Todo comenzó con el phising (un juego de palabras referido a la palabra en inglés fishing, que significa pescar). Este método, un timo en toda regla, se basa en engañar al receptor de un mensaje, normalmente suplantando otra identidad, ya sea corporativa o personal. Así, “pescan” a la víctima, que cae en sus redes.
El phising bebe directamente del desconocimiento, lo mismo que ocurre con muchos de los timos tradicionales. Concienciar sobre las amenazas de ciberseguridad es así un factor básico para evitarlos.
Cómo funciona el phising
Este método de estafa sigue un patrón muy sencillo. Generalmente, se envía un correo electrónico a la víctima (puede ser masivo o a una persona o dirección concreta), y este simula proceder de un remitente legítimo. Para ello, usan imágenes e incluso datos procedentes de la empresa o individuo original.
En algún momento del mensaje, se le pedirá al receptor que pinche en un enlace o abra un archivo adjunto, y ahí está el engaño. Este enlace lo llevará a una dirección web o a un archivo ejecutable donde se producirá o bien la adquisición de datos, o bien la infección del sistema.
Veamos un ejemplo sencillo:
José recibe un email de su banco indicando que tiene una deuda cuantiosa. En el correo se puede leer:
“ Estimado Sr:
Le advertimos que tiene una deuda, cargo de 4.000 Euro en cuenta. Pulse aqui para comunicar con nosotros ahora mismo”
José, alarmado, pincha en el enlace del email, que le lleva a una web que tiene un aspecto muy similar a la de su banco original. Introduce su usuario y contraseña, pero luego no pasa nada.
El error de José procede del desconocimiento, por eso es necesario concienciar sobre las amenazas en ciberseguridad. Los errores de José han sido varios:
- El correo que recibe tiene faltas de ortografía y una redacción dudosa (aunque existen correos fraudulentos realmente bien realizados).
- No incluye su nombre completo, sino un Sr. genérico.
- El remitente aparece con el dominio del banco (Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.), y parece que es real, pero José desconoce lo que es el email spoofing (simular una dirección de remitente falsa).
- El tono del mensaje es alarmista y pide una acción rápida e inmediata.
- La dirección web objetivo trata de ocultar un dominio que nada tiene que ver con el banco, pero si nos fijamos bien podremos comprobar que no es la misma.
Minutos después, entraron en la cuenta bancaria de José y robaron datos o realizaron operaciones fraudulentas.
La evolución del phising: el whaling
Siguiendo el uso de términos pesqueros, llegó la nueva moda: el whaling, que en inglés significa “caza de ballenas”. En este caso, el engaño ha evolucionado en el terreno psicológico, y no tanto en el técnico.
Ahora, el email engañoso tratará de suplantar la identidad de un directivo o persona clave (de ahí lo de ballena, pez gordo) de la empresa de la víctima, pidiendo a esta que realice alguna acción de una forma oculta y acuciante. Además, no se ciñe únicamente a los correos electrónicos, puede recibirse por ejemplo por mensajería instantánea u otros canales.
Un ejemplo de mensaje whaling:
De: Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.
Para: Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.
Asunto: Mensaje confidencial
“Estimado Sr. López,
Me pongo en contacto con usted por este medio para solicitarle que por favor me envíe el fichero con los datos de las compras de nuestros clientes de los últimos 12 meses, así como sus datos. Por favor, me gustaría que lo mantuviera en secreto pues se trata de una investigación interna así que pido su colaboración y no lo comente. Gracias por su discreción.”
Si el destinatario de este mensaje cree en su contenido, aparentemente fidedigno (pero de una dirección de correo no habitual, o cambiada ligeramente), habrá puesto en manos del atacante información muy importante y sensible de su empresa. Y este engaño convertirá la vida del Sr. López en un infierno (como poco perderá su trabajo dependiendo de la magnitud del daño). Y todo por no haber visto la importancia, ni él ni su empresa, sobre concienciar sobre las amenazas de ciberseguridad.
En Estados Unidos, el FBI estima que el whaling ha provocado pérdidas que pueden superar los 2.300 millones de dólares. Como se puede ver, no es precisamente una amenaza menor.
Características del whaling
Aunque el ejemplo que se ha indicado pueda parecer muy evidente, hemos de tener en cuenta que se trata de uno sencillo. El whaling puede ser muy elaborado y complejo, jugar mucho con la psicología del receptor apoyándose en numerosas “pruebas” de su autenticidad.
Por ello, el whaling tiene una serie de características que lo hacen tan peligroso:
- Utiliza datos reales robados o adquiridos: Es fácil ver datos en los mensajes de un ámbito más privado, como puede ser el nombre y dirección de la persona suplantada, incluso su teléfono personal. Eso le da una dimensión más creíble.
- Está dirigido a personas concretas: No sigue una distribución masiva, sino que busca víctimas.
- Afecta más a medianas y grandes empresas: Por su forma de actuar, tiene sentido en corporaciones y grandes empresas multidepartamentales.
- Sigue un proceso previo antes del ataque: Se investiga a la empresa siguiendo otros métodos de obtención de datos, interceptando comunicaciones internas e información personal sensible.
- Está fuertemente influenciado por la psicología y el data mining: La clave del éxito de un fraude whaling se basa en conocer la forma de pensar de la víctima y de los datos recopilados previamente.
Protección frente al whaling
Afortunadamente, la protección frente a este fraude es posible siguiendo una política en ciberseguridad integral, aplicando las medidas oportunas en los procesos de comunicación y tratamiento de datos dentro de nuestra empresa.
Recordemos que el whaling es al fin y al cabo una suplantación de identidad, y como tal, tenemos muchas herramientas para defendernos de ella.
Lo primero, y más importante, es una formación adecuada de toda nuestra plantilla. Si una persona conoce esta amenaza, disminuye el éxito del fraude en gran medida.
Lo segundo es aplicar una política en ciberseguridad potente, que determine los procedimientos a aplicar en todas las comunicaciones de la empresa, así como el movimiento de información y su acceso. De esa manera, si algún empleado por ejemplo intenta acceder a información sin cumplir los requisitos necesarios, saltarán las alarmas o sencillamente no podrá hacerlo. También una política estricta sobre el manejo de ficheros adjuntos o enlaces en los mensajes ayuda bastante a la prevención.
Por último, es necesario implementar las soluciones técnicas que permitan desvelar las suplantaciones de identidad. Básicamente, se trata de establecer un factor de confianza en base a diferentes consideraciones técnicas, como puede ser la fiabilidad del emisor, el camino recorrido, los protocolos de seguridad usados, etc.
Además, certificaciones biométricas, PGP, etc. pueden identificar al emisor con mayor confianza, manteniendo el secreto de la comunicación intacto. De esa manera el receptor sabrá si la petición procede realmente de quién dice ser.