El “phishing” es efectivo por desconocimiento de los usuarios

  • El “phishing” es efectivo por desconocimiento de los usuarios
Redacción Metro Libre |

Su constante evolución, las técnicas de persuasión que utilizan y el poco conocimiento de los usuarios acerca de qué es el phishing, son algunos puntos clave que identificaron las expertas en seguridad cibernética sobre la efectividad de esta modalidad de estafa.

De acuerdo con un artículo de Juan Manuel Harán, Security Editor de la compañía Eset, este es uno de los métodos más comunes mediante el cual los cibercriminales intentan llevar adelante sus acciones maliciosas es a través de correos.

“La mayoría de los usuarios experimentó alguna vez abrir un correo de esta naturaleza en los que se suplanta la identidad de alguna marca solicitando que hagamos clic sobre un enlace o descarguemos un adjunto, ya que después de todo, se trata de una práctica que ya tiene más de 20 años. Sin embargo, continúa siendo al día de hoy una de las formas más comunes que utilizan los cibercriminales en su intento por llevar adelante sus acciones maliciosas”, expresó.

Explica que las consecuencias de un phishing pueden ser desde la instalación de un software malicioso, el robo de credenciales de acceso a cuentas y/o la manipulación de la opinión de los usuarios.

“Para comprender el papel protagónico que tiene este método en el escenario de la seguridad actual, Google, por ejemplo, bloquea más de 100 millones de correos de phishing por día”, destacó Harán.

En el artículo manifiesta que según un informe global publicado este año por Verizon, el 32% de las brechas de seguridad que se conocieron en 2018 comenzaron por un phishing y el 78% de los incidentes de seguridad que tenían como objetivo tareas de espionaje o la instalación de un backdoor, fueron llevados adelante mediante ataques de phishing.

Daniela Oliveira, de la Universidad de Florida, describe que  existen tres tácticas persuasivas comunes en los correos de phishing: el uso de una autoridad respetada por el usuario, la promesa de un beneficio económico si el individuo interactúa con el correo (o la pérdida económica en caso de ignorarlo); y por último, la apelación al factor emocional.

 

Muchas campañas de phishing son dirigidas a blancos específicos

Otro aspecto para comprender por qué sigue siendo utilizado el phishing por los actores maliciosos es la personalización de las campañas.

A partir de los correos que Google bloquea de manera diaria elaboraron una categorización según el grado de especificidad de sus blancos de ataque. 

En este sentido, están por un lado los ataques conocidos como “spearphishing”, que son aquellos correos personalizados y que van dirigidos a una persona específica dentro de una organización.

“De hecho, en WeLiveSecurity hemos publicado análisis de una gran cantidad de campañas de malware que comienzan con este tipo de correos especialmente dirigidos, como fue a principios de agosto el análisis de Machete y su campaña de ciberespionaje en curso que apunta a organizaciones gubernamentales de América Latina”, especificó Harán.

Otra categoría, a la cual denominaron “boutique phishing”, corresponde a campañas de phishing personalizadas –no tanto como las anteriores- que apuntan a un par de decenas de individuos u organizaciones.

Por último, la tercera categoría corresponde a los correos de phishing masivos, que son aquellos que van dirigidos a miles de individuos u organizaciones.

Un dato interesante, según Harán, es que las campañas de “boutique phishing” duran apenas siete minutos, mientras que las campañas masivas están activas en promedio durante 13 horas.

En cuanto a los blancos de ataque, de acuerdo con Google la mayoría de las campañas de phishing están dirigidas a Gmail; siendo muchas de las campañas dirigidas hacia usuarios finales, mientras que las dirigidas a perfiles empresariales apuntan a un número limitado de individuos. Asimismo, el perfil empresarial es casi cinco veces más apuntado que los usuarios finales, seguido por organizaciones no gubernamentales.

En cuanto a la suplantación de identidad, en el 42% de los ataques de phishing las páginas utilizadas simulan ser sitios legítimos de servicios de correo con el objetivo de que las víctimas ingresen sus claves de acceso. En segundo lugar, se suplanta la identidad de servicios en la nube con un 25%, seguido por páginas que simulan ser de instituciones financieras con un 13%, sitios de ecommerce en un 5% y de servicios de envío en un 3.9%.

 

Cómo evitar ser víctima del phishing

Si bien quienes están detrás de las campañas de phishing han evolucionado logrando que luzcan cada vez más convincentes, la educación sigue siendo un factor clave para reducir el número de víctimas de este tipo de ataque.

En este sentido, Google publicó un test online para poner a prueba la capacidad de los usuarios de reconocer un correo de phishing en un intento de capacitar y que cada vez más personas sean capaces de reconocer si están frente a un correo sospechoso o no.

Otro factor clave para reducir el número de víctimas del phishing es implementar el uso del doble factor de autenticación en todos los servicios que esté disponible, ya que esta capa de seguridad adicional que se agrega ayuda a evitar que terceros puedan acceder a nuestras cuentas en caso de ser víctimas del robo de nuestras credenciales de acceso en una brecha. De hecho, un estudio publicado por Google este año demostró que el doble factor de autenticación es la solución más efectiva para prevenir el secuestro de cuentas.