En el año 2018 el phishing ha crecido exponencialmente, superando incluso al ransomware. La finalidad de este ataque, que trata de engañar al usuario, es el robo de datos de la víctima, ya sean credenciales o información personal.
Hace apenas unos días salía a la luz el informe anual State of the Phish, que ofrece información sobre el conocimiento sobre seguridad de los usuarios y su comportamiento respecto a las ciberamenazas. Durante el 2018, según los datos arrojados, el phishing ha sido el ataque más experimentado, incluso más que el ransomware, con un aumento de un 70% en el robo de credenciales respecto al año 2017.
Los ciberdelincuentes continúan poniendo el foco en atacar a las personas en lugar de a las tecnologías, por lo que es necesario que como usuarios sepamos que nos hemos convertido en el blanco de los ciberataques. La ingeniería social es el método más común, no solo mediante phishing, sino también a través de redes sociales, servicios de mensajería e incluso llamadas telefónicas (vishing).
¿Por qué quieren nuestros datos?
Hay una máxima en nuestra vida física que deberíamos trasladar a la vida digital: nada es gratis, todo tiene un precio. En Internet, cuando utilizamos un servicio que no nos pide un pago, estamos pagando con nuestros datos. Cuando son servicios legítimos, como puede ser una red social o un buscador, normalmente la información que regalamos está destinada a la publicidad con la que esos servicios se ganan la vida.
Sin embargo, también puede ocurrir que seamos víctimas de un robo de datos a través de algún tipo de engaño. Información personal, métodos de pago y credenciales son los datos que más buscan los cibercriminales. Los utilizan para venderlos en el mercado negro de Internet e incluso para cometer fraudes u otros ataques más elaborados mediante suplantación de identidad.
¿Cómo realizan el robo de datos?
El phishing es el método más común para el robo de credenciales. Los ciberdelincuentes suplantan a una entidad conocida y tratan de engañar a un número masivo de víctimas de las que han conseguido sus direcciones de correo.
Dichos emails los han podido lograr de diferentes formas: comprándolos, haciendo una búsqueda de listas de correos robados, o incluso engañando a usuarios para que rellenen formularios. Esto último es muy común en las redes sociales, donde proliferan sorteos, cupones y otras ofertas que resultan ser fraudes.
Reconocer la ingeniería social
Los ataques de ingeniería social pueden ser muy simples o muy elaborados. Sin embargo, si estamos alerta y tratamos de fijarnos en algunos puntos o verificar algunos datos, son fáciles de reconocer.
Por ejemplo, a la hora de detectar un phishing, es importante comprobar que el remitente es una dirección oficial, y que los enlaces no están acortados o redirigidos a otro lugar diferente. Si el ataque es más elaborado y contiene datos nuestros que nos hagan dudar, podremos utilizar un método de defensa: contactar por otro canal con la persona o entidad que supuestamente nos está escribiendo.
Cuando hablamos de redes sociales, es importante desconfiar siempre de sorteos, cupones descuento y ofertas desorbitadas. Si alguna tienda realiza un sorteo o regala un cupón lo hará desde sus canales oficiales.
Si tenemos toda esta información en cuenta, nuestros datos estarán protegidos de personas malintencionadas.
