La Habana, Cuba. – Hoy estaré hablando sobre el phishing, una de las técnicas delictivas electrónicas más preocupantes a nivel internacional. En Cuba todavía no es un problema porque el país no es de interés para los delincuentes informáticos por el bajo nivel de los servicios financieros en línea de la Isla. Esa situación cambiará en el futuro como consecuencia del proceso de transformación digital en marcha. Por lo que hay prepararse, no queda otra.

Entrando en materia, se conoce como phishing a la estrategia mediante la cual un atacante envía correos electrónicos diseñados para estafar a sus víctimas. Eso se logra cuando el bandido obtiene la confianza de quien recibe el mensaje al hacerse pasar por una persona, empresa o servicio de confianza. El objetivo del delincuente es que las personas revelen información personal, financiera, credenciales del sistema u otros datos de interés. El phishing es un claro ejemplo de ingeniería social, esta no es más que una colección de técnicas con la que los delincuentes manipulan a las personas. Esas técnicas incluyen la falsificación y la mentira. Todo eso puede estar presente en un ataque de phishing. Básicamente, se busca que los usuarios actúen por instinto, sin pensar mucho.

Para realizar el engaño, normalmente se explotan los instintos sociales de las personas, como son ayudar o ser eficiente. Otra forma es mediante la adulación de la víctima, explotando su vanidad, necesidad de ser reconocido o baja autoestima. Por ejemplo, se envían correos electrónicos o se muestra publicidad a la víctima diciéndole que ganó un premio y que siga un enlace para recibirlo, lo cual por supuesto es falso. Habitualmente el objetivo es robar información, pero en otras ocasiones es instalar programas malignos, sabotear sistemas, o robar dinero a través de fraudes. El phishing se considera una de las técnicas de robos de contraseñas más utilizadas a nivel internacional.

Sus orígenes

El término phishing (en inglés suena igual que fishing, significa: pescar) se acuñó a mediados de la década de 1990, cuando los hackers comenzaron a utilizar correos electrónicos fraudulentos para “pescar” información de usuarios incautos. A esos primeros delincuentes informáticos se les conocía como phreaks (en inglés suena igual que freaks, literalmente fenómenos o frikis), el término pasó a conocerse como phishing, (un juego de letras que en español sería: la pesca de los frikis). Un correo de phishing intenta engañar al destinatario con un cebo para que pique. Una vez que éste ha mordido el anzuelo, tanto el usuario como la organización ya están comprometidos.

Otro planteamiento es que phishing es la contracción de password harvesting fishing (cosecha y pesca de contraseñas), lo más probables es que sea un acrónimo retroactivo, debido a que la escritura ph se usa normalmente por los hackers para sustituir la f, como raíz de la antigua forma de hacking telefónico conocida como phreaking.

Todo esto comienza en la década de 1990. Cuando AOL era un popular sistema de contenidos con acceso a internet, los atacantes usaban la mensajería instantánea y el phishing para hacerse pasar por empleados de la compañía y convencer a los usuarios de que les dieran sus credenciales, para así secuestrarles sus cuentas. La primera mención del término phishing se remonta a enero de 1996, y fue en el grupo de noticias de hackers alt.2600. Fue usado para denominar a quienes intentaban «pescar» cuentas de miembros de AOL. Es posible que el término ya hubiera aparecido anteriormente en la edición impresa del boletín de noticias hacker 2600 Magazine.

Ya en la década del 2000, los atacantes comenzaron a enfocarse en las cuentas bancarias, el dinero llama al delito. Los correos electrónicos de phishing se empleaban para convencer a los usuarios de que divulgasen las credenciales de sus cuentas bancarias. Los correos contenían un enlace a una página web falsa que lucía igual que la web del banco, pero el dominio era una variación del nombre oficial (por ejemplo, paypai.com en vez de paypal.com). Posteriormente, los atacantes fueron por otros tipos de cuentas como las de eBay y Google, con el fin de obtener dinero, cometer fraudes o enviar correo no deseado a otros usuarios.

Algunos consejos para tener protección contra el phishing.

• Revisar detenidamente la dirección del remitente del correo electrónico para comprobar si es el oficial o si, por el contrario, contiene palabras o caracteres extraños que no se corresponden con la compañía que dice ser.
• Se debe evitar introducir los datos personales o bancarios en una página web a la que se ha accedido a través de un enlace incluido en un correo electrónico. Es preferible teclear la dirección web en el navegador para acceder a una página. Normalmente ninguna compañía u organismo público solicita información personal o sensible a través de esos canales.
• No descargar archivos adjuntos en correos electrónicos que resulten sospechosos o que no se esperaban.
• Mantener actualizado el sistema operativo, el navegador y las aplicaciones de los dispositivos.
• Descargar las aplicaciones desde tiendas virtuales y repositorios oficiales, no hacerlo desde enlaces incluidos en correos electrónicos.

En un momento en que la informática y sus componentes funcionan cada vez más como servicios, los bandidos informáticos se han montado en ese tren y ha aparecido el phishing como servicio, conocido como PHaaS (Phishing-as-a-Service). Este consiste en ofrecer, previo pago, una plataforma que proporciona varios servicios de phishing al delincuente informático. Es habitual que el sistema ofrezca una serie de plantillas (de redes sociales digitales, banca, comercio minorista, telecomunicaciones, servicios públicos, juegos, plataformas de citas y otros) para que el malhechor elija la que usa y la configure de acuerdo al ataque de phishing que quiera utilizar. Además, el sistema proporciona un panel que permitiría al bandido informático seguir los detalles de la campaña de phishing y obtener las credenciales robadas con éxito. A partir de ahí ya el asaltante puede explotar las credenciales para su propio beneficio o venderlas a compradores interesados en el mercado.

Dado el creciente número de denuncias de incidentes relacionados con el phishing, se requieren métodos adicionales de protección. Se han realizado intentos con leyes que castigan esta práctica y campañas para prevenir a los usuarios con la aplicación de medidas técnicas a los programas, lo que no ha sido efectivo. Al final el ser humano decide con un clic en el mouse. Ya está alertado, nunca envié información sensible por canales electrónicos, fíjese bien en la dirección del sitio web y no responda correos electrónicos de personas desconocidas.