Phishing

En la actualidad, el phishing es un tipo de ciberataque muy común que va ligado a la ingeniería social que se realiza en etapas anteriores. Su propósito es obtener información privada acerca de un usuario o el de hacer que éste se descargue algún tipo de malware. Este tipo de ataque puede ser más o menos efectivo en función de la concienciación del usuario y de la elaboración previa, es decir, de si se ha realizado previamente una buena ingeniería social, como explicábamos en el anterior artículo.

El phishing se basa en la probabilidad, es decir, en los intentos masivos. Un ejemplo muy reciente ha sido el del conocido WannaCry, el cual se desató a través de un correo electrónico fraudulento recibido por un usuario con falta de concienciación sobre esta amenaza y sus posibles consecuencias.

El caso de phishing más típico sería el de solicitar información personal a un usuario a través del correo electrónico suplantando una dirección aparentemente legítima para el usuario. Un ejemplo sería que el atacante a través de un estudio anterior suplantara la identidad de tu banco, y te solicitase a través de un correo aparentemente legítimo los datos de tu usuario y contraseña.

Otra modalidad clásica, es la de crear un enlace atractivo para el usuario en el correo electrónico, en el que éste se descargue software malicioso de una página aparentemente legítima. Un ejemplo de este tipo de phishing sería que se suplante la identidad de un sitio en el cual haya un enlace a un producto gratuito y de gran interés para el usuario. De esta manera, el usuario va a parar a un sitio aparentemente real y procederá a la descarga de un software malicioso.

Por otra parte, según a qué público va dirigido el ataque podemos distinguir dos tipos específicos de phishing:

Spear phishing: Dirigido a grupos concretos dentro de una entidad u organización.

Whaling: Dirigido a los directivos de una entidad u organización.

En estos dos tipos de phishing se realiza una muy buena ingeniería social previa.

La única medida para acabar con el phishing es detectarlo e inutilizarlo, como configurar determinados remitentes como correo no deseado.

Además para reducir el impacto de estas técnicas sociales con phishing hay que:

  • Realizar campañas de concienciación dentro de la empresa a los empleados. Definir y mantener actualizadas las políticas de seguridad.
  • Analizar, actualizar y controlar la información pública de la entidad así como la eliminación de la información obsoleta.
  • Mejorar las medidas de autenticación y control de acceso.

Por todo esto, hoy en día es muy importante estar muy bien concienciado acerca del phishing y las consecuencias que éste puede acarrear si mordemos el anzuelo. Siendo muy importante corroborar toda información que nos llegue al correo electrónico.

Christian Agredano

Técnico dpto. TIC