El phishing ha adquirido gran relevancia, hasta el punto de que apenas puede hablarse de algún servicio ofrecido en Internet carente del riesgo de caer en la trampa de los profesionales de ese astuto arte. De hecho, según datos revelados por Kasperksy Lab, empresa líder en seguridad informática, entre 2011 y 2013 este tipo de incidentes provocados por piratas informáticos llegó casi a duplicarse.
El abanico de servicios utilizados por los ciberdelincuentes para suplantar la identidad incluye bancos, pasarelas de pago online, redes sociales, páginas de compra/venta, soportes técnicos y helpdesks, portales de juego online, etc.
La cuestión planteada estriba en distinguir phishing y mensajería de correo electrónico genuino. Para ello, debe prestarse atención a la mecánica que lleva implícita el proceso de phishing. En la mayoría de los casos, su base es el envío de correos electrónicos que contienen algún enlace a una web falsa con rasgos impostores de la identidad de una organización. Una vez volcados datos de relevancia personal o corporativa en aquella, quedan automáticamente alojados en un archivo de texto plano, en poder del ciberdelincuente, lo que proporciona excelentes herramientas para realizar estafas.
No debe acotarse el peligro al formato de correo electrónico, pues están emergiendo con fuerza ciertas modalidades de phishing como mensajes intercambiados mediante aplicaciones de mensajería instantánea (WhatsApp, por ejemplo), notificaciones en redes sociales o SMS.
La escenografía del phishing revela la capacidad de mostrar una interfaz de apariencia casi idéntica a la del sitio legítimo cuya identidad pretende suplantarse. Es llamativa la creatividad de la que hacen gala los phishers para el diseño de argumentos realistas capaces de esquivar sospechas en los usuarios. Aspectos tales como la seguridad de la entidad suplantada o necesidad de ejecutar algún trámite que requiera facilitar datos confidenciales suelen ser el anzuelo más común, lo que fuerza al usuario a tomar una decisión precipitada ante la espada de Damocles de poder sufrir consecuencias negativas, como denegación de un servicio esencial o una sanción económica. Dentro de esos argumentos, caben supuestos como:
- Advertir de una supuesta irrupción de episodios de fraude que demanda un refuerzo urgente de la seguridad informática.
- Informar acerca de modificaciones en los planteamientos de seguridad informática de la entidad.
- Promociones de nuevos productos u obsequios.
- Alerta por intentos de acceso a la cuenta bancaria del usuario.
- Dar a conocer ofertas de trabajo, evidentemente ficticias.
Lógicamente, estas artimañas, si bien muy elaboradas, no son perfectas y, en consecuencia, son susceptibles de poder interceptarse a tiempo. Para lograrlo, conviene vigilar una serie de detalles que pueden insinuar que se está ante un caso de phishing:
- La generación de los mensajes suele valerse de herramientas de traducción y sinónimos e, incluso, es frecuente que aquellos hayan sido escritos por personas que desconocen el español, lo que inevitablemente da pie a errores ortográficos y gramaticales. Deben ser motivo de sospecha, por ejemplo, la abundancia de signos de exclamación y las discordancias de género y número en la redacción.
- Es frecuente la presión para realizar una acción en un plazo de tiempo breve. Normalmente, bajo amenaza de que no atender la exigencia puede ocasionar un bloqueo o cualquier otra consecuencia que pueda producir desazón en el usuario.
- Una entidad bancaria o de otro tipo jamás requerirá información personal que ya obre en su poder, por lo que, ante el caso de un mensaje de ese tipo, lo más probable es que se trate de phishing, que debe ponerse en conocimiento de la entidad suplantada.
- Los mensajes de quien dispone de forma legítima de los datos del usuario por tener entablada con él una relación suelen encabezarse de manera personalizada, huyendo de apelaciones genéricas como "estimado cliente" o "estimado usuario".
- Con frecuencia, las URLs de las páginas a las que redirigen estos mensajes fraudulentos no coinciden con las de los enlaces en los que se ha clicado, a lo que debe añadirse un detalle sutil: el https:// suele perder la letra “s” y se transforma en http://, que ya no cuenta con el nivel de cifrado seguro. (Ya hablamos de este punto más profundamente en http://www.bitendian.com/es/seguridad-en-la-web/)
- Largas encuestas y archivos adjuntos en Microsoft Word no son instrumentos propios de las empresas para comunicarse con sus clientes o asociados, que suelen valerse de formularios online, por lo que debe desconfiarse de ellos.
Con todo este panorama amenazante, además de los detalles específicos citados, deben adoptarse unas pautas de comportamiento globales en la gestión del correo electrónico:
- Evitar el spam, por ser el principal vehículo de phishing.
- No clicar en enlaces incluidos en mensajes de correo: es preferible entrar al sitio web de forma independiente.
- Verificar los certificados digitales haciendo doble clic sobre el candado de la barra de estado.
- El correo electrónico es sencillo de interceptar, por lo que jamás debe utilizarse para enviar datos sensibles.
Es obvio que el phishing, por su sofisticación y la abundancia de su práctica, resulta una seria amenaza para la seguridad informática de particulares y entidades, pero, pertrechándose de una buena disciplina de control y vigilancia, los ciberdelincuentes pueden tenerlo un poco más complicado.