El mes pasado el CSIRT (Equipo de Respuesta ante Incidentes de Seguridad Informática del Ministerio del Interior) emitió una alerta sobre una campaña cibercriminal que tenía como fin engañar a los más necesitados y robar los Bonos de Emergencia Covid-19 o el dinero de sus cuentas bancarias. Los cibercriminales estarían suplantando la identidad del Banco de la Nación y de unidades gubernamentales enviando correos y mensajes por WhatsApp solicitando datos personales de los usuarios que buscan algún tipo de ayuda para sobrellevar la coyuntura que nos ha tocado vivir. Lamentablemente esta clase de estrategias criminales, denominadas Phishing, se hacen cada vez más comunes debido a la necesidad y a la falta de concientización sobre esta clase de riesgos. El nombre de este tipo de ataque proviene de la palabra pescar (en inglés to fish), ya que los atacantes utilizan una carnada para engañar y obtener información de los usuarios (“los peces”).
El phishing tiene diversos subtipos de acuerdo al medio usado y a su objetivo, entre los cuales destacan:
- Vishing: intento de obtener información de los usuarios a través de llamadas (voz). En algunos casos se recrea el sistema IVR (Interactive Voice Response) de una empresa buscando que los usuarios contactados ingresen sus datos. En otros casos los hackers realizan una llamada pretendiendo una urgencia para que los usuarios den su información personal.
- Smishing: esta amenaza se produce cuando el usuario recibe un mensaje de texto (sms) o WhatsApp donde el emisor suplanta la identidad de una organización. Un ejemplo común es un mensaje que llega de un “banco” e informa que se ha realizado una compra sospechosa con su tarjeta de crédito. En el mensaje se solicita que se envíe información personal para resolver el problema.
- Spear phishing: es un ataque dirigido (con arpón o spear) a un grupo de personas, donde se utiliza información específica del objetivo (los usuarios) para personalizar el ataque, utilizando correos electrónicos sumamente similares a los de la empresa o de sus clientes (cambiando un par de caracteres), haciendo referencia a algún negocio o un cliente, utilizando logos conocidos, suplantando a TI o Recursos Humanos para solicitar información, entre otros.
- Whaling: este ataque es dirigido a los peces grandes de la corporación (ballenas o whales), como gerentes, directores u otros VIP’s. En este tipo de ataque los hackers simulan ser un director o gerente de la organización para solicitar información confidencial, realizar transferencias bancarias u obtener alguna contraseña.
Este tipo de ataque, catalogado dentro de lo que ahora se conoce como Ingeniería Social, ha evolucionado de manera exponencial desde las épocas de los correos de príncipes nigerianos buscando compartir su fortuna. Los atacantes se han vuelto más astutos y tienen nuevos medios para engañar a los usuarios.
Ahora que conocemos las variantes más comunes de ataque, veamos cómo podemos protegernos:
- Verifique siempre el correo electrónico desde donde envían la comunicación, no solamente el nombre del remitente. Puede que el nombre diga Netflix pero al revisar la dirección de correo esta sea algo como jangan@ragunan498383….
- Nunca haga click a los links o enlaces de los correos sin antes revisar a donde nos lleva: pase el mouse por el hipervínculo para verificar que este lleva a una página segura (como la web oficial de la institución).
- Nunca abra archivos adjuntos sin primero confirma el remitente; podrían ser malware.
- Sospeche de un correo con errores gramaticales u ortográficos. Gran parte de los atacantes son de otros países, o no se toman el tiempo para revisar los mensajes antes de enviarlos.
- En caso de recibir una llamada pidiendo información es recomendable devolver la llamada a través de medios oficiales o pedir algún tipo de identificación formal antes de compartirla.
- Realizar una doble verificación de la fuente en caso se deba dar información confidencial o se realice una transacción por un monto alto. Una llamada a través de un medio oficial o un número directo no tomará mucho tiempo y podrá salvar a la organización de perder miles de dólares.
- Las organizaciones deben implementar una buena solución antispam (las soluciones básicas del correo electrónico no necesariamente son efectivas o están bien configuradas) y utilizar doble factor de autenticación para validar la identidad de los usuarios (como DUO, Okta o Google Authenticator).
Ante un ataque de Phishing, la mejor defensa somos nosotros mismos. Debemos estar siempre alertas – desconfiar primero y actuar después. En el próximo blog hablaremos sobre uno de los tipos de malware más famosos del internet: el ransomware, cuyo caso más emblemático fue Wannacry – un malware que llegó a afectar a compañías en más de 150 países.
