Los ataques de phishing se han incrementado de manera exponencial en los últimos años. Bajo esta perspectiva, el término “phishing” se ha hecho tremendamente popular. No hay día en el que no nos despertemos con una noticia sobre un intento de phishing a empresas o ciudadanos anónimos a través de mecanismos cada vez más imaginativos.
El objetivo siempre es conseguir que la víctima ejecute alguna acción que permita al ciberdelincuente obtener algún tipo de beneficio, sea en forma de transacción económica, acceso a información o control de sistemas informáticos.
Partiendo de esta premisa, la acción de la víctima se convierte en uno de los pasos clave a la hora de que un ataque de phishing consiga su objetivo. Por eso mismo, las estrategias utilizadas por los ciberdelincuentes hacen uso de técnicas que cada vez resultan más imaginativas.
Búsquedas dirigidas
La suspicacia de los usuarios frente a los enlaces que aparecen en los correos electrónicos ha hecho que los ciberdelincuentes recurran a mecanismos alternativos para ganarse la confianza de sus víctimas.
Se han detectado técnicas de phishing que hacen uso de recomendaciones de búsquedas en Google que están dirigidas a sitios web deliberadamente preparados y que previamente han alcanzado altas valoraciones de idoneidad utilizando técnicas de posicionamente SEO.
Información cifrada exclusiva para el destinatario
La desconfianza de una víctima se combate utilizando precisamente la preocupación por la confianza. Se han detectado técnicas de phishing que hacen uso de recomendaciones de búsquedas en Google.
A partir de aquí, los ciberdelincuentes tratan de convencer a sus víctimas con accesos a recursos aparentemente cifrados y personalizados para ellos. De esta forma, los destinatarios perciben una falsa sensación de seguridad.
Lo habitual de estos ataques es que, a través de un correo electrónico, el delincuente convenza a su víctima, por ejemplo, de que un fichero contiene información confidencial cifrada y que solo él o ella podría descifrar introduciendo su usuario y contraseña.
MFA para usos no definidos
El uso de mecanismos de doble autenticación se encuentra cada vez más extendido. El sector financiero, por ejemplo, dentro del cumplimiento de la normativa europea PSD2, lo utiliza de forma habitual. Pero no es el único. Cada vez más, cuentas de correo electrónico, accesos a aplicaciones comerciales o incluso redes sociales implementan mecanismos de doble autenticación que reducen el riesgo que el robo de contraseñas puede llevar aparejado.
Los ejemplos de uso de este tipo de técnicas son múltiples. Uno de los más evidentes es un mensaje indicando que una cuenta de correo o una cuenta bancaria ha sido bloqueada. A continuación, se pide a la víctima que proporcione el código de verificación que se le enviará como prueba de identidad para su desbloqueo. Inmediatamente después, la víctima recibirá un código de verificación, enviado por el servicio real al que el ciberdelincuente quiere acceder, y que llegado el caso el usuario proporcionará al delincuente. El resultado final es de todos conocido.
Es seguro que podríamos extender la lista de técnicas de ataques de phishing tanto como quisiéramos; pero todas tendrán un denominador común: la ingeniería social jugará un papel preponderante durante el proceso. De hecho, se trata de un elemento clave. Un elemento que solo se podrá combatir a través de la concienciación de forma continua de los propios usuarios.
Comments