Phishing: ¿qué es y cómo prevenirlo?

Autónomos y pymes continúan siendo objeto de campañas de phishing. Pero, ¿qué es exactamente? ¿Qué persiguen los cibercriminales a través de él? Y sobre todo, ¿cómo puede prevenirse? Expertos en ciberseguridad consultados por el blog de Senassur dan respuesta a dichas preguntas.

Pensando en aquellos que no están familiarizados con los riesgos de Internet, desde el Instituto Nacional de Ciberseguridad (Incibe) recuerdan que una de las amenazas más frecuentes en las pymes es el “phishing”. Este término significa “suplantación de identidad” y proviene del inglés “fishing”, que se pronuncia igual y cuya traducción es “pescar”. Pero en el ámbito de la Red no se pescan peces, sino datos personales como nombres de usuario, contraseñas o datos de cuentas bancarias.

Las dos caras del phising

• Por una parte, consiste en el envío de un correo electrónico, una llamada telefónica o un mensaje SMS con el que los emisores intentan robar los datos del receptor.
• Y por otra, a través del phishing se puede atacar una web para suplantar a otra y enviar correos con el objetivo de robar los datos de los clientes de la entidad suplantada.

Pero, realmente, ¿cómo afecta a autónomos y pymes? ¿Qué persiguen los ciberdelincuentes con las campañas de phishing? ¿Algunos indicios pueden alertarnos de que podemos ser víctimas de él? Y no menos importante, ¿qué consejos pueden poner en práctica los profesionales de la mediación para evitar picar el anzuelo?

¿Cómo afecta el phishing a autónomos y pymes?

Para dar respuesta a dichas preguntas, Senassur ha recabado la opinión de destacados expertos del mundo de la ciberseguridad. En el caso de cómo puede afectar el phishing a los autónomos y las pymes, Alberto Tejero, director comercial de Panda Security en nuestro país, alerta sobre los efectos de una amenaza relativamente sencilla y económica de poner en marcha:

“Un ataque de phishing puede traducirse en pérdidas económicas, sistemas inutilizables hasta la ejecución del pago requerido por el ciberdelincuente, daño reputacional si se filtra externamente, etc. Teniendo en cuenta dichas consecuencias, el phishing es una de las principales amenazas para autónomos y pymes; especialmente el phishing móvil, que extiende el canal de recepción a emails y SMS”.

Objetivos: ¿qué persiguen los ciberdelincuentes?

En cuanto a cuáles son los objetivos que persiguen los ciberdelincuentes que se sirven de las campañas de phishing, Josep Albors, responsable de Concienciación e Investigación de ESET España, amplía lo señalado al inicio del presente post:

“Sobre todo, los ciberdelincuentes buscan robar las credenciales de acceso a servicios online con información confidencial. En muchas ocasiones están centrados en poder acceder a la banca online de los usuarios, pero también se producen ataques que persiguen traficar con sus datos o incluso extorsionarlos”.

Y para lograr dicho fin, Alfonso Ramírez, director general de Kaspersky Lab Iberia, advierte sobre los medios empleados por la ciberdelincuencia:

“Muy frecuentemente, los envíos masivos incluyen enlaces y archivos maliciosos con el fin de engañar a los usuarios y recopilar información crítica de los destinatarios (contraseñas, cuentas, etc.). Para los ciberdelincuentes, cualquier dato personal de los usuarios es un valor deseado. Y para ello se sirven del correo electrónico y las técnicas de ingeniería social”.

Y a lo expuesto por ambos profesionales, Alberto Tejero recuerda que para intentar lograr sus propósitos, el phishing se basa en la suplantación de identidad:

“Con las campañas de phishing, los ciberdelincuentes buscan llevar a cabo un fraude a través del envío de correos electrónicos y SMS que simulan ser empresas reales y de confianza. Y en dichos medios se incluyen desde supuestas promociones hasta peticiones de datos para solucionar un problema”.

¿Cómo podemos saber si estamos ante un caso de phishing?

Precisamente, unas semanas antes de la elaboración del presente post, un lector nos alertó de un correo electrónico “sospechoso” enviado supuestamente por su entidad aseguradora. En concreto, se trataba de un archivo PDF con los datos de renovación de su póliza de hogar, pero para abrir el documento era necesario que el cliente introdujese su número de DNI.

Finalmente, el email resultó ser auténtico. Pero, ante casos así, ¿cómo podemos saber si detrás de un correo electrónico de una empresa que nos resulta conocida se esconde una campaña de phishing? Según los expertos de ESET, Kaspersky Lab Iberia y Panda Security consultados por el blog de Senassur, hay algunos indicios que podemos detectar como usuarios para no caer en el phishing:

• Correos electrónicos. Los emails de phishing están diseñados para parecer auténticos. Pero si nos fijamos con detenimiento, es posible encontrar errores ortográficos y direcciones de correo electrónico sospechosas. Por ejemplo, un mensaje de Google debería ser no-reply@accounts.google.com y no no-reply@accounts.google.scroogle.com o algo similar. Además, que en el mensaje se dirijan a nosotros de manera poco habitual también es motivo para desconfiar.
• Comprobación de la dirección web. Antes de cliquear en un enlace que nos lleve a una página web, conviene realizar una comprobación en un buscador si no nos inspira confianza y recabar información de otros internautas. Y en lugar de pinchar la dirección desde el correo que nos han enviado, una buena medida de seguridad es copiarla y pegarla directamente en el navegador.

Igualmente, poner el cursor encima de un enlace nos ayudará a verificar la dirección y a detectar alguna errata (www.senassur.es y www.senasegur.es son direcciones distintas, pero la segunda, al ser similar fonéticamente, podría “colar” como auténtica para un usuario).

• Protocolo de seguridad. Si bien la dirección de muchas páginas web comienza por http, las que empiezan por https son más seguras al contar con una forma de encriptación que protege los datos personales.
• Ortografía y lenguaje. Si somos presas de los cibercriminales, acabamos picando el anzuelo y terminamos visitando una web falsa, las deficiencias en el lenguaje también nos deberían invitar a sospechar sobre la página en cuestión.
• Formas de pago no seguro. Y, obviamente, aunque aparezcan logotipos de métodos de pago populares y seguros, antes de realizar una compra online es recomendable ser precavidos y fijarse en el sitio al que nos redireccionan. Al respecto, desde la Oficina de Seguridad del Internauta (OSI) nos brindan unos consejos prácticos para realizar compras online seguras.

Consejos para evitar ser víctimas del phishing

Y ya que nos hemos referido a los consejos, los profesionales de ESET, Kaspersky Lab Iberia y Panda Security consultados por el blog de Senassur nos han brindado una serie de recomendaciones para, en la medida de lo posible, evitar que los profesionales de la mediación de seguros sean víctimas del phishing. Sin duda, indicaciones muy a tener en cuenta para que la continuidad del negocio no se vea comprometida:

• Ante un correo electrónico de una empresa conocida que nos despierte sospechas, lo mejor es llamar por teléfono a la compañía que supuestamente lo ha enviado y aclarar cualquier duda que tengamos. Si no ha sido ella quien lo ha mandado, el asunto ha de denunciarse.
• Relacionado con el punto anterior, el mensaje de un amigo o conocido tampoco nos garantiza su autenticidad, ya que su cuenta de correo electrónico podría haber sido hackeada.
• Detrás de los correos electrónicos o las páginas web con un lenguaje que nos resulte extraño o mal traducido puede camuflarse una campaña de phishing.
• Asimismo, se ha de prestar atención a las direcciones de correo electrónico y de las páginas web. Las erratas incluidas en ellas y los hipervínculos nos pueden alertar.
• En caso de tratarse de una entidad financiera, los bancos no solicitan claves o datos personales por correo electrónico. Además, no se debe visitar la web de un banco a través de enlaces incluidos en emails ni utilizando redes wifi públicas.
• El usuario y la contraseña y los datos confidenciales solamente han de introducirse en webs seguras que empiecen por https. Y junto a la dirección de la página tiene que aparecer un candado cerrado.
• Es de sentido común: los autónomos y pymes de la mediación deben contar, al menos, con un antivirus para proteger sus dispositivos, utilizar software original y tener actualizados tanto los sistemas operativos como los navegadores web. Como hemos aconsejado en otros artículos del blog de Senassur, lo mejor es ponerse en manos de profesionales.
• Y ante la mínima duda, lo mejor es deshacerse del correo electrónico sospechoso, no abrir ningún documento adjunto que nos haga desconfiar y no visitar una página web si no nos inspira confianza.

En definitiva, el phishing es una técnica usada por los ciberdelincuentes para obtener información personal y bancaria de los usuarios suplantando a un banco, una red social, una entidad pública, etc. Y cualquiera puede caer en las redes de los cibercriminales. De ahí la importancia de no morder el anzuelo. Para evitarlo, utilizar el sentido común, poner en práctica una serie de consejos y confiar en profesionales de la ciberseguridad nos ayudará a que el normal desarrollo de nuestra actividad no se vea interrumpido.