María Penilla, directora técnica de Ziur Industrial Cyber Security Center: “A veces se lo ponemos muy fácil a los hackers, ya que la gran cantidad de información que compartimos en redes sociales la pueden utilizar a su favor para iniciar sus ataques”.
El phishing es una técnica de ciberdelincuencia que engaña a sus víctimas con técnicas fraudulentas para que estas revelen información confidencial. El ataque puede realizarse a través correos electrónicos o una llamada de teléfono, y el atacante se suele hacer pasar por una persona de una organización de confianza con el objetivo de hacerse con las credenciales de inicio de sesión o incluso los números de la tarjeta de crédito. Recientemente, varios usuarios de Amazon alertaron de que habían recibido correos electrónicos falsos que se hacían pasar por dicha plataforma con el objetivo de que estos revelaran su número de tarjeta de crédito.
En España, entre los ciberataques que experimentaron las empresas durante 2021, los ataques a través del correo electrónico fueron los más frecuentes. Según el informe ‘State of the Phish’ publicado por Proofpoint, en 2021 el 78% de las organizaciones globales sufrió ataques de ransomware a través del correo electrónico. María Penilla, directora técnica en Ziur Industrial Cyber Security Center afirma que “el caso más habitual que estamos detectando en las empresas es que en un proceso comercial entre el cliente y proveedor, los hackers comprometen el correo de alguna de las dos partes. A partir de ese momento, el hacker es conocedor de la conversación entre los dos, sin que ninguna de las dos partes sea consciente de ello. Así, en el momento del cierre de la venta, le suplantan la identidad al cliente y escriben al proveedor diciéndole que hay un cambio en el número de cuenta al realizar el abono. Es ahí donde los hackers consiguen sus objetivos económicos”.
Sin embargo, no es la única estrategia de pshishing que utilizan los hackers: “Otro caso habitual de phishing es hacerse pasar por alguna institución como una compañía eléctrica o un servicio de correo para luego enviar un sms o correo electrónico y, de esta forma, conseguir información confidencial de la persona que recibe el mensaje, como contraseñas, datos bancarios o datos personales. En este caso, suele ser más sencillo detectarlo, ya que no suele haber un compromiso previo, y la notificación no llega de un medio oficial, sino de un origen que aunque se parece mucho, si nos fijamos detalladamente no es el auténtico” afirma María Penilla.
Además de los ciberataques a través del correo electrónico, los ciberdelincuentes utilizan también otras técnicas. Por ejemplo, los sitios web de phishing son copias falsas de sitios web conocidos y en los que los usuarios confían. Los hackers crean estos sitios falsificados para engañar a los usuarios con el objetivo de conseguir sus credenciales de inicio de sesión. Otra de las técnicas utilizadas es el phishing a través de las redes sociales. Los hackers suelen colarse en las cuentas de redes sociales y, de esta forma, forzar a los usuarios a enviar enlaces maliciosos a sus contactos. En otros casos, también suelen crear perfiles falsos que utilizan para engañar a los usuarios.
Según María Penilla, “a veces se lo ponemos muy fácil a los hackers, ya que la gran cantidad de información que compartimos en redes sociales la pueden utilizar a su favor para iniciar sus ataques”. Además, Penilla subraya la importancia de utilizar una contraseña segura: “La mala costumbre de usar la misma contraseña para diferentes servicios también facilita la labor de los hackers. Las contraseñas poco seguras les permite que puedan acceder a nuestra información personal en relativamente poco tiempo”.
Según el informe de Proofpoint, en España el 68% de las empresas españolas se enfrentó al menos al menos a un ataque de phishing y el 39% de ellas optó por pagar al menos un rescate. Según María Penilla, “la realidad es que este tipo de ataques cada vez están más perfeccionados y, en ocasiones, no es fácil detectarlos. Por ello, es necesario formar a los usuarios en habilidades de ciberseguridad para que sean capaces de detectar a tiempo este tipo de técnicas”.
Trataremos todas estas cuestiones en la jornada ‘Phishing, análisis de cómo se produce un ataque de phishing y medidas a adoptar para evitarlos’ con Ziur Industrial Cyber Security Center.