Análisis en profundidad

Qué es el phishing: una guía para detectarlo

El phishing es la ciberestafa más común en todo el mundo y con la pandemia aumentó exponencialmente. Las personas volcaron la mayor parte de sus actividades a la digitalidad y los criminales informáticos aprovecharon el contexto para engañar diariamente a miles de usuarios.

05 May 2022
Phishing

La problemática generada por el phishing y otras formas de ciberestafa es tan grande que preocupa a gobiernos, agencias internacionales, empresas y personas por igual. Según una compañía especializada en ciberseguridad, estos delitos virtuales causarán pérdidas globales por US$ 10.5 trillones a partir del 2050. Y sin las medidas de seguridad adecuadas, esa cifra continuará aumentando. 

La palabra phishing se utiliza para describir a un tipo de ciberestafa. A través del uso de “técnicas de ingeniería social”, el objetivo de los delincuentes es engañar a una persona para obtener información privada de ella. De conseguirlo, la víctima puede perder desde contraseñas de emails hasta claves bancarias sin darse cuenta de que está siendo estafada. 

Esto ocurre porque los criminales idean tácticas para evitar ser descubiertos durante el proceso. En los últimos años se han denunciado desde supuestos emails de marcas internacionales hasta llamadas de ayudantes bancarios. En todos los casos, el delincuente se gana la confianza de su víctima y, a través del phishing, roba sus datos personales.

El phishing se ha vuelto tan común que solo durante 2020 casi 250.000 mil estadounidenses lo sufrieron. Los datos surgen de un reporte sobre Cibercrimen Global publicado a finales del 2021, que señala que los países europeos son los más preparados para prevenir este tipo de ataques. Dinamarca, Alemania, Noruega y Reino Unido se encuentran en la cima de esa lista. 

¿Cuándo nace el phishing?

No hay forma de saber cuándo ocurrió el primer caso de phishing de forma precisa. Aunque internacionalmente se suele tomar como punto de partida una estafa que ocurrió a mediados de la década de 1990. En la misma, un grupo de jóvenes hackers se hizo pasar por administradores de la empresa AOL para robar números de tarjetas de créditos. 

Para conseguir esto, los delincuentes crearon usuarios similares a los utilizados por la compañía para brindar apoyo técnico. Desde ellos, se contactaron con las víctimas indicando que había problemas con el servicio. Según aseguraban, era necesario tener información del cliente para resolver el desperfecto. Era en ese momento que le pedían a las personas sus números de tarjetas de crédito, los cuales utilizaron posteriormente para realizar compras por su cuenta. 

Cuando los dueños de las tarjetas entendieron lo que estaba ocurriendo, los gastos ya habían sido facturados. Con el tiempo, se describió a este accionar como phishing, en relación a la palabra en inglés “fishing”, que quiere decir pescar en español. Esta idea surgió porque los phishers, personas que llevan a cabo este ciberdelito, ponen “un anzuelo” a la víctima para  hacerla caer en la trampa. 

Características comunes del phishing

En la actualidad, el phishing se practica por medio de emails, llamadas, redes sociales o plataformas de mensajes como WhatsApp. Por lo general, los delincuentes utilizan el nombre de marcas o empresas internacionales con el objetivo de generar confianza en la víctima. Por eso, suelen falsificar la dirección o cuenta que envía el mensaje para que sea similar a la de la compañía. 

Para hacerlo aún más real, el criminal suma el logo de la marca o empresa, el cual sustrae de Internet. Y para que el comunicado resulte todavía más atractivo, inventa un sorteo o regalo que le llegará a la persona si completa una encuesta o hace click en un link. Sin embargo, al realizar estas acciones, la víctima termina en un sitio inventado que no es el de la empresa. Como es muy similar, no se da cuenta y termina otorgando datos privados y sensibles de su intimidad. 

Según un informe de Check Point Research, durante el primer trimestre del 2022 la empresa más utilizada para realizar phishing fue LinkedIn. El reporte señala que el 52% de los ataques internacionales estuvieron relacionados con esa compañía. El resto fueron: DHL (14%), Google (7%), Microsoft (6%), FedEx (6%), WhatsApp (4%), Amazon (2%), Maersk (1%), AliExpress (0,8%) y Apple (0,8%).

Coca-Cola, Adidas, McDonald’s, Nike, Pepsi y otras corporaciones internacionales también suelen utilizarse para este tipo de ciberestafas. Todas ellas tienen una larga trayectoria y son conocidas en todos los sectores de la sociedad. Además, gozan de buena reputación entre los consumidores. La finalidad es que la víctima reconozca de forma rápida a la empresa y así evite pensar que en realidad está ante una estafa. 

La Comisión Federal de Comercio de los Estados Unidos generó una serie de tips rápidos para detectar casos de phishing. Si un mensaje recibido cuenta con alguna de estas características, es recomendable eliminarlo o tomar medidas preventivas antes de continuar:

  • Decir que se ha detectado alguna actividad sospechosa o intentos de inicio de sesión en alguna de sus cuentas.
  • Afirmar que hay un problema con su cuenta o con su información de pago.
  • Decir que debe confirmar algunos datos personales.
  • Incluir una factura falsa.
  • Pedirle que haga clic en un enlace para hacer un pago de una compra o servicio.
  • Decir que usted es elegible para registrarse para recibir un reembolso del gobierno.
  • Ofrecerle un cupón para algo gratis o con descuento.

¿Cuándo es más común? 

Como se mencionó, la cantidad de casos de phishing se incrementó desde el comienzo de la pandemia. Por lo tanto, los usuarios están expuestos a este ciberdelito durante todos los días del año. Sin embargo, existen momentos específicos donde su aparición es mucho más frecuente. 

El primero de ellos son las fiestas. Navidad y Año Nuevo suelen ser terreno fértil para los delincuentes digitales porque las personas invierten mucho dinero en compras de todo tipo. Desde regalos y comida hasta entretenimiento y servicios, los gastos durante esas semanas se incrementan y los casos de phishing también. 

A estas festividades les siguen otras más específicas como Pascuas, el Día de la Madre o el Día del Niño. Es muy frecuente que días antes de sus celebraciones circulen mails o mensajes para ganar huevos de chocolate, perfumes o juguetes. Los criminales apuestan por la intención de las personas de conseguir un obsequio de forma gratuita y aprovechan eso para robar información personal. 

Otros momentos en los cuáles los casos de phishing florecen son las fechas de fomento del e-commerce. El Black Friday o el Cyber Monday son días para extremar las medidas de seguridad ante las ciberestafas. Las empresas realizan campañas de marketing y los usuarios reciben constantemente mails con promociones y descuentos. La mayoría de ellos son verdaderos pero al ser tan masivos es muy fácil para los criminales virtuales esconder engaños entre ellos. 

Por último, aparecen las vacaciones, sobre todo las de verano. Antes de su llegada, los casos de phishing suelen relacionarse con sorteos para ganar vuelos de avión a destinos paradisíacos. También hospedajes en playas remotas o paseos por las principales ciudades del mundo. Pero ninguno de ellos es real y al finalizar el proceso la persona termina accediendo a un sitio fraudulento. 

¿Cuáles son los casos de phishing más comunes? 

A lo largo de los últimos años, los delincuentes virtuales fueron sofisticando y desarrollando distintos tipos de phishing, siendo la del email el más frecuente de todos. 

La segunda forma más cotidiana es el vhishing. Sus características y objetivos son los mismos salvo que esta versión no se lleva a cabo por mail. En estos casos, la víctima recibe una llamada telefónica y es impulsada a dar información por un supuesto error en un servicio o producto que compró. Es frecuente también que sea amenazada en caso de dudar o alertar que algo extraño está pasando. 

Otro caso es el spear phishing, que tampoco es muy distinto de la versión original. La diferencia radica en que en esta última el mensaje que recibe la persona es general. Es decir, el criminal obtiene una base de datos con emails y envía el mismo texto a cientos o miles de direcciones. Mientras que en este tipo, el comunicado es personalizado. Por lo tanto, en el mail aparece el nombre y apellido de la víctima con el objetivo de darle más confianza sobre el resto del contenido. 

Hasta ahora se han visto casos de phishing relacionados a emails y llamadas. Pero también existen aquellos que se realizan por mensajes de texto o SMS. A estos se los llama smishing y son menos frecuentes en la actualidad. Esto se debe a que pocas personas usan esta forma de comunicación que fue reemplazada por plataformas como WhatsApp y Telegram

Un caso muy agresivo de phishing es aquel que activa un malware de forma directa. Por lo general, los emails recibidos le piden a la persona que haga click en un link y recién en ese momento es dirigida al sitio falso. En este caso, con tan solo abrir el mail se activa el malware que infecta al equipo y roba información privada. 

Finalmente, una variedad de phishing que surgió recientemente es el QRishing. Los delincuentes cambian el QR de un banco o de una marca y cuando la persona lo escanea con su dispositivo activa el malware que lleva dentro. Aún no son tan comunes pero se han visto cada vez más casos porque la utilización de códigos QR es cada vez más cotidiana. 

El phishing y las redes sociales

El surgimiento de las redes sociales también habilitó nuevos espacios para que los ciberdelincuentes distribuyan phishings. Facebook, Instagram, Tinder y LinkedIn son las plataformas más utilizadas para engañar a las personas ya que millones de ellas pasan una gran cantidad de horas al día compartiendo contenido en estos espacios virtuales. 

En Facebook e Instagram, el phishing suele comenzar con los ciberdelincuentes ingresando de forma ilegal a la cuenta de un usuario. Desde ella envían a todos los “amigos” un mensaje junto al link de la web fraudulenta. En el pasado se han detectado textos del estilo: “Creo que apareciste en este video. ¿Sos vos?”. Al provenir de una supuesta persona conocida, la víctima confía que está hablando con dicho individuo pero al hacer click termina siendo estafada. 

En el caso de Tinder y LinkedIn, la modalidad es un tanto diferente. En ambos casos, el mensaje llega a través de un mail que aparenta ser de la empresa. En el caso de Tinder, aparece un correo con frases del estilo: “Tenés muchos matches, entrá a ver quiénes son”. Mientras que en el caso de LinkedIn suelen llegar comunicados como: “Muchas empresas están viendo tu perfil. Enterate cuáles”. 

En ambas situaciones, hay un link que la persona no revisa y clickea casi de forma inmediata. Esa acción desencadena el phishing, que resulta muy difícil de frenar una vez iniciado.

Phishing con criptomonedas

La gran popularidad de las criptomonedas y otros activos digitales basados en la tecnología blockchain, como los NFTs, genera que los ciberdelincuentes extremen sus esfuerzos en este campo. Por lo general, su objetivo es ingresar a las billeteras virtuales de los usuarios para quedarse con sus tokens. 

A este accionar se lo conoce usualmente como crypto clipping. Para explicarlo, sirve tomar como ejemplo un caso que ocurrió a finales del 2021. Todo comenzó con una nueva variante de un malware diseñado específicamente para robar criptomonedas durante su transacción. Se le asignó el nombre de Twitz y constó de un botnet que fue distribuido entre miles de personas a través de una campaña de phishing. 

Quienes accedieron al link, desataron un malware dentro de sus dispositivos que realizaba transacciones de criptomonedas. El mismo reemplazaba de forma automática la dirección de la billetera de la víctima para redirigir esos activos a una billetera controlada por el atacante y de esta manera robar su dinero.

Aunque hubo casos en Estados Unidos y Europa, la región donde se detectó este crypto clipping con más regularidad fue Latinoamérica. En países como México, Guatemala, Perú y Venezuela se descubrieron miles de casos que fueron alertados por distintas compañías de ciberseguridad. 

Más fraudes con criptomonedas

Otro accionar que se volvió popular es la creación de tokens falsos a través de la desconfiguración de smart contracts en las distintas blockchains. El caso más famoso es el de la criptomoneda SQUID relacionada a la serie “El juego del calamar”. A través de una campaña de phishing, y aprovechando el furor por la producción surcoreana, un grupo de hackers impulsó a millones de personas a comprar esta supuesta cripto cuyo valor “seguiría aumentando”. 

Se estima que los delincuentes recibieron más de tres millones de dólares y, una vez alcanzada esa cifra, desaparecieron. Al poco tiempo se supo que la criptomoneda nunca fue real y que había sido creada a partir de una desconfiguración de un contrato inteligente. 

Expertos explican paso a paso cómo se desconfiguran los smart contracts:

  • Para crear tokens fraudulentos: los ciberdelincuentes desconfiguran los llamados contratos inteligentes, programas almacenados en blockchain que se ejecutan cuando se cumplen unas condiciones predeterminadas. Check Point Research describe los pasos que siguen los atacantes para aprovecharse de este tipo de contratos.
  • Manipulan las funciones: con la transferencia de dinero, impidiendo vender, o aumentar la cantidad de la cuota. La mayoría de las manipulaciones se producen cuando se transfiere el dinero.
  • Crean un hype a través de las redes sociales: abriendo canales Twitter/Discord/Telegram, sin revelar su identidad o utilizando la imagen falsa de otras personas, y empezarán a dar bombo al proyecto para que el público empiece a comprar.
  • «Retirada del dinero»: una vez alcanzada la cantidad de dinero que quieren, retirarán de todo el dinero del contrato, y borrarán todos los canales de las redes sociales.
  • Omiten los timelocks: por lo que no se verá que esos tokens bloqueen una gran cantidad de dinero en la reserva de contratos, ni tampoco que añadan timelocks. Los timelocks se utilizan sobre todo para retrasar las acciones administrativas y generalmente se consideran un fuerte indicador de que un proyecto es legítimo.

¿Cómo protegerse? 

Cada empresa o experto de ciberseguridad da consejos para protegerse de los casos de phishing. Por lo general, son bastante similares entre sí. En general, las prácticas para defenderse de este tipo de ciberestafas podrían resumirse en la siguiente lista: 

  •   Sospechar de los obsequios y premios gratuitos. No confiar en mensajes que llegan vía WhatsApp o RRSS que ofrecen premios y/o regalos. Sobre todo antes de festividades o celebraciones ya que son los momentos más aprovechados por los cibercriminales para distribuir phishings. 
  •       Nunca entregar datos personales, ni nombre de usuario y password, número de cuentas bancarias, número tarjeta de crédito, en general “datos sensibles”. 
  •       Verificar en la web si existen denuncias o damnificados 
  •        Observar la URL de la página web, verificar si es un sitio oficial o un clon. Las URL fraudulentas suelen tener una letra de más, una de menos o una repetida. Nunca van a ser iguales a las originales por lo que si se presta atención es posible identificarlas. 
  •       Desconfiar por más que nos lleguen a través de personas que conocemos. Es muy común que los delincuentes ingresen de forma ilegal a cuentas de individuos reales para distribuir el phishing entre los contactos sin generar sospechas. 
  •       Siempre acceder al sitio web/aplicación oficial en lugar de usar enlaces de fuentes desconocidas. 
  •       Nunca hacer click en enlaces o archivos adjuntos de fuentes desconocidas.  
  •       Activar la autenticación de dos factores que actualmente es ofrecida en todas las plataformas digitales. 

Otra herramienta muy fácil de instalar y que puede impedir que muchos emails fraudulentos ingresen a la casilla de mails es el filtro de spam. Además, existen protecciones adicionales para detectar o advertir que un mensaje o link es fraudulento. Los expertos recomiendan actualizar constantemente los antivirus y los softwares en celulares para instalar en los dispositivos estas configuraciones. 

 ¿Cómo denunciar un caso de phishing? 

Si por error o descuido se ingresó a un link fraudulento y se otorgó datos privados, existen varias acciones a realizar. En caso de que el phishing esté relacionado con información bancaria, el primer paso es llamar a la institución para alertar sobre la situación. Es necesario que esto se realice de forma veloz para que se congelen las cuentas o se cambien las claves de acceso. De esta forma, los criminales no podrán ingresar a los fondos. 

El segundo paso, es denunciar en la plataforma el mensaje recibido. Ya sea un mail o un chat en una red social, existen mecanismo que permiten exponer esta situación. Actualmente, todas estas plataformas tienen sistemas de inteligencia artificial que detectan estas situaciones y proceden a cerrar la cuenta fraudulenta o a eliminar el correo electrónico. De todas formas, los delincuentes suelen crear nuevos usuarios falsos por lo que hay que continuar prestando atención a los mensajes recibidos durante los próximos días. 

Finalmente, hoy en día todas las jurisdicciones cuentan con departamentos especializados en ciberseguridad. Tanto a nivel local como a nivel nacional, se puede recurrir a estos lugares para denunciar y conseguir asistencia. De hecho, las personas que trabajan en estos lugares suelen pedir que ante una ciberestafa se realice la denuncia correspondiente. 

Esto ocurre porque, por lo general, las víctimas no suelen realizar una denuncia formal. Ya sea por vergüenza, miedo o falta de tiempo, las personas prefieren manejar la situación de otra manera. Sin embargo, esto provoca que las estadísticas no se actualicen correctamente y no se sepa con claridad cuántas ciberestafas se llevan a cabo por año. 

Además, la información otorgada a estas agencias puede ser de ayuda para rastrear a los cibercriminales. Por lo general, los grupos de hackers que realizan delitos como el phishing son siempre los mismos y, mientras más datos tengan los agentes, más oportunidades existen de descubrirlos y frenar sus operaciones. 

Por Agustín Jamele.

@RESERVADOS TODOS LOS DERECHOS

Nota 1 de 5