"Phishing: estas son las marcas más utilizadas en estos ataques

Los ciberdelincuentes aprovechan la popularidad de las compañías que imitan para ganarse la confianza del usuario y obtener sus datos personales y credenciales de pago online

Imagen de archivo.

Imagen de archivo. // Pixabay

Innovadores

ciberseguridad

Fran Leal

Fran Leal

Una de las grandes ciber amenazas a la que tenemos que hacer frente en el mundo digital es el phishing, un ataque basado en la imitación de la página web de una firma conocida, tanto de su dirección URL como de su diseño, con el fin de que los usuarios no sospechen del fraude y aporten sus datos personales de valor o las credenciales de pago, que posteriormente serán utilizadas por los delincuentes.

Las tecnológicas, las más utilizadas

Así, desde Check Point han publicado recientemente el ‘Brand Phishing Report’ correspondiente al segundo trimestre del año, de donde se concluye que las marcas más utilizadas para engatusar a los incautos tienen un denominador común: la tecnología. De hecho, Google, Amazon, WhatsApp, Facebook y Microsoft son, en ese orden, las más empleadas, acaparando entre las cinco el 51%. Resulta curioso que Apple, que lideraba la lista en el primer trimestre del año, en esta ocasión cae al séptimo lugar como marca más imitada en estos intentos de phishing registrados en el segundo trimestre.

En lo que se refiere a las plataformas donde se llevan a cabo estos ataques, el citado informe revela que la web continúa siendo el medio más utilizado, registrando un 61% del total de ataques de phishing en el periodo analizado, con Google, Amazon y WhatsApp como las firmas más empleadas para estas fechorías.

Tras la web, se ha percibido un incremento en los ataques realizados vía correo electrónico, que registran un 24% de los ataques. Entre las compañías más utilizadas, Microsoft, Outlook y Unicredit ocupan el podio en este segmento. Y por último, el canal mobile registra un 15% de incidencia, con Facebook, WhatsApp y PayPal en los primeros puestos.

Una amenaza que sigue creciendo

Todos los expertos consultados apuntan a que el auge de la práctica maliciosa del phishing seguirá en auge, y además con los ciberdelincuentes perfeccionando sus métodos cada vez más. Así lo asegura Mario García, director general de Check Point para España y Portugal, que alerta de que “los cibercriminales utilizan las últimas novedades para lanzar sus campañas”. Incluso, algunos de estos delincuentes están utilizando “servicios de almacenamiento en la nube con el objetivo de utilizarlos como hosting para páginas webs falsas”.

Además, en el contexto actual, según explica José Luis Laguna, Director Systems Engineering en Fortinet para España y Portugal, “el phishing se ha convertido en una pandemia que, igual que la sanitaria, es sumamente dañina y con gran capacidad de propagación”. Y es que, la situación en la que estamos inmersos, con un gran peso del teletrabajo, ha generado “un caldo de cultivo” para la expansión del phishing, con “los teletrabajadores conectándose desde redes domésticas a la red corporativa”, lo que los convierte en “un objetivo fácil”, defiende Laguna.

También desde Kaspersky inciden, en declaraciones para BYZness, en el crecimiento constante que están experimentando estos ataques, que adoptan “nuevos disfraces”: servicios online, nuevas series de televisión, grandes eventos deportivos o musicales y, por supuesto, la pandemia del coronavirus. Además, según nos apuntan desde la compañía, “los textos y encabezados son más variables, las páginas de phishing pueden utilizar el protocolo seguro ‘https’ y los correos pueden enviarse mediante redes de bots”. En definitiva, toda una fórmula diseñada para dificultar la detección y bloqueo de estos ataques.

Nos jugamos demasiado

Desde Kaspersky señalan que el phishing es uno de los ataques de ingeniería social más antiguos y flexibles, utilizado de muchas maneras y con diferentes propósitos. Algo que suscribe García, que precisa que el objetivo que se persigue no es sino “lograr obtener el mayor número de datos posibles de la víctima a la que va dirigido”, que puede ser un individuo o una empresa.

De hecho, este aspecto, el corporativo, es uno de los que más preocupa. Tal y como ha puesto de manifiesto el análisis de Kaspersky, en el segundo trimestre de este año, los phishers realizaron cada vez más ataques dirigidos, centrándose principalmente en las pequeñas empresas. En este sentido, desde Fortinet, Laguna recuerda que los usuarios con más privilegios serían los que más protección tendrían que disfrutar, dado que con sus credenciales se puede “acceder a información clasificada de la compañía, datos médicos, financieros y personales, acceso a cuentas bancarias, etc.”. Y lógicamente, esto conllevaría pérdidas económicas y de reputación para empleados y compañía, “llegando incluso a poner en riesgo la continuidad del negocio en los casos más graves”, concreta.

Trucos para no caer en la trampa

Llegados a este punto, y apoyados en las recomendaciones que nos han transmitido las fuentes consultadas, hemos recopilado algunas claves que pueden evitar que caigamos en las garras de los ciberdelincuentes.

  1. Desconfiar de todo remitente desconocido que llegue al mail y bajo ningún concepto descargar archivos de estos emails sospechosos.
  2. Comprobar siempre las direcciones, tanto de los correos electrónicos, como de los enlaces que puedan venir en el cuerpo de los emails, así como de las direcciones web. Tenemos que saber que son auténticas y que remiten hacia donde dicen hacerlo.
  3. No introducir credenciales nunca si no estamos completamente seguros. A la mínima duda, lo mejor es no hacerlo y, en el caso de haberlo hecho ya, tendremos que cambiar a la mayor brevedad la contraseña y llamar al banco o proveedor de pagos si los datos de la tarjeta pueden estar comprometidos.
  4. Desconfiar de ofertas que parecen increíbles. De hecho, como se suele decir, si parece raro, lo más probable es que lo sea. Así pues, mucho cuidado con esas promociones de vértigo y con los temas del momento, como el coronavirus, en torno al cual los ataques se multiplican.
  5. Utilizar soluciones de seguridad que encuentren tecnologías anti phishing.
  6. Por último, a nivel empresa, conseguir involucrar a los empleados en la aceptación y cumplimiento de sus responsabilidades de seguridad, con planes de concienciación y formación, herramientas adecuadas y procesos eficaces.

En este articulo: Tendencias Tecnología

Iniciar sesión 0 Comentarios
cargando