En pleno siglo XXI, hemos sido testigos de cómo acciones delictivas normales o triviales han evolucionado y son cada vez más frecuentes desde la comodidad de un ordenador, por ejemplo; lo que antiguamente requería cierta dedicación “física” para robar dinero a una víctima, ahora se realiza mediante métodos que utilizan la tecnología y pueden llegar abarcar a millones de personas en un solo intento.

1

Uno de los métodos de ingeniería social más utilizados en la actualidad es el phishing, el cual, consiste en engañar a un usuario mediante el envío de correos electrónicos fraudulentos, que aparentan ser legítimos haciéndose pasar por empresas, bancos, amigos, etc., con la finalidad de robar credenciales personales, descargar algún tipo de archivo dañino u otros fines más sofisticados.  Claro está, que este tipo de fraude no es realizado por cualquier persona, como todo en la vida requiere de dedicación, constancia y preparación, además de muchos factores que día a día están siendo estudiados con la intención de engañar al receptor y no a uno en particular, sino a todos, inclusive los que poseen cierto conocimiento un poco más avanzado. Para ser más específico, tenemos como ejemplo, el caso de un profesional del área de la seguridad el que de tanto recibir correos electrónicos con ofertas, se cansó y utilizo el enlace que decía “unsuscribe” y al momento de hacer eso, en efecto, dejo de recibir spam masivo, pero permitió otro tipo de cosas en su ordenador.

Hoy en día, existen demasiados casos de engaño, pero no toda la gente está pendiente de lo que recibe, no todos tienen ese sexto sentido que les permite alertar sobre un posible fraude, hay gente en la actualidad que está preocupada de subir más fotos a Instagram que verificar si un correo o enlace es sospechoso, pero no hay problema, este artículo está dedicado a esas personas de manera ejemplificadora.

Suelo ver por internet muchísimos consejos para evitar el phishing, pero muy pocos te lo explican gráficamente, y seamos realistas, si yo le digo a una persona que no sabe nada de computación “Digite la URL en el browser cada vez que quiera ingresar a su banco” y ellos te quedan mirando igual que esta niña:

2

Es un poco engorroso, en especial para la gente más adulta, mi abuela desde que se hizo un correo electrónico, le daba click a todo tipo de enlaces, facturas, fotos, imágenes, descuentos, cadenas, etc., lo que se le cruzara, imagínense cuantas veces no tuve que resetear el móvil por algún problema de este tipo, hasta que se me ocurrió explicarle lo que tenía que hacer para identificar correos maliciosos, sin embargo, a la semana siguiente ya estaba reseteando el móvil nuevamente, y no porque no fuera claro al explicar, sino porque la memoria es frágil y no tenía idea de que era malo y lo que no, entre tantas palabras como phishing, navegador, enlace, dominio, .zip, etc., por eso a mi parecer lo mejor es explicar de manera visual, una imagen vale más que mil palabras dicen.

Así que, déjame y te lo explico en algunos pasos.

◙ PASO N° 1

Verificar siempre el remitente.

El remitente es el correo electrónico desde donde proviene el contenido que llega a tu correo particular, puede ser visualizado de distintas formas como te muestro a continuación:

3

4

5

Como seguramente observaste la aplicación de Gmail para Android no muestra el remitente, así que, es necesario presionar la opción de “Ver detalles” para saber quién envía, lo cual es un peligro para alguien que no le da importancia a estos detalles.

               Al recibir un correo, independiente del contenido, las imágenes o el asunto en letras mayúsculas y con un texto que diga: “50% de descuento en todos los productos”, lo primero es revisar quién es el remitente, y para ejemplificarlo vean la siguiente tabla de correos “aparentemente válidos” y correos que a todas luces no lo son.

6

Ahora, menciono lo de “aparentemente válidos”, porque en la actualidad el ingenio de los ciberdelincuentes ha llegado incluso a realizar prácticas de spoofing (suplantar dominios válidos para enviar correos) como también el comprar dominios (www.empresa.es) supuestamente legítimos para cometer sus fraudes, por esto, si bien es recomendable revisar quien envía los correos, no es un método infalible, por eso es necesario realizar otros pasos.

◙ PASO N° 2

Verificar el contenido del correo.

El siguiente paso es ver aquello que me están enviando, revisar el asunto del mensaje y verificar si tiene relación conmigo, si es una oferta, un producto o algo más personal.

Nota: Hay campañas de phishing que son de carácter general, se envían a muchos destinatarios y esperan a que alguno caiga en la trampa sin realizar con anterioridad alguna investigación referente a la víctima, es por esto que imagino a algunos les ha pasado que reciben correos de Apple cuando ocupan Android, mensajes de Alemania cuando son de España,  una cuenta impaga de un banco X que no es su banco, etc., son campañas autogeneradas que no diferencian unos de otros,  solo se envían de forma masiva y con asuntos o saludos más bien genéricos que personales.

Por lo general, estos correos trataran de suplantar cada detalle de alguna empresa, banco, red social o persona utilizando cualquier tipo de medio visual para hacer creer al destinatario de la validez del correo electrónico (que tenga el logo del banco no quiere decir que sea del banco).

               Entonces, veamos un ejemplo de lo importante a revisar cuando nos llega un correo electrónico.

               En mi carpeta de “spam” tengo una infinidad de correos maliciosos esperando por ser abiertos, en mis tiempos libres me dedico analizar estos para saber qué novedades tienen, por si hay algo que valga la pena estudiar.

               Si somos detallistas a la hora de mirar nuestros correos podemos hacer las siguientes comparaciones:

7

  1. Verificar el asunto del mensaje: El ciberdelincuente siempre tratara de engañarte utilizando textos que sean llamativos, grandes imágenes, promociones, etc., o de tratarse de un caso más dirigido, se hará pasar por algún conocido cercano a ti e intentara convencerte de que todo está bien.
  2. Verificar al remitente: Lo comentamos antes, siempre debes observar quién manda los mensajes, en este ejemplo, el dominio del correo ya luce sospechoso, en este apartado debería estar el correo electrónico de un remitente válido, por ejemplo; @banco.es, pero como también mencionamos antes esto no es 100% seguro, es sólo un paso más a considerar.
  3. Información del receptor: En este caso vemos información supuestamente referente al correo del receptor, es decir, en esa parte está escrito tu correo electrónico (para este ejemplo sé perfectamente que ese correo no es mío), por eso cada vez que revises un nuevo correo debes verificar que efectivamente ha sido enviado a tu persona, si notas que está dirigido a otro destinatario que no es tu correo, elimínalo, de todas formas no era para ti.
  4. Enlaces o links sospechosos: Dentro del correo malicioso posiblemente existan links que te envían a otro sitio, y si presionamos este enlace puede que nos lleve a una página similar o igual a la del banco, a una red social o a un formulario cualquiera donde nos pedirá ingresar algunas credenciales las que obviamente te serán robadas, también es importante recordar que no siempre se trata del robo de credenciales, a veces es una manera para poder descargar software maliciosos en nuestros ordenadores con otros objetivos más peligrosos, por este motivo es que este punto se asocia con el número 6.
  5. Pie de firmas: Los pie de firma por lo general siempre tendrán información aparentemente válida, como el logo de una empresa, el nombre completo, teléfono, mail u otro dato de algún supuesto empleado e información adicional, como puedes observar en este punto, nuevamente aparece mi “supuesto correo” el cual es falso e incluso menciona que podemos cancelar la suscripción, pero para ello nos pide responder al correo remitente con el asunto “unsuscribe” pero de hacer esto, le puede servir al ciberdelincuente para saber que el correo si está en uso y si están llegando sus intentos de phishing a la víctima al ser leídos y respondidos por el receptor, por ende, habrán mas intentos de engaño en un futuro.
  6. Donde me direcciona: En el punto 4 al ver algún enlace en el correo y antes de presionar cualquier link es necesario posicionar la flecha del mouse en dicha dirección y observar en el punto 6 si efectivamente te está redirigiendo donde dice ser, hay veces en que los ciberdelincuentes disfrazan un texto normal y te harán caer solo con haber leído lo primero, por ejemplo, si te digo que pinches aquí “Formulario inscripción becas” lo primero que uno piensa es que será enviado a otro lugar donde poder ingresar mis datos personales para una beca, pero lo más probable es que con solo pinchar ese link ya se esté descargando un malware en mi ordenador.

8

Por eso siempre es bueno verificar donde te quieren llevar no importa lo que diga el texto, aunque claro tome un tiempo hacerlo. Debes tener en cuenta que, por lo general cada vez que hay un hipervínculo en algún texto ese se muestra con algún color y/o subrayado para hacer entender al receptor que es un link el cual lleva a otro lugar, así que debes tener ojo con todos estos enlaces.

◙ PASO N° 3

Comprobación manual.

Si ya realizaste los pasos anteriores pero aún tienes dudas con respecto a la veracidad del correo recibido, puedes comenzar con una comprobación manual de antecedentes, si el remitente que te acaba de escribir tiene un correo aparentemente válido puedes antes de responder, pinchar un enlace o descargar algo, digitar manualmente en la barra de navegación la página web del supuesto correo, por ejemplo, recibes un correo de seguros@sitioweb.com al leer esto, debes comprobar que efectivamente se trate de un sitio de seguro, así que, buscamos este sitio en internet:

n0

               De esta manera, si el sitio web no se carga, tiene un contenido diferente a lo que ofrece o simplemente tiene la típica apariencia de “sitio en mantención” ya es sospechoso, por lo tanto, existe una alta probabilidad de que el correo en cuestión sea una estafa.

               El copiar la dirección que te enviaron al correo y pegarla en el navegador que utilizas puede ser de mucha utilidad algunas veces, ya que estos te muestran donde quieren dirigirte, hay ciberdelincuentes que buscarán cualquier método para engañarte. En la siguiente imagen hay un ejemplo de que pasa con direcciones maliciosas que supuestamente son otras, al copiar y pegar la dirección en el navegador (sin dar “enter”).  Chrome (para este caso) nos muestra una pre-visualización de donde nos llevara el sitio web al que queremos acceder, ésto a todas luces ya es sospechoso.

10

               Pero y ¿qué pasa si el sitio web cuenta con HTTPS? ¿Es seguro de todas formas?

               Siempre se enseña que hay que verificar que el sitio web cuente con el “candadito”, y  aún existe mucha gente que no sabe su significado, por otro lado, algunos si tienen nociones de lo que ello significa y lo asocian a una web “segura”, pero en la actualidad, ésto ya no basta, existe una cantidad considerable de sitios web con https y son maliciosos, la creatividad ha llegado a tanto que para armar campañas de phishing profesionales los ciberdelincuentes ocupan cualquier tipo de tecnología para hacer parecer sus sitios como legítimos y generar la menor sospecha posible.

11

Claramente lo ya mencionado es un factor a considerar, sin embargo, no lo vuelve 100% seguro, por eso espero que te des el tiempo de revisar cada variable de las que he expuesto y en base a esa información concluir si estás siendo engañado o no.

◙ PASO N° 4

Limpieza de correo

               Por último e independiente de que ciertos correos puedan ser llevados a la bandeja de spam de forma automática, configura tu correo para eliminar periódicamente estos intentos de phishing, ya que, aunque estén en spam o correo no deseado, siguen siendo un peligro latente esperando un descuido para poder cumplir con su misión, así que date el tiempo de revisar tus correos y eliminar lo innecesario.

12

COMENTARIOS FINALES

               Intentos de phishing siempre habrán, es un cuento de nunca acabar, incluso algunos se dan el tiempo de que el correo sea lo más creíble posible en su intento de engaño, haciendo hincapié en políticas, leyes, seguridad o protección de datos para que la víctima no sospeche y de este forma, robar datos personales, bancarios, contraseñas, información sensible, infectar equipos, etc.

13

               Para finalizar quiero pedir tu colaboración, como dije al inicio de este artículo existen personas que saben mucho y otros que no saben nada, generemos conciencia en la socidedad conversando con nuestras familias, amigos, compañeros de trabajo, desconocidos, etc., no todos viven o vibran con temas de seguridad 24/7 o no todos estan preocupados de informarse, pero si queremos contribuir a la sociedad de alguna forma el compartir el conocimiento por más mínimo que éste sea siempre será la clave para cosas mejores.

 

Cybersecurity Research @DM20911

Join the conversation! 1 Comment

  1. Buenos los consejos, justo necesitaba algo así para un trabajo que estoy haciendo.

    Responder

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

About Diego Muñoz (D » 4ndreé ®)

Cybersecurity Research @DM20911

Latest Posts By Diego Muñoz (D » 4ndreé ®)

    Category

    Artículos, Colaboración

    Tags

    , , , , , , , , ,