Los ataques y delincuencia cibernética tienden a aumentar. Se calcula que los ciberdelincuentes generarán alrededor de seis billones de dólares para 2021, lo que superaría las pérdidas provocadas por desastres naturales o el dinero recaudado por el narcotráfico a nivel global. Una de las técnicas más utilizadas por su relativa sencillez para implementarse es el phishing.
¿Qué es un phishing en informática?
El phishing es una práctica de suplantación de identidad cibernética. El estafador se hace pasar por una empresa o persona conocida y a través de una comunicación oficial en algún medio electrónico, intenta obtener datos personales, credenciales de acceso o información financiera. Según el informe de amenazas de seguridad de Symantec, en 2018 aumentó en un 92% el número de ataques de phishing bloqueados.
Técnicas y ejemplos de phishing
Nadie está exento de caer en el engaño de ciberdelincuentes, entre los ejemplos de phishing más conocidos destaca el engaño a tres grandes corporaciones tecnológicas estadounidenses, que por un lapso de dos años realizaron pagos a un falso proveedor de suministros, quien se calcula que obtuvo cerca de $100 millones de dólares.
El medio más común que utilizan los ciberdelincuentes para phishing es el correo electrónico, pero también puede valerse de SMS o redes sociales. Generalmente se hacen pasar por una institución financiera o empresa conocida, utilizando una cuenta de correo similar al de la compañía, su logotipo y el mismo formato de sus comunicaciones para engañar al usuario.
Esta suplantación de identidad persigue distintos objetivos, ya sea infectar con malware el equipo, llevar a la víctima a una página falsa para que ingrese sus credenciales o solicitar mediante un engaño información confidencial. Estos mensajes buscan generar temor ante riesgo inminente si no se actúa de inmediato, como servicios suspendidos o pérdida de datos.
Así como hay mensajes de phishing enviados a miles de usuarios esperando que alguno muerda el anzuelo, existe también el spear phishing, enfocado en engañar a una persona en específico, haciéndole creer, por ejemplo, que los mensajes los envía alguien más dentro de su misma empresa.
Consecuencias del phishing
Además de las pérdidas económicas y de datos para empresas víctimas de phishing, estas sufren un grave daño en su reputación por parte de clientes e inversores. El valor de la empresa disminuye y se ve obligada a interrumpir operaciones hasta que se resuelva el problema, generando pérdidas y retrasos.
Cómo identificar y protegerse del phishing
Nunca brindar información. Se debe estar consciente de que las instituciones financieras jamás piden claves de acceso o información privada a sus clientes.
Estar atento a elementos sospechosos. Por ejemplo, si un email tiene un link cuyo texto no coincide con la dirección que aparece en la barra de estado del navegador. Las páginas apócrifas suelen tener un dominio muy similar al original pero con alguna pequeña variación. También hay que revisar que la dirección incluya https:// y un candado a su izquierda que indique que es seguro.
Educar a los colaboradores. Se aconseja que el CISO brinde indicadores de seguridad e información a los empleados sobre qué es un phishing en informática y las medidas de precaución que deben tomar para evitarlo, por ejemplo, no realizar descargas ni seguir enlaces de correos sospechosos y negarse siempre ante la solicitud de información sensible.
Invertir en filtros para detectar ataques. Con esto se logra minimizar el número de correos fraudulentos que llegan a la red de la empresa.
Las consecuencias del phishing pueden representar grandes pérdidas para los usuarios. Es necesario contar con los conocimientos y herramientas que ayuden a detectar y evitar ser víctimas de esta práctica.