Qué es el phishing

El phishing es un término informático que denomina a un conjunto de técnicas que persiguen el engaño a una víctima ganándose su confianza, haciéndose pasar por una persona, empresa o servicio de confianza (suplantación de identidad), para manipularla y hacer que realice acciones que no debería realizar, como, por ejemplo, revelar información confidencial o hacer click en un enlace.

Principios de la persuasión

El phishing se basa en los principios de la persuasión o de Ingeniería Social, ya que es un subconjunto de ella, y como esta, busca explotar determinados aspectos del comportamiento de la gente para lograr sus objetivos, según un artículo del consultor de seguridad Pablo Iglesias.

Los aspectos que busca explotar un phisher serían:

• Reciprocidad

Cuando una persona nos ofrece algo, por lo general, solemos tender a ofrecerle también algo. Por el contrario, si esa persona no nos trata con respeto, estaremos más susceptibles a pagarle con la misma moneda. Así pues, la reciprocidad es un “instinto” social fácilmente manipulable.

• Urgencia

La mayoría de los ataques de Ingeniería Social consiguen que las personas piquen a través de la urgencia. Por ejemplo, "¡Alguien ha accedido a tu cuenta bancaria, entra en el siguiente enlace para solucionarlo y proteger tu dinero!", "¡Esta oferta sólo durará durante los próximos cinco minutos!" o "Tu ordenador ha sido infectado, haz clic aquí para borrar el virus ahora".

• Consistencia

Si, en algún momento hemos dado nuestra palabra, tendemos más a cumplir con ello que a no hacerlo. Un ejemplo de ataque de Ingeniería Social utilizando este principio es cuando un trabajador de una empresa pide a la víctima que realice determinadas tareas habituales, empezando por pequeñas acciones y continuando por otras más delicadas. A pesar de que una de esas tareas pueda parecer rara, al haberse comprometido, la llevará a cabo junto al resto. De esta manera, el ingeniero social consigue manipular por consistencia.

• Confianza

Nuestra desconfianza se reduce cuando el interlocutor con el que hablamos nos cae bien o está alineado con nuestros intereses o valores. Un ejemplo de ello lo podemos observar cuando los altos directivos o trabajadores con acceso a contenido o servicios confidenciales (gobierno, corporaciones, policías, militares…) son “seducidos” por perfiles que se ganan su confianza, por ejemplo, en redes sociales, lo suficiente como para que tengan un descuido y puedan aprovecharse de él. A continuación, es cuando el ingeniero social los extorsiona si no cumplen sus exigencias. Cuando se da una componente sexual o amorosa se denomina sextorsión.

• Autoridad

Cuando una persona en prácticas de una empresa pide las credenciales de acceso de un servicio, lo más probable es que sea vista con desconfianza. No obstante, si las mismas credenciales son pedidas por un director/a, la situación cambia. De esta manera, la usurpación de identidad juega un papel clave, ya sea de forma real (robo del perfil digital del director/a) o ficticia (clonado de perfiles o phishing), así el phisher se haría pasar por esta persona de autoridad para solicitar determinada información o que la víctima haga determinadas acciones.

• Validación social

Si recibimos un correo electrónico en el que se nos pide hacer una determinada acción, la cual es extraña, lo más seguro es que nos pensemos en llevarla a cabo. Sin embargo, si en una misma conversación hay varios conocidos como, por ejemplo, compañeros de la misma empresa, y ninguno de ellos pone objeción alguna, lo más probable es que acatemos las normas, aun sin saber de dónde ni de quién provienen.

Al ser las personas tan gregarias y en búsqueda permanente de la acción social, el sesgo de grupo es continuamente utilizado, también conocido como "presión grupal".

Clasificación de los ataques de phishing

Los ataques de phishing se pueden clasificar en diferentes categorías según el objetivo contra el que se dirige el ataque, el fin, el medio que se utiliza o según el modo de operación. A menudo, estas categorías se mezclan entre ellas para hacer ataques más elaborados, y es complicado encontrar un ataque que utilice una sola categoría.

Los tipos de ataques de phising más frecuentes son:

• Phishing general, también conocido como phishing tradicional, bulk phishing o spray and pray

Consiste en la emisión masiva de correos electrónicos a los usuarios. Estos correos suplantan a entidades de confianza, como pueden ser los bancos, y persiguen el engaño del usuario y la consecución de información, por ejemplo, incluyendo en el mensaje enlaces a dominios maliciosos. Para camuflar estos enlaces es habitual que el texto del enlace sea la URL correcta, pero el enlace en sí apunte a el sitio malicioso.

Se conoce como “spray and pray” (“distribuye y reza”) porque se basa en envíos masivos, de los cuales solo funcionará un porcentaje muy pequeño, pero al ser enviados de forma masiva, lograrán un éxito razonable.

• Vishing

Es similar al phishing tradicional pero el engaño se produce a través de una llamada telefónica. Un ejemplo típico de uso de esta técnica es cuando un ciberdelincuente ha robado ya información confidencial a través de un ataque de phishing, pero necesita la clave SMS o token digital para realizar y validar una operación.

Es en ese momento el ciberdelincuente llama por teléfono al cliente identificándose como personal del banco o de otra organización y, con mensajes particularmente alarmistas, intenta de que el cliente revele el número de su clave SMS o token digital necesarios para autorizar la transacción.

• Smishing

Es similar al phishing tradicional pero el engaño se produce a través mensajes de texto ya sean por SMS o mensajería instantánea como puede ser WhatsApp. Un ejemplo típico de esta técnica es cuando el cliente recibe un mensaje de texto, donde el emisor se hace pasar por el banco, y le informa que se ha realizado una compra sospechosa con su tarjeta de crédito. A su vez, el texto solicita que se comunique con la banca por el teléfono de la entidad financiera y le brinda un número falso. Al devolver la llamada es el ciberdelincuente, haciéndose pasar por el banco, solicita información confidencial para supuestamente cancelar la compra.

En una variante de esta modalidad el mensaje también podría incluir un enlace a una ‘web’ fraudulenta para solicitar información sensible.

• URL phishing

Se trata de engañar al usuario haciendo que una URL de un sitio malicioso parezca la de un sitio confiable. A ellas a veces se accede de forma inadvertida al escribir nombres de dominio mal escritos, que están muy cerca del dominio legítimo, siguiendo un enlace malicioso que parece correcto o mediante engaños al usar caracteres unicode parecidos difícilmente detectables, especialmente en dispositivos móviles, con pantallas más pequeñas y generalmente una resolución de pantalla inferior.

• Whaling

Se diferencia de los otros tipos de intentos de phishing en que el objetivo son personas importantes como, por ejemplo, ejecutivos de alto rango. Las solicitudes de información contenidas en el ataque están más adaptadas a la persona concreta y son mucho más personalizados. Por ejemplo, la información presentada puede incluir solicitudes de citaciones, quejas de clientes, solicitudes de transferencia bancaria u otras solicitudes relacionadas con transacciones financieras concretas.

La persona objetivo desprevenida puede verse atraído a revelar información confidencial del sistema u otros datos que valiosos a los que solo unos pocos individuos tienen acceso.

• Business email compromise (BEC) o estafas man-in-the-email

Consisten en usar el correo electrónico para desplegar tácticas de ingeniería social y conseguir engañar a empleados desprevenidos. El ejemplo más claro, aunque no único, sería el fraude del CEO, mediante el cual, una persona enviaría un correo electrónico a la dirección financiera haciéndose pasar por el CEO u otro ejecutivo de alto rango, que se comunica con un usuario final de nivel inferior para persuadirlo de realizar ciertas acciones, como una transferencia bancaria inmediata por un asunto crítico.

• Spear phishing

El objetivo a engañar es una persona o empleado específico de una compañía en concreto, es decir, es un ataque dirigido. Para ello los cibercriminales recopilan meticulosamente información sobre la víctima para conseguir su confianza. Un correo malicioso de spear phishing bien elaborado (típicamente con enlace a sitio malicioso o con documento adjunto malicioso) es muy complicado de distinguir de uno legítimo, por lo que acaba siendo más fácil cazar a la presa.

Es una herramienta típica usada en ataques a empresas, bancos o personas influyentes y es el método de infección más utilizado en campañas de APT (campañas de agencias gubernamentales contra otros gobiernos u objetivos estratégicos).

Los objetivos de este tipo de ataque son tanto los altos cargos con acceso a información potencial, como los departamentos cuyo trabajo consiste en abrir numerosos documentos provenientes de otras fuentes.

• Search engine phishing

En este tipo de ataque los estafadores crean su propio sitio malicioso y lo indexan con motores de búsqueda legítimos. Es habitual que estos sitios maliciosos ofrezcan productos baratos, oportunidades de empleo o incluso lancen alertas de virus para los que es necesario adquirir su antivirus.

Los compradores en línea encontrarán estos sitios apareciendo en una página típica de resultados de un buscador, y puede ser muy difícil notar la diferencia con un sitio legítimo. El sitio malicioso alienta a los usuarios a entregar su información personal, como el número del documento de identificación o su número de cuenta bancaria para poder realizar la compra. Estos datos se pueden usar para robarle, secuestrar su identidad o destruir su reputación.

• Phising con evasión de filtros

Los mecanismos 'Anti-phishing' y 'Anti-malware' disponen de mecanismos para detectar ataques. Para evadir esos filtros los atacantes usan técnicas para evadir esos filtros, como usar imágenes que contienen texto de phishing incrustado para evitar filtros anti-phishing basados en el análisis de cadenas de texto, añadir ficheros adjuntos protegidos con contraseña para evitar su análisis, etc.

• Nigerian phishing

Es la transposición a internet de la clásica estafa que utiliza el gancho de herederas/viudas/secretarias/abogados de millonarios fallecidos/dictadores en desgracia/negocios seguros, etcétera, que necesitan una pequeña cantidad de dinero para cierta gestión que nos recompensará generosamente.

Hoy en día las historias se han adaptado a los nuevos tiempos y están ampliando su objetivo a empresas siendo frecuente habitual la compra de bases de datos de direcciones electrónicas corporativas en el mercado negro. Aunque parezca muy estúpido, según el FBI, estos ataques mueven miles de millones cada año.

• Pharming o DNS-based phishing

El engaño consiste en redirigir al usuario a un sitio falso aprovechando para ello vulnerabilidades en el proceso de conversión de la secuencia de letras que componen una URL en una dirección IP. El ataque puede ser dirigido contra el ordenador del usuario o aprovechar vulnerabilidad del servidor DNS, de tal manera que accede a un sitio legítimo y le envía, sin embargo, a un sitio faso.

• Malware-based phishing

Se refiere a aquellos ataques de phishing que implican la ejecución de un software malicioso en los ordenadores de la víctima. Por ejemplo, en un correo electrónico que suplanta la identidad de una marca se incluye como adjunto, o es accesible a través de un enlace, un documento PDF que al abrirse infecta el dispositivo de la víctima.

• Watering hole phishing o ataque de abrevadero

El atacante infecta con malware sitios web de terceros muy utilizados por los usuarios de la organización. De esta forma cuando los usuarios de la organización acceden a ese sitio web quedan infectados. El ataque es altamente efectivo ya que, con la infección de un solo sitio, se puede lograr que miles de víctimas descarguen la amenaza. El éxito se incrementa si se usa vulnerabilidades 0-Day, no conocidas aun públicamente y que no han sido solucionadas por el fabricante.

• Evil twin

Se trata de crear un Punto de Acceso malicioso a una red Wireless, con apariencia de legítimo, para que las víctimas puedan conectarse y así capturar información confidencial. Por ejemplo, redirigiendo a sitios maliciosos que capturan nuestras credenciales.

• Social network phishing

Son ataques de phishing en los que están involucradas las redes sociales. Por ejemplo, publicación de posts falsos por usuarios cuyas cuentas se vieron afectadas con aplicaciones no autorizadas.

• Deceptive phishing

En un escenario típico, un phisher crea una cuenta que finge ser la cuenta de la víctima. A continuación, el phisher envía solicitudes de amistad a los amigos de la víctima, así como un mensaje como 'He abandonado mi cuenta de Facebook anterior. De ahora en adelante, comuníquese conmigo solo a través de esta cuenta”. A continuación, el phisher comienza a enviar mensajes a los amigos de la víctima que exigen que el destinatario haga click en un enlace.

• Man in the browser (MITB)

Combina el uso de técnicas de phishing para instalar un troyano en el navegador del usuario, para capturar, modificar y/o insertar información adicional en las páginas sin el conocimiento del usuario. El malware instalado en el navegador analizará el tráfico y cuando se cargue una página de una lista de sitios objetivos realizará las acciones para las que está programado.

Por ejemplo, si tiene una lista de bancos de los que conoce la lógica de negocio, si la víctima es usuario de banco, cuando acceda al mismo y realice una acción, el malware mostrará una pantalla de información en la que se indique que se está realizando esa acción concreta, sin embargo, por detrás, se envían comandos al banco para realizar, por ejemplo, una transferencia al número de cuenta del phisher.

• Hishing o “hardware phishing”

Consiste en distribuir malware ocultándolo en equipos que van a ser vendidos, ya sean estos nuevos o usados. Estos códigos maliciosos pueden ocultarse en teléfonos móviles, equipos de reproducción MP3, etc.

Este caso puede parecer extraño, pero de acuerdo a un estudio, muchos móviles baratos vendidos desde países en vías de desarrollo, incluyen malware oculto cuando son comprados, y han sido integrados dentro de la cadena de producción, bien por el propio fabricante del teléfono móvil o bien por un tercero que ha realizado el ataque y ha sido capaz de llegar al código fuente.