Un click

El phishing como método de robo de datos

Dani Castillo

Phishing

21 marzo 2017

Un sólo click fue todo lo que hizo falta para que Yahoo sufriera un robo de datos masivo. Y por masivo me refiero a datos de 1.5 billones de personas.
Léelo de nuevo:
1.5 BILLONES.

Hoy voy de aviso, y es intentar hacerte consciente de los peligros del phishing, aunque sea poniendo como ejemplo la información que se ha obtenido sobre este caso de robo de datos.
Así comienza la definición de Phishing en wikipedia:
Phishing o suplantación de identidad es un término informático que denomina un modelo de abuso informático y que se comete mediante el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña, información detallada sobre tarjetas de crédito u otra información bancaria). El cibercriminal, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.
Artículo completo en https://es.wikipedia.org/wiki/Phishing

En el caso de Yahoo, se usó spear-phishing, que consiste en el envío de un email personalizado para conseguir que el usuario lo crea como auténtico y así haga click. Ese click le llevará a un sitio lleno de malware, donde se podrán instalar troyanos en el ordenador, etc.
Gracias a ello, consiguieron además acceder a unas cookies especiales generadas por el sistema interno de Yahoo que les permitía acceder sin contraseña directamente a las cuentas de correo, y su objetivo principal eran cargos militares y del gobierno para poder hacerles chantaje.
Todo fue una operación coordinada entre hackers rusos y fuentes de inteligencia de la FSB (la sucesora del KGB) y tuvo lugar durante casi 4 años.

Y ahora viene cuando, con algo de razón, me preguntas: ¿Y eso a mí en qué me afecta?
Pues en primer lugar, si tienes cuenta de Yahoo te viste obligado a cambiar la contraseña y asegurarte de que no se había usado para nada comprometido.
En segundo lugar, como ejemplo de qué puede suceder.
Algo tan sencillo como un mail de apoyo a una causa humanitaria (con la que tú no has contactado nunca...) o una solicitud de datos por parte de tu banco (cosa que jamás harían) son suficientes para poder acceder a tu ordenador y comenzar con el robo de datos.
Acceso a correos, redes sociales y, sobre todo, información relativa a cuentas bancarias estarían al alcance de aquél que te hubiera enviado ese mail aparentemente inocente.
Estos son algunos de los indicativos que te ayudarán a detectar intentos de phishing:

  • En primer lugar, que provenga de una entidad con la que no trabajas (un banco en el que no tienes cuenta, una web que no has visitado, etc).
  • Si viene de una entidad que conoces, revisa el logo, ya que muchas veces "canta" al no ser exactamente igual o tener un diseño raro.
  • En muchas ocasiones, no vendrá a tu atención, sino a nombre de un usuario genérico. En otras ocasiones copiará exactamente el nombre que tú tengas configurado en tu cuenta de correo. Esto es fácilmente detectable si lo tienes con un nombre que no sea idéntico a tu nombre real (por ejemplo, si yo tuviera en mi correo configurado Dani y el mail lo recibo a ese nombre sería sospechoso, ya que un banco o similar jamás te escribiría de esa manera).
  • Revisa la ortografía! El phishing viene de fuera en muchos casos, y las traducciones de los mails no siempre tienen la ortografía que deberían, así que es una buena forma de estar alerta.
  • Aunque sea algo más complicado identificarlo, si hay botones en el mail intenta ver si el icono del ratón se convierte en el "click" al pasar SÓLO por encima del botón o sobre un área más grande. ¿Por qué? Pues porque no son botones, sino imágenes completas extraídas de las páginas a las que pretenden imitar.
  • Al pasar sobre los enlaces, comprueba si la dirección comienza con https, que sería una página web segura, o con http.
  • No, tu banco nunca te mandaría un email diciéndote que te van a bloquear la cuenta y quedarse con tu dinero (lo harían por otros medios). Desconfía de lenguaje amenazante! Y por supuesto, tu banco JAMÁS te va a pedir datos personales por email.
  • Y como extensión al anterior punto, tampoco reveles información confidencial por teléfono o SMS, ya que en muchos casos los ataques se realizan desde distintos frentes y un SMS en el que te piden la clave puede ser suficiente.

Está claro que hay muchos más métodos para detectar y evitar el phishing, pero estos son los más generales e importantes y, seguramente, como usuarios domésticos nos sean suficientes.

Y tú, ¿has sufrido algún intento de phishing?

Cuéntanos tu experiencia en las redes sociales y, sobre todo, cómo lo detectaste, que así aprenderemos todos!

Temas Relacionados
Loading...