A pesar de ser
una de las técnicas de ingeniería social y ciberataques más comunes en la
actualidad, el phishing sigue siendo un fuerte vector de entrada de
ataque utilizado por muchos ciberdelincuentes. Esta técnica pretende obtener de
manera fraudulenta información personal o empresarial de los usuarios mediante
correos y páginas webs aparentemente fiables, donde dichos usuarios introducen
sus datos confiando en su legitimidad.
En un boletín publicado por el Instituto Nacional de Ciberseguridad de
España (INCIBE) respecto al Balance de Ciberseguridad del pasado año 2022, se
gestionaron un total de 118.820 incidentes de ciberseguridad, de los cuales
casi 17.000 incidentes (un 14 % del total) fueron ocasionados por phishing.
No es de extrañar que con la constante digitalización de los servicios y la
ingente cantidad de información que los usuarios manejan en sus dispositivos,
las cifras de phishing se incrementen en 2023.
Por todo
ello, es indispensable que exista un adecuado conocimiento en materia de ciberseguridad,
o una serie de pautas a seguir, que ayuden a identificar y evitar ser víctimas
de este tipo de ciberataques.
En lo
relativo al contenido del correo electrónico recibido, es importante
identificar características que serían determinantes para dicho correo, como
son: remitente que lo envía, dirección de correo electrónico que utiliza (antes
del @), dominio de la dirección de correo electrónico (después del @) o pie de
firma. Si el cuerpo del correo contiene múltiples faltas de ortografía o exige
una urgencia o respuesta inmediatas, son señales de alerta.
Ocasionalmente,
existen ficheros adjuntos al correo en cuestión. Es fundamental desconfiar de
dichos documentos, por lo que hay que evitar su apertura o ejecución en un
principio. Para distinguir si se trata de un archivo legítimo o no, se
recomienda como buena práctica observar tanto el nombre del documento como su
extensión.
Si el
fichero tiene nombres genéricos del tipo “nóminas”, “facturas”, “documentación”
o similares, es un primer punto de partida para sospechar. Normalmente cuando
recibimos archivos adjuntos en un correo electrónico, suelen incluir
características distintivas que ofrecen un mayor detalle; como nombre de la
empresa que lo envía, tema del documento, o año o mes que lo relaciona.
Las prisas nunca son buenas
consejeras, si alguien te pide algo por correo y expone una situación de última
hora o te mete prisas para que accedas a un enlace o hagas algo, desconfía y
llama al peticionario a un teléfono que tengas tú guardado de ocasiones
anteriores, nunca al que indica en el correo.
Por otro
lado, el factor clave de identificación es la extensión. Si se espera recibir
un archivo de una extensión en concreto, hay que asegurarse de que el fichero
adjunto es de ese tipo. Para ello, además de comprobar el icono que lo
identifica, se recomienda activar la visualización de extensiones en el sistema
para verificarlo, también Configurar las aplicaciones para que no se ejecuten macros
de forma automática. Es una buena práctica tener especial precaución con
los archivos que solicitan la habilitación de macros deben ser
descartados, ya que pueden contener comandos que extiendan virus o malware
en el equipo o red.
En el caso
de los ficheros ejecutables, hay que tener especial cuidado ya que pueden
contener scripts o instalar contenido en los sistemas que contengan código
malicioso. Para ello, se recomienda utilizar antimalware o herramientas como Virustotal, la cual permite analizar
archivos descargados en el equipo previo a ejecutarlos.
Adicionalmente,
es posible que en el cuerpo del correo se incluyan enlaces externos a páginas
web, las cuales pueden ser maliciosas. Para evitarlo, se aconseja atender a la
sintaxis de dicho enlace, y, además, nunca hacer clic directamente en éste;
sino en su lugar escribir manualmente la dirección legítima en el navegador. De
esta forma, además de evitar el posible phishing se evitan técnicas como
typosquatting donde se incluyen caracteres o símbolos en el enlace que
pasan desapercibidos a simple vista.
Si se
requiere una confirmación adicional del enlace, pueden usarse herramientas como
unshorten.me la cual permite ver un mensaje acortado en su versión
extendida.
En ámbitos
empresariales, se recomienda hacer campañas de phishing simulado con
cierta regularidad con el objetivo de crear concienciación directa en la
plantilla. El beneficio adicional de esta práctica es que permite tomar datos
estadísticos del nivel de riesgo que existe en la empresa frente a ciberataques
de este tipo, y tomar las medidas adecuadas en base a dicho riesgo.
Por último,
se recomienda mantener los sistemas con los antivirus (especialmente con características
de XDR) y aplicaciones actualizadas en su última versión, e instalar filtros antispam,
así como desactivar la vista previa de correos en HTML para las cuentas de
usuario que se consideren críticas.
A pesar de
que todos estos consejos disminuyen exponencialmente el peligro de caer frente
a este tipo de amenazas, es fundamental tener en cuenta que el phishing
cada vez está refinándose más; y que el error humano siempre es un factor a
tener en cuenta en el uso de una herramienta tan extendida y usada a nivel
personal y empresarial como es el correo electrónico.
Tips de buenas prácticas
para no caer en el phishing:
1.
Revisa el email (tanto la dirección como el
domino).
2.
Desconfía de asuntos genéricos.
3.
No tengas prisa, si te meten prisa desconfía
y comprueba la situación descrita en el correo.
4.
Revisa las faltas de ortografía y gramaticales
en el contenido del correo.
5.
Si no esperas un fichero en un correo, no lo abras.
6.
Si recibes adjuntos sin hacer una revisión
pormenorizada del correo.
7.
Activa la visualización de extensiones.
8.
Verifica con tu antivirus los adjuntos.
9.
No ejecutes macros si tienes plena confianza
en el adjunto y en el remitente.
10. No hagas click en los enlaces que veas en un
correo, puede haber sorpresas, con los acortadores emplea unshorten.me o herramientas
similares.
11.
En entorno empresarial, conciencia y haz
campañas de phishing simulados.
12.
Mantén tu antivirus actualizado.
Si necesitáis cualquier
ayuda con tareas de concienciación, tienes alguna duda o quieres hacer campañas
de phishing en tu empresa no dudéis en contactar con www.zerolynx.com, y
sobre todo: ¡abrid bien los ojos!
Fco Javier Pérez Sánchez, Consultor de Ciberseguridad