El timo que no pasa de moda: cómo defenderse del phishing

Raúl Alonso    11 octubre, 2019
ciberataque-pymes

He recibido un correo del jefe que solicita una transferencia de la cuenta corriente, me informan de que debo renovar mis datos personales del banco, mi asesor vuelve a pedirme las claves de acceso. Mucha atención antes de contestar a estos correos, puede que estemos ante una acción de phishing. Es uno de los ciberfraudes más efectivos, y en los últimos años se centra en las pymes.  

Aprovechando la supuesta vulnerabilidad de unas redes informáticas menos protegidas, el objetivo principal de los delincuentes es acceder a los ordenadores de administración o contabilidad, las puertas de acceso a su estructura financiera.

Como es sabido el phishing se caracteriza por suplantar a una entidad legítima –un organismo de las Administraciones Públicas o una gran compañía, por ejemplo– para obtener información personal y bancaria.

Pero en contra de lo que se piensa, el timo no siempre empieza por un correo electrónico. Estas redes utilizan cualquier sistema que permita el envío de mensajes, desde el citado email al SMS, desde cualquier red de mensajería instantánea como WhatsApp a una red social como Linkedin

A mí no me va a pasar

Troyanos como el activo RTM está especializado en estos ataques, que encubre con envíos aparentemente profesionales para que el receptor haga clic o descargue un archivo.

Tras cualquiera de esas acciones, el ordenador quedará infectado, y la información que pueda almacenar al descubierto. En 2019 también ha sido muy activo Buhtrap. Aunque en origen se especializó en usuarios de banca rusa y ucraniana en la actualidad actúa en Europa y Asia.

Es importante no pecar de soberbia dando por hecho que solo cae en la trampa quien tiene la guardia baja. El procedimiento de RTM es el ortodoxo del phising de suplantación de la habitual correspondencia empresarial, pero utiliza efectivas llamadas como ‘solicitud de devolución’, ‘solicitud de pago’ o ‘copias de los documentos del mes’ para, apelando a la urgencia, obligar al receptor a actuar.

Hace unos días se alertaba sobre la reactivación de Emotet. Otro troyano especializado en el robo de datos financieros que regresa suplantando correos de alguno de los contactos de la libreta de las direcciones de la víctima. Un truco realmente sofisticado al que hay que prestar atención, porque desde que se activó en 2014 tiene predilección por España.

Las variantes son tan infinitas como el ingenio de los delincuentes. También recientemente, Policía Nacional alertó sobre la estafa del CEO. En este caso el responsable de contabilidad de la empresa recibe un correo de su jefe solicitando el cambio de una reunión de forma urgente: “En dicho correo, el supuesto CEO, te envía una un enlace para concertar la nueva cita. Se trata de un calendario de Outlook… Pero es falso. Al identificarte en esa web creyendo que era la original, han conseguido robar tu usuario y contraseña y con ellos acceder a información confidencial de tu empresa”.

Otra variante del timo del CEO es que el supuesto jefe informe al contable de que va a realizar una operación financiera confidencial con urgencia. Con este objetivo pide los saldos de las cuentas bancarias y ordena unas transferencias desde un ordenador que ya controla la red criminal.

Comprueba que la página es segura

Ya no solo para evitar una acción de phishing, como usuarios de Internet es muy importante que nos fijemos en la seguridad de la página que se visita. Solo cuando se compruebe que es segura y se corresponde con la empresa que pensamos se podrá introducir el usuario/contraseña o los datos personales/financieros.

En estos casos siempre deben llevar un certificado de seguridad que se representa en la barra de navegación con el icono de un candado. Si se pincha sobre él se confirma que la conexión es segura, figurando a qué empresa pertenece el dominio (certificado EV, Extended Value). Por último hay que fijarse en que el protocolo que figura en la URL (la dirección de la página) sea de seguridad: debe ser HTTPS. 

Cómo evitar un ataque de phishing

Repasamos los consejos de la Oficina de Seguridad del Internauta (OSI) para identificar un código malicioso:

👉 Desconfía de correos de compañías conocidas con mensajes del tipo:

  • Problemas de carácter técnico
  • Problemas de seguridad en la cuenta del usuario
  • Recomendaciones de seguridad para evitar fraudes
  • Cambios en la política de seguridad de la entidad
  • Promoción de nuevos productos
  • Vales descuento, premios o regalos
  • Inminente cese o desactivación del servicio

👉 Si hay errores gramaticales en el correo, sospecha. Por suerte estas redes no invierten en contratar a un buen traductor.

👉 Actúa con precaución frente a cualquier comunicación anónima que comience con un genérico: ‘Estimado cliente, ‘Notificación a usuario’ o ‘Querido amigo’.

👉 Evita actuar con precipitación. En muchas ocasiones se incita a que el usuario tome una decisión inmediata, algo que no es habitual en ninguna compañía. Lo mejor es confirmar la situación por otros canales, atención al cliente, por ejemplo.

👉 Revisa que el texto del enlace coincida con la dirección a la que apunta.

👉 Revisa la dirección desde la que ha sido enviado el correo electrónico. Una compañía nunca utilizaría un servidor genérico tipo Hotmail. Esta información es clave para identificar un ataque de Emotet, ya que siempre figura la dirección de dos remitentes, el contacto de la libreta de direcciones que suplanta y otra del atacante.  

👉 No hagas clic en enlaces ni descargues archivos sin antes comprobar la veracidad de la comunicación. 

Invierte en seguridad

Además es imprescindible que tu pyme invierta en seguridad informática. Es importante que todos los equipos estén actualizados y protegidos con herramientas específicas contra el phishing.

El responsable informático debe controlar la seguridad de los accesos remotos, las aplicaciones instaladas y el control del tráfico. Los delincuentes no discriminan por el tamaño de la empresa por eso es importante contratar soluciones de seguridad, que incluya la monitorización de lo que está ocurriendo en los sistemas alertando frente a posibles manipulaciones u órdenes sospechosas.

Foto: Pixabay

Comentarios

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *