Con este título resumimos lo que podría ser básicamente el moderno Phising, el viejo arte del engaño.

¿Qué es el phising? Origen y significado.

Hay varias teorías sobre el orígen de esta palabra, pero diremos que deriva de la inglesa "fishing" (pesca). En la pesca, como todos sabemos, se lanza un anzuelo esperando engañar al confiado pez para que pique.

Lo mismo ocurre cuando recibimos un e-mail, un mensaje en nuestro móvil, un mensaje compartido en Whatsapp o similares o incluso mediante una llamada teléfonica. Recibimos el anzuelo y si picamos, acabaremos dando información personal y confidencial.

Lo más común es que se utilize el e-mail por su comodidad y rapidez aunque tendríamos que mencionar también otros medios para conseguir los mismos fines, como el 'Smishing' (SMS) o Vishing (Voice Phising o llamada de voz) por ejemplo.

En ocasiones nos encontraremos con un envío masivo y no personalizado de mensajes al mayor número de personas o dirigido específicamente a una persona u organización y personalizado (el llamado Spear Phising). En otras, podríamos recibir un adjunto (por ejemplo un documento word) infectado con software malicioso, el llamado 'Malware-Based Phishing' (Malware es un acrónimo de "malicious software") el cual sin saberlo nosotros estará ejecutándose en nuestro ordenador recabando toda la información posible.

Se trata en definitiva, del delito informático más simple pues no requiere para su realización de conocimientos técnicos sofisticados pero es tan efectivo y peligroso como un complicado ataque a un sistema informático.

¿Cómo puede ser tan efectivo y simple?

Por que se ataca al eslabón más débil de este mundo informatizado: el factor humano y su tendencia natural, en general, a reaccionar de manera predecible dadas ciertas situaciones, y poder así, realizar el engaño. Digamos que el Phising utiliza la 'ingeniería social' término relativamente moderno para designar a la clásica picaresca o engaño de toda la vida.

Procedimiento del Phising:

- En primer lugar, se suplanta la identidad de quien envía dicho mensaje (correo, msg o por cualquier otro medio) haciéndose pasar por una persona u organización de confianza, como un banco, alguna institución oficial como correos o hacienda, compañero o jefe de trabajo, Netflix, Pay-pal, Google Drive... Este detalle es fundamental para no despertar sospechas y aparentar ser un mensaje auténtico.

- Seguidamente, se nos plantea un escenario o situación en la que nos veremos en la 'necesidad' o 'urgencia' de actuar y en caso contrario, asumir las consecuencias en el caso de no hacer nada.

Un ejemplo típico sería el e-mail en el que se nos insta a actuar rápidamente con cualquier pretexto:

  • por motivos de seguridad,
  • por haber ganado un premio,
  • alguien de tu empresa pide información sobre la misma,
  • para evitar bloqueo de nuestra tarjeta bancaria,
  • para acceder a una super oferta,
  • para realizar urgentemente un pago pendiente...

- Y para entonces, apremiados por la 'urgencia', 'necesidad' o importancia del asunto responderemos al mensaje o generalmente, se nos ofrece el link a una web donde podremos solventar nuestro 'problema'. Lógicamente, haremos 'click' para acceder a una página web, muchas veces conocida o familiar pero falsa (como podría ser la de nuestro banco, pay-pal u organismo estatal oficial).

Una vez allí, creyendo que estamos en una web auténtica introducimeros nuestras credenciales o cualquier otro tipo de informacón y en lugar de entrar o continuar nos dirán que ha habido algún error, que lo intentemos mas tarde... o simplemente que ya está todo solventado.

Consecuencias:

En primer lugar tendremos las consecuencias que directamente nos pueden afectar seriamente a nosotros mismos. Hablamos de tarjetas o números de cuentas bancarias lógicamente. Dinero que una vez perdido será irrecuperable.

Muchos datos personales y confidenciales (Perfiles de redes sociales, cuentas de Netflix…) se suelen vender a terceros en la 'dark web' (no confundir con 'deep web'). Podrías perder el acceso a tu cuenta, tus datos podrían servir para suplantar tu identidad o perseguir otros fines.

Queremos destacar la importancia y peligrosidad del Phising en el ámbito empresarial. Desaconsejamos abrir cualquier e-mail que no sea estrictamente relacionado con el trabajo. A la mínima duda o si vemos que se nos pide dar o confirmar información delicada siempre deberíamos si es posible confirmar por teléfono, en persona o por cualquier otro medio, la veracidad del mensaje recibido.

Consejos para no 'morder el anzuelo':

- Si lo que recibimos es un e-mail de una persona u organización conocida, hay que revisar el remitente cuidadosamente. Si vemos algo raro hay que empezar a sospechar. Por ejemplo, el e-mail es de alguien conocido pero diferente al que estamos acostumbrados.

- Lógicamente desconfía directamente si en el mensaje se ven errores gramaticales, faltas de ortografía o incongruencias del lenguaje pues en envios masivos globales suelen utilizar el google translator.

- La urgencia o necesidad alarmante del mensaje es un indicativo para desconfiar.

- Ningún banco suele pedir tu información bancaria por e-mail o sms.

- Desconfia de premios o super ofertas.

- No habras adjuntos en caso de mínima duda.

- En caso de otorgarle cierta credibilidad y seguir adelante, debemos revisar el enlace que nos muestra el mensaje. Normalmente si pasamos el ratón por encima, en caso de estar en un ordenador, aparecerá en la esquina inferior izquierda la url o dirección web. O simplemente, si hacemos click la podremos ver arriba cuando se abra el navegador.

En primer lugar debe empezar por https:// y hay que observar hasta el más mínimo detalle, como un punto, un guión, una letra que sobra o falta... en caso de duda, SIEMPRE es mejor no hacer click en el enlace que nos dan e irnos directamente al navegador y buscar o poner nosotros mismos la dirección web o url (ojo, no copiar la que nos dan si no ir a la auténtica. Es decir, si estamos hablando de pay-pal, buscar en google dicha web y acceder a ella en esa búsqueda).

- En cualquier caso la idea es que utilizemos cualquier medio para poder confirmar la veracidad de dicho mensaje que hemos recibido antes de emprender ninguna acción.

- Y por último, aconsejamos tener un antivirus (mejor de pago) pues además de detectar cualquier virus o malware también comprueban los certificados de todas las direcciones web a las que accedas y avisan de todas las web falsas conocidas.

Y algo para recordar, en el Phising, el mejor sistema de seguridad, somos nosotros mismos.

Pablo Collado. Senior Frontend Developer.