los generan saquen beneficio de ello.

Puedes ver las estadísticas de 2016 que ya posicionaban el phishing como el vehículo número uno para distribuir malware. En las estadísticas de 2018 ya se distingue como principal disfraz utilizado para estos fines las facturas falsas que llegan por email a organizaciones y a emails de empresa.

La cuestión es que un usuario puede estar recibiendo, de media, unos 16 emails fraudulentos al mes. Mejor estar prevenido, ¿no?

QUÉ ASPECTO TIENE UN EMAIL DE PHISHING

La gran mayoría de estos emails tratan de hacerte creer que hay algo que requiere tu atención o una acción por tu parte en tu página de Facebook, o en tu usuario de Google, o respecto a  algún pedido que has podido hacer en Amazon. Bueno, los más atrevidos incluso pueden intentar convencerte de que necesitas entrar en tu usuario online de tu banco o meter los datos de tu tarjeta de crédito de nuevo en la supuesta web de un ecommerce famoso.

El problema es que, desgraciadamente, no son los sitios legítimos, y estás introduciendo tus datos en páginas o sites falsos. Siempre hay algún detalle que no encaja. La url no es la que debería ser, enlaces que redireccionan a otras webs diferentes a las que aparecen en el enlace, botones que no funcionan,…

Los emails que te ofrecen cosas poco verosímiles, te anuncian que has ganado un concurso, o que puedes ganar mucho dinero casi sin esfuerzo, también son importantes candidatos de este tipo, o , como mínimo, te harán perder el tiempo.

BUENAS PRÁCTICAS PARA PREVENIR EL PHISHING

Y ahora, las reglas de oro para no caer:

  1. Siempre confirma que el email viene desde una dirección válida.
  2. No pinches en ningún enlace o botón de un email si no estás seguro de que la fuente es fiable y es realmente quien dice ser.
  3. Nunca abras un archivo adjunto en un email que no estabas esperando. Si no identificas claramente qué documento o archivo es, mejor ignorarlo.
  4. Cuando recibas un email que aparentemente viene de un servicio o suscripción tipo Dropbox, Facebook, Amazon,… pero no parezca claro el mail emisor, es preferible salir del email y entrar directamente en ese servicio a través de su url legítima y conocida.
  5. Los enlaces de emails que lleven la “s” de certificado seguro en su url son difíciles de emular, así que suelen ser seguros. Si pinchas en la parte “https”, se suele desplegar información sobre el certificado.

Para los que quieran algo más de seguridad, un par de buenas recomendaciones es usar slack para comunicarse y pasar archivos o documentos, o abrir el email desde una VM (Virtual Machine) que crees en tu ordenador.

Finalmente, la mejor forma de evitar el phishing es aplicar el sentido común y no dar demasiada credibilidad al email. Puede que ignores un email que era válido o importante, pero cuando realmente es así, las personas reales que hay detrás comunicarán contigo por otras vías o insistirán. Esperamos que estos consejos os sean de ayuda y disfrutéis de este gran medio que es internet.

Tags:
Carmen Bartolomé
carmenbvg@gmail.com