Phishing: Cuidado con Algunas Variantes Posibles

A todos nos has pasado el recibir un mensaje que se supone es de nuestro banco o de algún otro proveedor de servicios invitándonos a hacer click sobre un link, para supuestamente evitar un cierre de los accesos internet, o para poner ciertas informaciones al día, etc. Pero resulta que son mensajes falsos y si hacemos el click que nos piden, nos puede pasar de todo, por ejemplo, el que puedan acceder a nuestras cuentas bancarias. La mayor parte de ustedes habrán escuchado o leído la palabra “phishing”, para designar estos actos de cibercriminalidad.

 Se encuentran muchas definiciones del phishing: una de las mejores que he visto, es la del sitio web INFO SPYWARE, en un excelente artículo, que dice lo siguiente:

 “El término Phishing es utilizado para referirse a uno de los métodos más utilizados por delincuentes cibernéticos para estafar y obtener información confidencial de forma fraudulenta como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria de la víctima.

 El estafador, conocido como phisher, se vale de técnicas de ingeniería social, haciéndose pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo general un correo electrónico, o algún sistema de mensajería instantánea, redes sociales SMS/MMS, a raíz de un malware o incluso utilizando también llamadas telefónicas.”

 Esta definición me lleva a dos reflexiones, a raíz de dos incidentes recientes que he experimentado (sin caer en la trampa).

 Se supone en general que los estafadores están usando una falsa dirección de correo electrónico de la empresa reconocida para hacerle caer en la trampa. Pero estas no son muy difíciles de reconocer si uno conoce muy bien las direcciones email con las que la empresa suele escribirle. El problema se complica cuando el correo sospechoso le está llegando…de una dirección electrónica que usted conoce muy bien, porque es legítima, una que el banco u otra entidad usa en sus comunicaciones con usted frecuentemente. Aquí, salvo de que se trate de una clonación de la dirección de correo electrónico legítima, lo que ya en sí es más peligroso para el cliente, puede estar pasando algo aún más grave:

. o la empresa proveedora ha sido hackeada desde el exterior y uno de sus correos institucionales verdaderos está siendo usado para tenderle trampas a los clientes de dicha empresa; si es un correo que el cliente ya conoce, desconfiará menos y tenderá más fácilmente a hacer el click fatal…

. o lo que está sucediendo es que empleados deshonestos de la misma empresa (una variante de fraude interno) están usando la información de la que disponen sobre ciertos clientes para tratar de hacerles caer en la trampa con correos electrónicos que parecen muy plausibles; por supuesto eso también puede hacer “bajar la guardia”, usted ya conoce el correo y además le escriben algo que está muy relacionado con su perfil de cliente.

 Si los correos sospechosos vienen de una dirección electrónica “legítima”, no basta con evitar hacer click: aconsejo alertar a su empresa proveedora (banco u otra) inmediatamente, para que pueda tomar acción inmediatamente; sus servicios de seguridad informática se lo agradecerán, y se podrá parar el ataque más rápido, limitando el número de victimas.

La segunda reflexión viene con lo que nos recuerda acertadamente la definición mencionada: que puede ser por teléfono. Imagínese que súbitamente lo llame alguien, que por el ruido de fondo, parece estar llamando de un call center muy atareado, diciendo ser alguien de la empresa proveedora de su sistema operativo favorito (el que está en su computadora), y que le diga algo así, en inglés o en castellano: “está habiendo un problema muy serio con un aplicativo de otra empresa, está llegando con toda una invasión de malware, troyanos, etc., por favor haga inmediatamente la maniobra tal con las teclas X e Y, para solucionar el problema, esto es urgente”; y el tono es muy apremiante, diciendo que hay un gran peligro para su computadora.

En ese caso hay una buena razón para desconfiar: los proveedores de sistemas operativos, cuando se encuentran con un problema serio de seguridad, suelen arreglar el problema con alguna actualización del software que le llega a su máquina por la vía habitual.

Una llamada así sólo podría ser genuina si estuviera sucediéndole algo grave a la empresa: que la hayan hackeado de tal manera que le es imposible enviar las actualizaciones necesarias y que esté desesperadamente, como medida alternativa, tratando de limitar los daños con llamadas telefónicas masivas. ¿Pero cómo saber? La empresa en cuestión tratará en general de ocultar lo que le está pasando (¿recuerdan el tiempo que le tomó a Yahoo reconocer el robo de información de cientos de millones de cuentas que había sufrido?). Entretanto cada vez más usuarios de Yahoo iban volviéndose sin saberlo en vector de todo tipo de propagandas de lo más insólitas enviadas a todos sus contactos supuestamente por usted: oficina de trading on-line de monedas, servicios de sepelio u otros ligados a la muerte, productos de todo tipo para la piel para lucir más joven, o para adelgazar más rápido, o tratamientos mágicos para una mejor vida sexual y hasta propaganda francamente pornográfica y contactos colindantes con la prostitución…

Entonces, lo único que queda es no hacer lo que le piden, no dar información sobre usted de ninguna manera, y asegurarse de que tiene los mejores firewalls y anti-virus del mercado para enfrentar lo mejor posible la supuesta amenaza, por si fuese cierta. No vaya a ser que esas llamadas estén destinadas no sólo a robar información confidencial, sino también a introducir “ransomware” (bloqueándole el acceso sus datos, y con desbloqueo ofrecido únicamente a cambio de un pago en bitcoins), o a borrarle completamente su sistema operativo y toda su data.

He querido darles aquí algunas variantes especialmente perturbadoras de phishing.

Hay que ser tanto más vigilantes ahora, no sólo con los correos y SMS que reciba, sino también con las llamadas de desconocidos que reciba.