Skip links

¿Qué es el phishing y cómo evitarlo?

By Pablo López-Aguilar Beltrán, Head of Cybersecurity, APWG.eu

La situación de pandemia desconocida hasta ahora ha supuesto un cambio de hábitos sustancial en muchos ámbitos cotidianos. De todo ellos, el ámbito laboral es de los que más ha sufrido el cambio.

Este nuevo paradigma abre una ventana a los ciberdelincuentes, que ven en todo ello un sinfín de oportunidades para poder llevar a cabo acciones fraudulentas gracias a la sensación de protección[1] que les proporciona Internet. De todas ellas, la más conocida es el phishing.

El phishing es hoy en día el medio más utilizado para llevar a cabo un ataque, fundamentalmente porque está basado en ingeniera social y, por ende, es el de los ataques que goza de mayor probabilidad de éxito[2]:

«No hay nada mágico en la ingeniería social. El ingeniero social emplea las mismas técnicas de persuasión que utilizamos todos los demás a diario. Adquirimos normas. Intentamos ganar credibilidad. Exigimos obligaciones recíprocas. Pero el ingeniero social aplica estas técnicas de una manera manipuladora, engañosa y muy poco ética, a menudo con efectos devastadores.» (Brad Sagarin, doctor en Psicología Social).

Características de un ataque de phishing

Los ataques de phishing son delitos que emplean técnicas de ingeniería social para ganarse la confianza de la víctima y posteriormente robar su información confidencial. El método más común es mediante la recepción de un email[3] por parte de la víctima que aparenta ser genuino. Se puede enviar sin un criterio específico o bien dirigirse a objetivos precisos, como a empleados específicos de una compañía[4].

Cómo prevenirlo

Para prevenir un ataque de phishing es importante entender que su principio básico es construir credibilidad. Asimismo, los psicólogos sociales diferencian dos formas de procesar información: la forma sistemática y la forma heurística.

La forma sistemática se produce cuando, a partir de la información que recibimos, tomamos una decisión de forma racional, analizando con detalle toda la información (emisor, contenido…). Por el contrario, si procesamos información de forma heurística, tomamos atajos mentales para tomar una decisión. Funcionamos en el modo sistemático cuando la información que estamos procesando es importante. No obstante, factores como la presión del tiempo, una distracción o una emoción hacen que cambiemos al modo de procesamiento heurístico[5].

Por lo tanto, en su ataque de phishing, el ingeniero social buscará construir credibilidad y un modo de procesamiento heurístico por parte de la víctima (por ejemplo, enviándole un email poco antes de que acabe su jornada laboral o mediante una llamada telefónica en la que informe de algo que necesite ser solucionado urgentemente, siempre suplantando la identidad de un emisor conocido).

Para mitigar un ataque de phishing es recomendable llevar a cabo una serie de buenas prácticas:

  • Verificar y contrastar la identidad del emisor, haciendo preguntas o buscando por Internet información relacionada y nunca pulsando un enlace cuyo emisor no se haya comprobado previamente[6].
  • No facilitar nunca datos personales ni por email ni por teléfono. Ninguna compañía de confianza solicitará información de este tipo por ninguno de esos canales.
  • Aprender a poner resistencia a ataques de ingeniería social y modificar las normas de cortesía. En ese sentido, es muy recomendable que la compañía desarrolle procedimientos para verificar la identidad del emisor.
  • Instalar herramientas y mecanismos de lucha contra el phishing, como los antivirus (que deberán actualizarse frecuentemente), el repositorio de APWG.org, que publica listas de emisores maliciosos, o el protocolo DMARC[7], que filtra y bloquea los emails sospechosos.
  • Por último, hay que destacar que un ataque exitoso de ingeniera social no solo afecta a la víctima directa sino también a sus contactos y, en el caso de un email, por ejemplo, podría enviarse a todos ellos. Por ello, como en otros ámbitos de nuestra vida, protegerse a uno mismo también supone proteger a los demás.

En inglés (Read the blog in English)

[1] Es relativamente difícil para los cuerpos y fuerzas nacionales presentar ante un tribunal de justicia evidencias de un crimen cometido a través de Internet. La Unión Europea invierte en proyectos como LOCARD (https://locard.eu), que permitan a las policías procesar evidencias digitales a través de blockchain y generar reconocimiento mutuo de las decisiones judiciales entre los diferentes tribunales de justicia de la UE.

[2] Según el último informe de la agencia europea de ciberseguridad, ENISA, el 90 % del total de infecciones de programas maliciosos (malware) y el 72 % del robo de información confidencial que se produce en las compañías se originan a partir de ataques de phishing.

[3] Existen otras variantes como smishing (mensajes de texto al teléfono móvil) o vishing (llamadas de voz).

[4] Esta técnica se denomina spear phishing.

[5] Este comportamiento se describe con detalle en el libro The Art of Deception, de Kevin D. Mitnick y William L. Simon.

[6] Si aplicáramos este paso adecuadamente, se evitarían la gran mayoría de ataques de phishing.

[7] Para más información: https://dmarc.globalcyberalliance.org.

Translate »