▷ Pishing: Cómo prevenirlo y qué medidas tomar | eDefense

Phising: cómo prevenirlo y qué medidas tomar en caso de producirse

El último informe publicado por el Instituto Nacional de Ciberseguridad de España (Balance INCIBE 2020) sobre su actividad y asistencia durante el pasado año refleja, entre otros datos de especial interés, el incremento en casi un 20% con respecto a años anteriores de asistencias efectuadas ante incidentes de ciberseguridad. De entre todas las modalidades, el phising se destaca como el principal exponente de la ciberdelincuencia en España, especialmente en lo que a ataques a empresas se refiere. 

Apoyando este dato, en eDefense, como abogados especialistas en ciberseguridad, podemos cerciorar que se está produciendo un incremento preocupante del número de empresas víctimas de phising, con el coste económico y reputacional que ello supone. 

En este post, pretendemos aclarar el concepto, tipologías y medidas de acción que se deben llevar a cabo tanto para prevenir como para hacer frente a una situación en la que se haya producido un caso de phising


¿Qué es un phising?

Phising: cómo prevenirlo y qué medidas tomar en caso de producirse

Phishing es la denominación que recibe la estafa cometida a través de medios telemáticos mediante la cual el estafador intenta conseguir, de usuarios legítimos, información confidencial (contraseñas, datos bancarios, etc.) de forma fraudulenta.

El estafador o phisher suplanta la personalidad de una persona o empresa de confianza para que el receptor de una comunicación electrónica aparentemente oficial (vía e-mail, fax, SMS o telefónicamente) crea en su veracidad y facilite, de este modo, los datos privados que resultan de interés para el estafador.


¿Qué tipologías de phising son las más habituales en la práctica?

Con el paso de los años, el phising ha ido evolucionando tanto en profesionalización como en modalidades de ejecución. La tipología original y que hoy día sigue siendo principal es la ejecutada a través de correo electrónico. El phising por email tiene dos indicadores básicos que nos permiten identificarlo: 

  1. Remitente: la suplantación proviene de otro destinatario que se hace pasar por la empresa u organización confiable
  2. Contenido y diseño del mensaje: forma de escritura, diseño del correo, firma del remitente, etc. 

La profesionalización en la ejecución de este tipo de delitos informáticos se ha observado en estos dos indicadores de forma exponencial, ya que actualmente los ataques que observamos se realizan desde direcciones de correo muy similares a las de la empresa suplantada (por ejemplo, cambiando únicamente una letra del correo original) y con un contenido muy cuidado y hasta idéntico al que la empresa suplantada suele enviar. 

Podemos establecer dos grandes clasificaciones de phising

En base al medio o vía utilizada para su ejecución: 

  • Correo electrónico: es el más conocido y utilizado.
  • SMS (smishing): se trata de la modalidad que más está creciendo. Se envía un SMS a la víctima con un enlace fraudulento que, si se clica, permite el acceso al atacante para el robo de datos almacenados en el teléfono móvil. Destacamos aquí los ataques suplantando a empresas de mensajería: se recibe un SMS donde se indica que la entrega está en camino o que ha habido alguna incidencia con su pedido, incluyéndose un enlace para revisar el seguimiento. 
Phising: cómo prevenirlo y qué medidas tomar en caso de producirse
  • Teléfono: se realiza una llamada haciéndose pasar por una empresa u organización con la que tengamos contratada algún servicio para solicitarnos información personal. 

La otra clasificación es en base al modus operandi utilizado para la ejecución: 

  • Obtención de datos directamente de la víctima: en este caso, el engaño implica que la víctima rellene algún formulario habilitado en la comunicación y que llega directamente al atacante. 
Phising: cómo prevenirlo y qué medidas tomar en caso de producirse
  • Infección de dispositivo de la víctima con malware: a través de un enlace o un archivo adjunto que la víctima clica o se descarga, el atacante se hace con el control del dispositivo, obteniendo toda la información contenida en el mismo. 
Phising: cómo prevenirlo y qué medidas tomar en caso de producirse
  • Engaño para la realización de una transferencia bancaria errónea: es el conocido como fraude al CEO, por el cual el atacante se hace pasar por el CEO de una empresa para que alguno de sus empleados con capacidades administrativas realice una transferencia a la cuenta bancaria del atacante o de un colaborador.
  • Suplantación de facturas: es, sin duda, la modalidad que más estamos viendo crecer en eDefense. Se trata del ataque más sofisticado de todos los comentados. En este delito, el atacante intercepta las comunicaciones entre dos empresas que están llevando a cabo una negociación, por ejemplo, la compraventa de un vehículo. Una vez que se ha emitido la factura original por parte del vendedor, el atacante intercepta el correo electrónico donde se envía la factura y modifica los datos bancarios, enviando posteriormente desde una cuenta de correo similar a la original la factura modificada. 

¿Cómo prevenir el phising?

Aunque, como hemos comentado, existen diferentes modalidades de phising que pueden llegar a manifestarse con gran sofisticación, este tipo de ciberdelito se basa en la ingeniería social (engaño a personas para que realicen un acto concreto) para su consecución, lo que implica que podemos reducir en un alto porcentaje las probabilidades de sufrirlo si aplicamos una serie de medidas de ciberseguridad como las siguientes

  • Revisión de la comunicación y uso de la lógica: debemos ser críticos y revisar, antes de realizar cualquier acción, la comunicación que nos ha llegado. Verificar el remitente, que el diseño del mensaje esté cuidado y, fundamentalmente, que lo que nos comunica la empresa tenga sentido. En ningún caso una empresa u organización confiable (administraciones públicas, entidades bancarias, empresas de mensajería) nos va a solicitar datos personales o que accedamos a realizar algún trámite directamente en un enlace enviado por ellos. 
  • Formación a los empleados: es necesario que las empresas prevean y ejecuten pequeñas formaciones a sus empleados donde se les transmita los conocimientos básicos para saber detectar, eliminar y reaccionar ante un caso de phising. También se debería incluir formación en el uso correcto de los medios digitales, como por ejemplo el correo electrónico. 
  • Filtros antispam: en el mercado existen herramientas que se instalan en los servidores de correo y ejercen como filtro a comunicaciones de remitentes desconocidos y poco confiables. En la mayoría de los casos, los proveedores de hosting ofrecen este servicio con un breve coste adicional, realizando ellos la implementación. 
  • Verificación telefónica de facturas: aunque pueda parecer anticuado u obsoleto, la verificación por teléfono es el método más eficaz para evitar el fraude al CEO y la suplantación de facturas. Simplemente supone confirmar la realización de la transferencia o el número de cuenta al que realizarla. 

No he podido evitarlo, ¿qué hago si he sido víctima de un phising?

Phising: cómo prevenirlo y qué medidas tomar en caso de producirse

En algunas ocasiones, disponer de todas las medidas de ciberseguridad y concienciación posibles no exime de que, por un error humano, se pueda llegar a concretar un phising. En estos casos, y para los supuestos en se genera un perjuicio económico, os indicamos una serie de sencillos pasos que debéis llevar a cabo para reducir el impacto y las consecuencias negativas y, en su caso, recuperar dicha pérdida económica que se haya podido producir: 

  1. Contacta con tu banco para paralizar la transferencia, bloquear la cuenta bancaria y/o bloquear la tarjeta bancaria afectada. 
  2. Cambia las contraseñas de acceso a los perfiles o cuentas que hayan podido comprometerse. 
  3. Haz una copia de todas las evidencias que puedan servir como prueba en un futuro procedimiento judicial (emails, justificantes de transferencias, etc.).
  4. Acude a la policía o al juzgado para denunciar los hechos.
  5. Realiza una auditoría de sistemas y equipos para detectar una posible infección, extraer pruebas periciales y prevenir nuevos ataques. 

En todo este proceso, es importante ponerse en manos de un abogado especializado en ciberseguridad, que se encargue de asesorarte en todas las acciones a llevar a cabo. 


Conclusión

El phising es una de las modalidades de ciberdelincuencia más habituales en la actualidad. Con multitud de tipologías y diferentes grados de profesionalización, se trata de un ataque informático que requiere importantes esfuerzos formativos y de concienciación en las empresas, algo que, por el momento, no se está aplicando con la diligencia que requiere. 

Aplicar una serie de medidas de ciberseguridad sencillas de implementar reduce en un alto porcentaje la probabilidad de que llegue a consumarse, pero aun poniéndose en marcha estas medidas, puede llegar a producirse y generar unas consecuencias muy graves para la empresa, tanto económicas como reputacionales. Actuar rápido y estar bien asesorado por abogados especializados en ciberseguridad para que tales consecuencias no lleguen a materializarse. 

Otros artículos que pueden interesarte.

Alerta Coronavirus
Generales
Tiffany De La Torre García

Alerta Coronavirus

Para todos los que hayáis tenido la posibilidad de habilitar el teletrabajo en vuestras empresas, os damos una serie de recomendaciones para garantizar la legalidad

Leer más