Phishing: los orígenes y algunas cifras
El término «phishing» se registró por primera vez en 1995 en el kit de herramientas de craqueo AOHell, pero es posible que se haya utilizado antes, en la revista hacker 2600. Se usa como una variación del término «pescar» (Fishing, en inglés) y se refiere al uso de señuelos para «pescar» información confidencial.
El phishing se trata básicamente de “engañar” al usuario al cual está dirigido un mensaje “malicioso” (enviado por correo, sms u otros medios) de lo cual se desprenden actualmente variaciones tales como: Spear phishing, Vishing, Pharming, Pop-up phishing, Evil twin phishing(Wifi), Whaling, Angler phishing, Smishing, etc
Pero, ¿en qué consiste el phishing?. En términos simples, es una técnica utilizada para poder engañar al usuario haciéndole creer mediante imágenes, texto, sonidos, etc. que este debe realizar alguna acción, como hacer clic en el enlace o abrir un archivo, con la finalidad robar información, como credenciales de acceso a dispositivos o cuentas, u otros datos sensibles, o para descargar algún tipo de malware. Muchos de estos ataques utilizan la ingeniería social o el principio de urgencia para tales fines.
Uno de los casos más emblemáticos -y aún vigente- de phishing que se puede mencionar, es el correo de estafa del “príncipe nigeriano”, en el cual se cuenta una historia que busca que las personas incautas envien dinero para ayudar a la liberación de una persona con muchos recursos a cambio de un retorno de dinero mucho más grande como recompensa. Este fraude ha cambiado con el tiempo, y hoy se utilizan medios como llamadas telefónicas o mensajes de texto SMS, pero siempre con el mismo fin.
Actualmente se estima que se envian entre 3 a 5 millones de correos de phishing de manera diaria, por lo que realizar ejercicios para entrenar a las personas en las organizaciones, y que sean capaces de reconocer un phishing, se convierte en algo muy necesario.
¿Y en Chile? Según cifras entregas por Kaspersky en nuestro país se envían 27 correos por minuto con un total estimado de 10.5 millones, siendo la banca y el retail el principal objetivo.
Sin ir más lejos, en NIVEL4, y a solicitud de nuestros clientes, hemos realizado ejercicios con envíos de varios cientos de miles de correos de phishing test utilizando las más diversas metodologías y técnicas, para preparar a las y los usuarios frente a esta amenaza.
Cómo el phishing impacta en las personas y organizaciones
A las personas, en su mayoría, el impacto consiste en el robo de credenciales para luego ser reutilizadas por los ciberdelincuentes, con el fin de realizar fraudes financieros. Pero en las organizaciones, el tema es mucho más complejo, dado que los ataques son muchísimo más elaborados.
Los cibercriminales son cada vez más sofisticados y hoy emplean técnicas como el spearphishing (phishing dirigido) o whaling (phishing a CEO’s o altos mandos de las compañías). En ambos casos, la meta es obtener y abusar de las credenciales corporativas, lo que permite a los atacantes infiltrarse en las organizaciones o suplantar a usuarios hasta obtener lo que buscan.
Otro riesgo importante para las organizaciones cuando se trata del phishing, es el Ransomware, el que se incrementa cada año. En este tipo de incidente, no solo se trata de hacer un clic que descarga malware, sino de la capacidad para encriptar la información de una organización al punto de interrumpir su funcionamiento parcial o total, y que permite al atacante extorsionar a la víctima para exiguir un rescate, todo lo cual significa pérdidas para la víctima en diferentes planos, desde el incumplimiento con clientes, el prestigio de la entidad y hasta las responsabilidades legales posteriores.
Existen ataques famosos de este tipo, tales como los perpetrados a: Sony (2014) con una perdida económica de 100 millones de dólares. Lo mismo ocurrió con Google y Facebook (2013 – 2015), con una suma simialar; por otra parte, en el año 2018 la copa mundial realizada en Rusia, fue utilizada como parte de la campaña para recolectar información personal de los usuarios, utilizando como tema el regalo de entradas para los partidos. Otros casos emblemáticos son: Crelan Bank (Belgica) con la perdida de 71 Millones de dolares, FACC (Australia) con una perdida de 61 Millones de dólares.
Cómo nos protegemos de todo esto
Básicamente, el enfrentar exitosamente el phishing depende del componente humano.
Más allá de las protecciones que puedan ofrecernos las diferentes tecnologías disponibles, el usuario que recibe el phishing debe poder contar con la capacidad de identificar este tipo de ataque. Pero ¿cómo llegamos a ese nivel de conocimiento? Esto se puede lograr mediante actividades de concientización, charlas, cursos, y todo lo que pueda ayudar a fomentar una positiva cultura de ciberseguridad.
Todas estas actividades permiten que el usuario pueda comprender cuáles son las consideraciones al momento de abrir un correo potencialmente sospechoso y las acciones que debe tomar en esos casos.
De igual manera, es necesario poder realizar ejercicios de este tipo, simulando un ataque real (controlado) a los usuarios con la finalidad de que puedan entender los riesgos que esto implica si abrió el correo “malicioso”. Por cierto, esto debe realizarse de manera sistemática, debido a que la sofisticación y avances en nuevas técnicas de generación de estas campañas hacen que sea necesario el continuo refuerzo de este conocimiento.