movi-image-eleconomista-phshing-smishing-vishing-1
Envíanos sugerencias
Transformación digital
5 min de tu tiempo

¿Qué son el 'phishing', el 'smishing' y el 'vishing' y cómo detectarlos?

Mon Oct 26 09:24:16 CET 2020

El 93% de las brechas de seguridad comienzan a partir de un correo electrónico

En un momento en el que el uso de la tecnología se ha multiplicado como consecuencia de la situación derivada de la pandemia del coronavirus, los casos de ciberataques se han disparado entre los usuarios y las empresas. Y es que con las medidas de aislamiento social y de limitación de movimiento, que han impulsado nuevas formas de relacionarnos y de trabajar, millones de personas están haciendo un mayor uso del correo electrónico y de las redes sociales y apuestan por el canal online para realizar sus compras. De hecho, las restricciones impuestas han impulsado la digitalización de los comercios aumentando así la exposición y los riesgos de ciberataques.

Puede interesarte: Nuevos canales de venta en la era pos-COVID-19

"La ingeniería social se basa en un principio muy básico: 'el usuario es el eslabón más débil'. A partir de esta idea, busca explotarlo apelando a sus motivaciones más personales, con el objetivo de conseguir que el usuario revele cierta información o le permita tomar el control de su equipo. La mejor defensa es no dejarse engañar y conocer cómo funciona este tipo de fraudes y engaños", señalan desde la Oficina de Seguridad del Internauta (OSI).

De hecho, han aumentado el número de campañas fraudulentas que utiliza el tema de la COVID-19 como señuelo, por ejemplo, suplantando al Ministerio de Salud chino o a la Organización Mundial de la Salud (OMS). La Organización de las Naciones Unidas (ONU) ya advirtió en el mes de mayo de que los ciberdelitos, entre ellos los que se producen a través de correos maliciosos, habían aumentado un 600% con la pandemia. Además, la velocidad a la que muchas empresas han tenido que implantar el teletrabajo como modelo ha hecho que muchos empleados accedan a información empresarial desde sus equipos personales, que suelen estar menos protegidos que los corporativos.

Puede interesarte: La ciberseguridad, la tarea pendiente de las empresas en la era del teletrabajo


Los ataques más habituales

El phishing es uno de los ataques más habituales. Se trata del envío de emails fraudulentos con apariencia de fuentes de confianza (como bancos o compañías de energía) y que tienen por objetivo robar información confidencial. Normalmente en estos correos se solicitan datos como los números de la tarjeta de crédito, el DNI o la contraseña de acceso a la entidad.

Solo en el segundo trimestre del año, según los datos de ESET, hubo un aumento exponencial de los correos electrónicos de phishing, dirigidos a compradores online, que se hacían (y se hacen) pasar por uno de los principales servicios de paquetería del mundo. En este sentido, el volumen fue 10 veces mayor que en el primer trimestre del año. Precisamente, el webinar Prevención del fraude contra las empresas en el negocio online y las transferencias internacionales, organizado por HUB Empresa de Banco Sabadell, abordó este tema sobre cómo minimizar el riesgo.

Además, según iMorosity, del 72,78% de los nuevos casos en las listas de morosos, el 40% corresponde a estafas relacionadas con el coronavirus, de las que el 20% han sido mediante phishing. Como indican desde la OSI, el 93% de las brechas de seguridad comienzan a partir de un correo electrónico.

Una de las variantes de este método es la conocida como smishing, palabra compuesta por SMS (servicios de mensajes cortos) y phishing. El funcionamiento y el objetivo son los mismos que en el envío de correos electrónicos, solo que se realiza a través de mensajes de texto, muy usados en los smartphones.

Desde Kaspersky señalan que "cuando la gente utiliza el teléfono muestra menos recelo a proteger su privacidad. Muchos asumen que sus smartphones son más seguros que los ordenadores, pero la protección de los smartphones tiene limitaciones y no puede blindar directamente frente a este fraude".

Otro método de engaño es el vishing. Este término proviene de la unión de voice y phishing. Para llevar a cabo esta práctica, los ciberdelincuentes realizan una llamada telefónica con el objetivo de conseguir los datos personales o bancarios de una persona suplantando la identidad de un tercero.

Desde el Banco de España explican que entre las prácticas más habituales está la del fraude del técnico informático: "Bajo el pretexto de limpiar el ordenador de virus, exigen el pago de una pequeña cantidad a través de una plataforma que registra los datos bancarios y seguidamente solicitan hacerse con el control del dispositivo infectado para acceder a la banca electrónica y realizar operaciones en nombre de la persona afectada".

Otro ejemplo es el del empleado de una entidad bancaria: avisan de que se está realizando una operación fraudulenta (y ficticia) con la tarjeta y solicitan los datos de la misma. Mientras se produce la llamada, realizan compras en línea reales y piden las claves recibidas por SMS haciendo creer que son códigos para cancelar la operación falsa.

Otro caso es el de hacerse pasar por el comercial de una compañía telefónica, informando a la víctima de que le han cobrado de más por error en la factura y solicitándole los datos bancarios para abonar la diferencia.

Puede interesarte: El fraude 'online' crece con el coronavirus: claves para detectarlo con Inteligencia Artificial y aprendizaje automático


Cómo evitar el fraude

Para no caer presa de este tipo de ataques los expertos recomiendan sentido común. Como recuerda el Banco de España, "las compañías legítimas ya disponen de la información personal; no necesitan pedirla de nuevo". Por lo tanto, hay que desconfiar de cualquier correo electrónico, mensaje de texto o llamada personal que solicite este tipo de datos. Asimismo, hay que considerar "las alertas de seguridad urgentes y los canjes de cupones, ofertas u oportunidades que requieren que actúes rápido como signos de advertencia de un intento de pirateo", apuntan desde Kaspersky.

Por su parte, la OSI señala que "cada vez es más complicado reconocer los ataques de ingeniería social, por ello el primer método de prevención es estar informado". Según los datos del Eurobarómetro solo el 46% de los ciudadanos europeos se considera bien informado, mientras que en el caso de los españoles este porcentaje disminuye y se sitúa en el 35%. En lo que a medidas de seguridad implantadas se refiere, solo el 45% de la ciudadanía europea opta por instalar un antivirus o mejorar el que ya tenía. También es preocupante que solo el 35% de los usuarios abren únicamente aquellos correos electrónicos procedentes de personas o direcciones que conocen.

En el caso concreto del phishing, desde Panda Security realizan una serie de recomendaciones como la de saber identificar los correos sospechosos. "Existen algunos aspectos que, inequívocamente, identifican este tipo de ataques: utilizan nombres y adoptan la imagen de empresas reales; llevan como remitente el nombre de la empresa o el de un empleado real de ésta; incluyen webs que visualmente son iguales a las de empresas reales; y, como gancho, utilizan regalos o la pérdida de la propia cuenta existente". Sin embargo, pueden contener erratas y, al comprobar la dirección de envío, suelen ser distintas a las originales y tener dominios sospechosos.

Otros consejos a seguir son verificar la fuente de información de los correos entrantes; no acceder nunca a la web pulsando directamente en links incluidos en los emails; introducir los datos confidenciales únicamente en páginas webs seguras; revisar periódicamente las cuentas bancarias; y, ante la mínima duda, ser prudente y no correr riesgos.

Para el smishing, las precauciones son similares a las anteriores: no hacer clic en enlaces que se reciben en el teléfono, a menos que se conozca a la persona que los envía; no instalar aplicaciones provenientes de mensajes de texto; y no revelar nunca información personal ni financiera. Éste último es un consejo coincidente para un ataque de vishing.

Puede interesarte: Cómo protegerte de la ciberdelincuencia, un delito que se ha incrementado con el teletrabajo

En el caso de ser víctima de un ciberataque, la OSI aconseja, reportar el problema al servicio o la empresa implicada. "Por normal general, todas ofrecen secciones de ayuda y soporte a través de las cuales poder denunciar situaciones que ponen en riesgo la seguridad y la privacidad". Asimismo, se puede contar con la Oficina Municipal de Información al Consumidor (OMIC), un servicio que informa, ayuda y orienta a los consumidores. Entre sus funciones está la tramitación, mediante procedimientos de conciliación, de las reclamaciones que los consumidores les hacen llegar derivados de problemas con la compra de productos o la contratación de servicios. Si el problema no se puede solucionar llevando a cabo los pasos anteriores, hay que presentar una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado (FFCCSE).

España, un país atractivo para los ciberdelitos

España cuenta con un riesgo moderado en cuanto a ataques cibernéticos, tal y como recoge el índice de riesgo cibernético (CRI, por sus siglas en inglés) de NordVPN, que predice el riesgo de ser víctima de este tipo de delitos en función del país de residencia con un valor del 0 al 1. Cuanto mayor es el índice, mayor es el peligro. En este sentido, España obtiene una puntuación de 0,484, situándose así en el puesto 25 de un total de 50 países.

La posición intermedia de España se debe a una exposición bastante significativa a diferentes ciberamenazas. De este modo, el CRI muestra que el 86% de la población española utiliza internet y ocho de cada 10 españoles vive en ciudades y utiliza smartphones. Además de eso, la penetración del comercio electrónico y las redes sociales como Facebook e Instagram son, de media, mayores en España que en otros países, aumentando por tanto el riesgo ante estos ataques. Estos son los factores que hacen que los españoles sean objetivos potenciales para los ciberdelincuentes.

El informe señala que factores como los elevados ingresos, una infraestructura tecnológica avanzada, la urbanización y la digitalización conllevan un mayor nivel de delitos cibernéticos. Por ello, el norte de Europa, que cuenta con un salario mensual promedio más elevado y una penetración de Internet de más del 90%, es la zona más peligrosa para navegar por Internet, al igual que América del Norte. Por ende, los bajos niveles de digitalización e ingresos son condiciones poco atractivas para los delitos cibernéticos.

Fotogafía de Petter Lagson en Unsplash
-Categorías y etiquetas-
up