Temas

Una base sólida: protección de cuentas y dispositivos

Phishing: Una amenaza común para los dispositivos y las cuentas

El phishing es el ataque más común y eficaz contra las organizaciones de todo el mundo. Los más sofisticados ejércitos de los estados-nación, así como los estafadores de poca monta, utilizan esta técnica. En términos sencillos, el phishing consiste en que un adversario intenta engañarle para que comparta información que podría utilizarse contra usted o su organización. El phishing puede producirse a través de correos electrónicos, mensajes de texto o SMS (a menudo denominado phishing por SMS o “smishing”), aplicaciones de mensajería como WhatsApp, mensajes o publicaciones en redes sociales, o llamadas telefónicas (a menudo denominado phishing por voz o “vishing”). Los mensajes de phishing pueden intentar que escriba información sensible (como contraseñas) en un sitio web falso para obtener acceso a una cuenta, pedirle que comparta información privada(como el número de una tarjeta de crédito) a través de voz o de un mensaje de texto, o convencerlo de que descargue malware (software malicioso) que puede infectar su dispositivo. Para poner un ejemplo que no sea técnico, cada día millones de personas reciben llamadas telefónicas automatizadas falsas en las que se les informa que su cuenta bancaria ha quedado comprometida o que su identidad ha sido robada, todo ello con el fin de engañar a los desprevenidos para que compartan información delicada.

Pishing y la Sociedad Civil

Imagen de correo electrónico de phishing a la sociedad civil tibetana

Los sofisticados ataques de phishing personalizados se dirigen cada día a grupos de la sociedad civil de todo el mundo.

Un ejemplo de este tipo de ataque se destaca en el informe de 2018 de The Citizen Lab, Spying on a Budget: Inside a Phishing Operation with Targets in the Tibetan Community (Espionaje con presupuesto: dentro de una operación de suplantación de identidad con objetivos de la comunidad tibetana). Este ataque de phishing, muy económico y sencillo, pero increíblemente eficaz, estaba dirigido a los defensores de los derechos humanos del Tíbet y a otros activistas. El ataque comenzó con un correo electrónico de phishing (a la izquierda) desde una dirección estándar de Gmail que solo contenía un enlace a un archivo de imagen. Al hacer clic, el enlace llevaba al objetivo a una página falsa de acceso al correo electrónico de Google (en el centro) que se utilizaba para robar las credenciales de la cuenta. Si las víctimas proporcionaban credenciales a la página falsa, sus cuentas se verían fácilmente comprometidas. Tras proporcionar su nombre de usuario y contraseña en el sitio falso, las víctimas eran redirigidas a una imagen (a la derecha) que muestra a los delegados en una reunión tibetana. La imagen se incluyó como señuelo para hacer creer a los objetivos de la suplantación de identidad que realmente habían iniciado sesión en su cuenta real de Google y reducir cualquier posible sospecha sobre la verdadera naturaleza maliciosa del correo electrónico.

¿Cómo podemos identificar el phishing?

El phishing puede parecer siniestro e imposible de atrapar, pero hay algunas medidas sencillas que todos los miembros de su organización pueden tomar para protegerse contra la mayoría de los ataques. Los siguientes consejos de defensa contra el phishing se han modificado y ampliado a partir de la guía detallada de phishing elaborada por la Freedom of the Press Foundation, y deben compartirse en su organización (y otros contactos) e integrarse en su plan de seguridad:

A veces, el campo “de” le miente

Tenga en cuenta que el campo “de” en sus correos electrónicos puede ser falsificado o manipulado para engañarlo. Es habitual que los suplantadores de identidad creen una dirección de correo electrónico que se parece mucho a una legítima con la que usted está familiarizado, pero con un pequeño error ortográfico para engañarlo. Por ejemplo, puede recibir un correo electrónico de alguien con la dirección “[email protected]” en lugar de “[email protected]”. Fíjese en la “O” extra en Google. También es posible que conozca a alguien con una dirección de correo electrónico “[email protected]”, pero que reciba un correo electrónico de phishing de un impostor que haya creado “[email protected]”, con la única diferencia de un sutil cambio de letras al final. Asegúrese siempre de comprobar que conoce la dirección de envío de un correo electrónico antes de continuar. Un concepto similar se aplica al phishing a través de mensajes de texto, llamadas o aplicaciones de mensajería. Si recibe un mensaje de un número desconocido, piénselo dos veces antes de responder o interactuar con el mensaje.

Desconfíe de los Archivos Adjuntos

Los archivos adjuntos pueden llevar malware y virus, y suelen acompañar a los correos electrónicos de phishing. La mejor manera de evitar el malware de los archivos adjuntos es no descargarlos nunca. Como norma, no abra inmediatamente ningún archivo adjunto, especialmente si procede de personas que no conoce. Si es posible, pida a la persona que le ha enviado el documento que copie y pegue el texto en un correo electrónico o que comparta el documento a través de un servicio como Google Drive o Microsoft OneDrive, que tienen incorporado el escaneo de virus de la mayoría de los documentos subidos a sus plataformas. Construya una cultura organizacional en la que se desaconsejen los archivos adjuntos.

Si es absolutamente necesario abrir el archivo adjunto, solo debería abrirse en un entorno seguro (consulte la sección Avanzado más adelante), donde no pueda implementarse un potencial malware en su dispositivo.

Si utiliza Gmail y recibe un archivo adjunto en un correo electrónico, en lugar de descargarlo y abrirlo en su computadora, simplemente haga clic en el archivo adjunto y léalo en “vista previa” dentro de su navegador. Este paso le permite ver el texto y el contenido de un archivo sin descargarlo ni permitir que cargue posible malware en su computadora. Esto funciona bien para los documentos de texto, pdf e incluso presentaciones de diapositivas. Si necesita editar el documento, considere la posibilidad de abrir el archivo en un programa en la nube, como Google Drive, y convertirlo en un Google Doc o Google Slides.

Si utiliza Outlook, también puede previsualizar los archivos adjuntos sin necesidad de descargarlos desde el cliente web de Outlook. Si necesita editar el archivo adjunto, considere la posibilidad de abrirlo en OneDrive, si está disponible. Si utiliza Yahoo Mail, se aplica el mismo concepto. No descargue los archivos adjuntos, previsualícelos desde el navegador web. Independientemente de las herramientas que tenga a su disposición, lo mejor es simplemente no descargar nunca archivos adjuntos que no conozca o en los que no confíe. E independientemente de lo importante que pueda parecer un archivo adjunto, nunca abra algo con un tipo de archivo que no reconozca o que no tenga intención de utilizar nunca. 

Defensa contra el Phishing para su Organización

Si su organización utiliza Microsoft 365 empresarial para el correo electrónico y otras aplicaciones, el administrador del dominio debe configurar la política de Archivos Adjuntos Seguros para protegerse de los archivos adjuntos peligrosos. Si utiliza el Google Workspace para empresas (antes conocido como GSuite), existe una opción igualmente eficaz que el administrador debe configurar, denominada Google Security Sandbox. Los usuarios individuales más avanzados pueden considerar la configuración de sofisticados programas de Sandbox, como DangerZone o, para aquellos con la versión Pro o Enterprise de Windows 10, Windows Sandbox.

Otra opción avanzada que debe considerar implementar en su organización es un servicio de filtrado seguro del sistema de nombres de dominio (DNS, por sus siglas en inglés). Las organizaciones pueden utilizar esta tecnología para bloquear al personal y evitar que acceda o interactúe accidentalmente con contenidos maliciosos, lo que proporciona una capa adicional de protección contra el phishing. Aunque históricamente dicha tecnología requería un equipo exclusivo de personal informático interno, los nuevos servicios como Gateway de Cloudflare proporcionan dichas capacidades a organizaciones menos sofisticadas técnicamente, sin requerir grandes sumas de dinero (Gateway, por ejemplo, es gratuito para hasta 50 usuarios). Otras herramientas gratuitas, como Quad9 del Global Cyber Alliance Toolkit, lo ayudarán a bloquear el acceso a sitios conocidos que tienen virus u otros programas maliciosos y pueden implementarse en menos de cinco minutos.

Haga clic con precaución

No se fíe de los enlaces que aparecen en los correos electrónicos u otros mensajes de texto. Los enlaces pueden estar disfrazados para descargar archivos maliciosos o llevarlo a sitios falsos que pueden pedirle que proporcione contraseñas u otra información confidencial. En una computadora, hay un sencillo truco para asegurarse de que un enlace en un correo electrónico o un mensaje lo enviará adonde se supone que debe hacerlo: pase el mouse por encima de cualquier enlace antes de hacer clic en él, y mire en la parte inferior de la ventana del navegador para ver cuál es la URL real (vea la imagen siguiente).

Foto de la bandeja de entrada de Outlook

Es más difícil comprobar los enlaces de un correo electrónico en un dispositivo móvil sin hacer clic accidentalmente en ellos, así que tenga cuidado. Pero puede comprobar el destino de un enlace en la mayoría de los teléfonos inteligentes pulsando de forma prolongada (manteniéndolo pulsado) sobre un enlace hasta que aparezca la URL completa.

En el phishing a través de SMS y aplicaciones de mensajería, los enlaces acortados son una práctica muy común utilizada para disfrazar el destino de una URL. Si ve un enlace corto (como bit.ly o tinyurl.com, por ejemplo) en lugar de la URL completa, no haga clic en él. Si el enlace es importante, cópielo en un expansor de URL, como https://www.expandurl.net/, para ver el destino real de una URL acortada. Además, no haga clic en enlaces a sitios web con los que no esté familiarizado. En caso de duda, realice una búsqueda del sitio, con el nombre del sitio entre comillas (por ejemplo: “www.badwebsite.com”) para ver si es un sitio web legítimo. También puede verificar enlaces potencialmente sospechosos a través del escáner de las URL de VirusTotal. Esto no es 100 % exacto, pero es una buena precaución.

Por último, si hace clic en algún enlace de un mensaje y se le pide que inicie sesión en algo, no lo haga, a menos que esté 100 % seguro de que el correo electrónico es legítimo y que lo envía al sitio apropiado. Muchos ataques de phishing proporcionan enlaces que lo envían a páginas de inicio de sesión falsas para Gmail, Facebook u otros sitios populares. No caiga en la trampa. Siempre puede abrir un nuevo navegador e ir directamente a un sitio conocido, como Gmail.com, Facebook.com, etc. si quiere o necesita iniciar sesión. Eso también lo llevará al contenido de forma segura, si era legítimo en primer lugar.

¿Qué debemos hacer cuando recibimos un mensaje de phishing?

Si alguien en su organización recibe un archivo adjunto no solicitado, un enlace, una imagen, o un mensaje o una llamada sospechosos, es importante que lo comunique inmediatamente al responsable de seguridad informática de su organización. Si aún no cuenta con esta persona, debe identificarla como parte del desarrollo de su plan de seguridad. El personal también puede denunciar el correo electrónico como spam o phishing directamente en Gmail o Outlook.

Es crucial contar con un plan sobre lo que el personal o los voluntarios deben hacer si reciben un posible mensaje de phishing. Además, le recomendamos que adopte estas buenas prácticas de phishing: no hacer clic en enlaces sospechosos, evitar los archivos adjuntos y comprobar la dirección del remitente, y que las comparta con otras personas con las que trabaja, preferiblemente a través de un canal de comunicación muy utilizado. Esto demuestra que se preocupa por las personas con las que se comunica y fomenta una cultura en sus redes de que está alerta y es consciente de los peligros del phishing. Su seguridad depende de las organizaciones en las que confía, y viceversa. Las mejores prácticas protegen a todos.

Además de compartir los consejos anteriores con todo el personal y los voluntarios, también puede practicar la identificación del phishing con el Cuestionario sobre Phishing de Google. También recomendamos encarecidamente que se organice una capacitación periódica sobre phishing con el personal para comprobar el conocimiento sobre el tema y mantener a la gente alerta. Dicha capacitación puede formalizarse en el marco de las reuniones periódicas de la organización, o celebrarse de manera más informal. Lo importante es que todos los miembros de la organización se sientan cómodos haciendo preguntas sobre el phishing, denunciando el phishing (incluso si creen que pueden haber cometido un error, como hacer clic en un enlace), y que todos estén capacitados para ayudar a defender su organización contra esta amenaza de gran impacto y alta probabilidad.

Phishing

  • Capacite periódicamente al personal sobre qué es el phishing, cómo detectarlo y defenderse de él, por ejemplo, el phishing en mensajes de texto, aplicaciones de mensajería y llamadas telefónicas, no solo en el correo electrónico.
  • Recuérdele con frecuencia al personal las mejores prácticas, como:
    • No descargue archivos adjuntos desconocidos o potencialmente sospechosos.
    • Compruebe la URL de un enlace antes de hacer clic en ella. No haga clic en enlaces desconocidos o potencialmente sospechosos.
    • No proporcione información delicada o privada por correo electrónico, texto o llamada telefónica a direcciones o personas desconocidas o no confirmadas.
  • Fomente la denuncia del phishing.
    • Establezca un mecanismo de notificación y un responsable de suplantación de identidad dentro de su organización.
    • Premie los informes y no castigue los fracasos.