Seguramente muchas veces has vestido el traje de potencial víctima del cibercrimen, sin siquiera saberlo. ¿O no recuerdas haber recibido un extraño correo electrónico o un SMS invitándote a dar click a un enlace para confirmar tus datos bancarios? Pues bien, para tu información este es un ejemplo del llamado phishing, un término utilizado para describir el intento de los ciberdelincuentes por adquirir tu información confidencial, como nombres de usuario, contraseñas y detalles de tarjetas de crédito, siendo también un arma muy utilizada en el mundo del espionaje industrial.
“Los phishers usan la llamada ingeniería social, es decir, el conjunto de técnicas cibernéticas creadas para engañar a los usuarios incautos, que incluye el envío de correos electrónicos con links a sitios web falsos que parecen legítimos, o de mensajes de texto o mensajes instantáneos con links maliciosos en redes sociales”, sostiene Camilo Mix, analista en Ciberinteligencia de CronUp Ciberseguridad.
Algunos más osados incluso llaman a sus potenciales víctimas, simulando representar a alguna institución de renombre, con el objetivo de que revelen cualquier tipo de antecedente que les sirva para infiltrarse en sus datos confidenciales o empresariales.
La pregunta clave en estos casos es ¿cómo reconocer que un mensaje es parte de una operación de phishing? “De partida, ninguna o casi ninguna empresa, sea del rubro que sea, pide datos personales a través de un correo electrónico. Si así ocurriera, es el momento de levantar una alerta. La dirección del remitente también nos puede dar luces de que esto puede ser un intento de ataque informático. Es necesario señalar también que este tipo de operaciones requiere mucho tiempo, sobre todo el replicar el formato de una organización, un tiempo que los cibercriminales no están dispuestos a perder. Por eso, es muy común encontrarse en estos mensajes con faltas ortográficas, errores en los logos, entre otros”, añade Mix.
Para evitar caer en la trampa del phishing es importante que los usuarios sean conscientes de esta amenaza y de los métodos que utilizan los phishers. “La información es poder y en este marco ya sabemos que después de leer un correo que pudiera resultar sospechoso, jamás se debe abrir el enlace adjunto, menos si al supervisar la URL no cuenta con el dominio corporativo a donde será redireccionado. También es necesario mantener actualizado computador, sistemas operativos, navegador web y smartphones con antivirus eficaces. Siempre tener la costumbre de poner datos privados en sitios web que contengan sus respectivos certificados de seguridad, por ejemplo, en donde se muestre el icono de un candado cerrado”, argumenta el especialista en Ciberinteligencia.
Al cerrar, Camilo Mix recomienda revisar constantemente cuentas y facturas, pues ante cualquier irregularidad en las transacciones se debe avisar a las instituciones correspondientes. “Siempre vamos a insistir en dos puntos para estos casos: el sentido común debe primar ante la sospecha de un mensaje malicioso y es clave la capacitación respecto a cómo funciona el phishing y otros tipos de ataques informáticos, además del daño que pueden lograr sobre todo en equipos empresariales, quienes se ven continuamente sujetos a este tipo de amenazas”, concluye.
Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence
