Sobre la suplantación de identidad o «phishing»

Información básica

Para comprender el «phishing» y todas sus variantes lo primero es saber que es una forma de ingeniería social, también conocida como manipulación social o «scamming». En esencia, la ingeniería social consiste en manipular a las víctimas para intentar ganarse su confianza y así conseguir que revelen información confidencial o que realicen las acciones deseadas mediante conocimientos psicológicos. El método de la ingeniería social no es exclusivo de internet. Pero debido a la naturaleza de esta red (con información fácilmente accesible y la posibilidad de llegar rápidamente a muchas personas) se ha convertido en el principal campo de juego de este tipo de estafas y fraudes.

El «phishing» se divide en dos grupos principales: el «phishing» y el «spear phishing». Más información a continuación.

«Phishing» y «spear phishing»

«Phishing»

El «phishing» se caracteriza por ser impersonal y genérico. Recurre a grandes cantidades de destinatarios con la esperanza de que alguien pique el anzuelo. La típica estafa de «phishing» se lleva a cabo a través de correos electrónicos basura o «spam», razón por la cual el «phishing» se ha convertido casi en sinónimo «phishing emails». Los correos electrónicos «phishing» suelen ser una forma de que los delincuentes recopilen información para luego tratar de llevar a cabo el «spear phishing».

Ejemplos de «phishing»:

Estafa por simulación de correo electrónico de soporte técnico:

El remitente se hace pasar por una empresa grande como Microsoft, PayPal, un banco o incluso el servicio de soporte técnico de su empresa informando de que se ha producido una «actividad de inicio de sesión inusual» en la cuenta y le insta a actuar. A continuación, el correo electrónico suele solicitar que inicie sesión a través de un enlace proporcionado (y en el proceso roba las credenciales de inicio de sesión), o que haga clic sobre un documento adjunto que instalará un programa malicioso en el ordenador.

Estafa por simulación de correo electrónico de banco:

El remitente se hace pasar por un banco y le informa de que hay que actualizar la información de usuario a través de un enlace proporcionado en el mismo correo electrónico. Una vez enviada la información de usuario, los delincuentes la utilizarán con fines delictivos.

La gran cantidad de correos electrónicos enviados por los ciberdelincuentes garantiza que un gran porcentaje de los receptores serán clientes del banco por el que se hacen pasar los estafadores.

El premio de la lotería:

El remitente se hace pasar por una organización de lotería que afirma que ha ganado un gran premio. El objetivo de la estafa es conseguir que revele información personal (como el número de la cuenta bancaria, etc.) o que pague una tasa administrativa, un impuesto sobre los beneficios o una comisión bancaria.

«Spear phishing»

En primer lugar, el «spear phishing» se diferencia del «phishing» en que es personalizado. En segundo lugar, la estafa típica de «spear phishing» se concentra en unos pocos objetivos seleccionados (sin embargo, hay muchos ejemplos de excepciones a esta característica). En los casos más extremos, la víctima elegida es espiada durante semanas o meses antes de que los delincuentes contacten con ella por primera vez. Durante este tiempo, los delincuentes se informan todo lo posible sobre la víctima para aumentar las posibilidades de éxito de su manipulación. Al igual que el «phishing» normal, el «spear phishing» se ha realizado tradicionalmente a través de correo electrónico.

Habitualmente el «spear phishing» va dirigido a particulares en su rol profesional con la intención de robar dinero a la empresa en la que trabaja la víctima o conseguir información sensible de la empresa. Sin embargo, las tentativas de «spear phishing» contra particulares también son habituales.

Ejemplos de «spear phishing»:

Fraude del CEO (empresas):

El nombre «fraude del CEO» (también conocido como «whaling») proviene del procedimiento de estafa en el que el delincuente se hace pasar por un director general o algún otro ejecutivo de la empresa. A continuación, engañan al empleado para que, por ejemplo, transfiera dinero o facilite información confidencial de la empresa.

Básicamente, todo se reduce al respeto general a la autoridad. Si el empleado cree que está siendo contactado por un ejecutivo de la empresa que necesita urgentemente una transferencia de dinero o información confidencial, el empleado actuará según las instrucciones sin pensarlo dos veces. O al menos eso es lo que el delincuente espera.

Archivos que contienen programa malicioso (empresas):

El delincuente envía un correo electrónico con un archivo adjunto que aparentemente contiene información importante de la empresa, como por ejemplo un plan de contratación o un informe de fin de año. En realidad, el archivo contiene un programa malicioso o «malware» que una vez que se abra se instala en el equipo. Lo más habitual es que el remitente fraudulento se haga pasar por un empleado o por otra empresa que sepa que trabaja con la empresa objetivo.

Una vez instalado en el equipo, el programa malicioso podría por ejemplo dar al ciberdelincuente acceso remoto a la red de las empresas, con lo que podría robar información confidencial.

«Spear phishing» dirigido a particulares:

El «spear phishing» no es exclusivamente un problema de las empresas. Los particulares también son un objetivo. Habitualmente ocurre cuando los ciberdelincuentes se hacen con las credenciales de los clientes a través de las empresas.

Un ejemplo típico fue el envío de 100 millones de correos electrónicos a clientes de Amazon que habían comprado recientemente. Estos correos electrónicos parecían legítimos de Amazon, pero contenían un archivo adjunto que instalaba un secuestro de datos o «ransomware» que encriptaba los archivos del ordenador del usuario. A continuación, el «ransomware» exigía a la víctima el pago de un rescate en bitcoins para eliminar el encriptado.