Pasos sencillos para no caer en los correos y mensajes que suplantan la identidad de bancos y otros organismos para estafar al destinatario
El correo electrónico puede parecer genuino y resulta difícil resistirse a hacer clic en el enlace adjunto: un paquete retenido en aduanas, un aviso por parte del banco de un cargo en la Visa, la notificación de un premio… Los ciberataques mediante phishing se han convertido en una auténtica plaga que se aprovecha del eslabón más débil de la cadena: el humano.
La base de esta técnica de estafa reside en el engaño. Se confeccionan correos electrónicos o SMS con el aspecto casi idéntico de la empresa a la que se intenta suplantar y si se baja la guardia, resulta tentador hacer clic en el enlace o abrir el adjunto. Este tipo de comunicaciones suelen urgir al destinatario a llevar a cabo alguna de estas dos acciones; la primera para obtener datos de su tarjeta de crédito o cuenta corriente, mientras que la segunda, para introducir algún tipo de software malicioso en el sistema.
Las perspectivas no son buenas, además, en lo que respecta al volumen y precisión de los ataques mediante phishing: “Los avances de la inteligencia artificial provocarán un frenesí de suplantación de identidad”, explica a EL PAÍS, Francisco Arnau vicepresidente regional de Akamai para España y Portugal, “de cara al futuro, podemos esperar que los continuos avances en la inteligencia artificial, como los que se observan en sistemas como el GPT-3, harán que el phishing selectivo sea más convincente, más escalable y común”.
Estos sistemas permiten general “millones de mensajes de correo electrónico o SMS, cada uno de ellos personalizado para un destinatario individual, y cada uno con cualidades convincentes similares a las humanas”, explica Arnau. Esta característica hará que sean difícilmente detectables por las tecnologías actuales de protección. Esto supondrá un reto importante para las tecnologías antiphishing existentes, y “hará mucho más difícil que la gente detecte las comunicaciones sospechosas”.
.jpeg)
Cómo blindarse ante un ataque mediante ‘phishing’
Lo primero que hay que comprender es que cualquiera puede ser víctima de un ciberataque de estas características. Estos ataques automatizados no distinguen entre particulares o empresas, y se lanzan masivamente con consecuencias devastadoras si el destinatario cae en la trampa.
Vigilar el ‘Desde’ en los correos electrónicos
Los ciberatacantes son cada vez más sofisticados a la hora de confeccionar los emails, pero no siempre pueden camuflarlos del todo. En este sentido, una forma de descubrir el engaño reside en el dominio desde el cual se escribe. Así, si nos topamos con remitentes cuyos dominios sean “Microsoft-support.com” o “Apple-support.com” (con añadidos diferentes del dominio original), sabremos que somos víctimas de un ataque. En cualquier caso y ante la duda, lo mejor es no interactuar con ese correo electrónico.
Otro tanto es aplicable a los SMS. “Los ataques mediante phishing se han extendido a los mensajes de texto”, advierte Suárez, quien advierte de un peligro adicional: “en el móvil, somos menos cautos que en el ordenador y actuamos más impulsivamente”. Las empresas de paquetería son víctimas colaterales de los ciberataques, en especial en momentos de alto volumen de envíos como en Navidades. Un mensaje, aparentemente, por ejemplo, de Correos, demandando el pago de una tasa aduanera, esconderá un ciberataque: “un banco u otra gran entidad jamás nos demandará el pago inmediato a través del móvil”, explica Suárez. Y el problema no es el pago en sí —por lo general, de bajo volumen—, sino que al efectuarlo, el usuario entrega los datos su tarjeta de crédito a los estafadores.
¿A qué hora se ha enviado el mensaje?
La experiencia de Mitnick en esta materia es muy valiosa, y este experto da una pista que puede ayudar a identificar el phishing: la hora del envío. Si alguien que vive en España recibe un correo electrónico exigiendo un pago o una respuesta y el envío se ha efectuado de madrugada, se trata de un elemento fundamental para suscitar sospechas. Por lo general, los usuarios de internet se relacionan con entornos en el mismo huso horario, con lo que, una comunicación fuera del mismo, debería activar las alertas.
De la misma manera, el campo ‘asunto’, puede ser un buen indicador de las intenciones del correo electrónico: ¿El uso del lenguaje es familiar? ¿Le hablan de usted cuando, por lo general, se le tutea? ¿Se dirigen a usted con la dirección del email? Asimismo, si el campo asunto muestra un “RE:” indicando una respuesta a un correo que nunca se ha enviado, estaremos ante otra técnica de camuflaje de los ciberatacantes.
Cuidado con los ‘¡rápido, responda!’
Otra de las técnicas que emplean los hackers a la hora de llevar a cabo un ciberataque es crear una sensación de urgencia. Esto es patente con los mensajes que se reciben de supuestas empresas de paquetería, en los que advierte que hay unas pocas horas para pagar la tasa o se devolverá el paquete. Por lo general, no es habitual que una gran entidad se comunique mediante email urgiendo una respuesta y si ese es el caso, siempre es recomendable contactar a esa empresa por otro medio para verificar la veracidad del envío.
La máxima debe ser “nunca hacer clic ni introducir nuestro usuario y contraseña en una conversación que no hemos iniciado, una regla simple que todo el mundo debería aplicar”, explica Mitnick.
EL PAIS
0 comentarios:
Publicar un comentario