Ya somos 7,6 millones de personas en el mundo. Solo en Internet, hay 4,4 millones de ellos, es decir, casi el 58% de la población del planeta está en línea. Por este motivo, en los últimos años se ha producido una explosión en el número de usuarios de teléfonos inteligentes, computadoras y tabletas.

En las redes sociales, ya hay 3,5 mil millones de usuarios activos y, de los 3,8 mil millones de teléfonos inteligentes en uso, 3,2 mil millones acceden a aplicaciones sociales con frecuencia. Así, cada vez hay más dispositivos conectados y la producción de datos por segundo se ha incrementado considerablemente.

publicidad

Estas nuevas tecnologías conducen a modelos de negocio innovadores, en los que la información puede ser lo que realmente marca la diferencia. Dado que el volumen de datos producidos en el universo digital se duplica cada año, las estimaciones de Consultoría IDC indican que se espera que alcance los 44 billones de GB (44 ZB) en 2020.

En medio de todas estas transformaciones, es común que haya mucha preocupación por proteger computadoras, pero que otros dispositivos siguen siendo inseguros. Además, nuevos formatos de trabajo, como home office y trae tu propio dispositivo (Trae tu propio dispositivo - BYOD), insertar equipamiento doméstico en contextos corporativos.

Esto significa que hay más puertas de invasión, cada vez más información en circulación y, en consecuencia, un aumento de los riesgos cibernéticos. Las cifras son enormes: una encuesta de Accenture muestra que el costo promedio de cada delito digital por empresa fue, en 2018, de 13 millones de dólares.

Además, Symantec señala que todos los días se bloquean 24 aplicaciones móviles maliciosas. Para colmo, según Varonis, se espera que los daños relacionados con el ciberdelito alcance los 6 billones de dólares al año en 2021.

Pero, ¿qué pasa con el phishing?

Este es un escenario muy propicio para el phishing; no es de extrañar, se encuentra entre las principales amenazas para la ciberseguridad. Es a través de él que los estafadores pueden obtener información personal de los usuarios, como número de tarjeta de crédito, cuentas bancarias, contraseñas, número de seguro social y similares.

Reproducción

Sus ataques son prácticamente ubicuos, es decir, no se limitan a unos pocos canales. Según Cyxtera, que detecta y previene el fraude electrónico, alrededor del 90% de ataques Comience con acciones que utilicen esta técnica.

El phishing generalmente es creado por estafadores que identifican vulnerabilidades en un sistema u obtener acceso a él con credenciales robadas. Un mecanismo muy común es el uso de dominios similares (réplicas casi idénticas de un sitio web con una URL similar) y el envío de correos electrónicos a los clientes de la organización cuya página ha sido clonada.

Tipos de ataque

La estafa de phishing más conocida es la campaña de correo electrónico y el clon de phishing. El destinatario recibe un mensaje falso, ya sea una gran red de usuarios o un individuo específico, pero parece real y luego se dirige a sitios web ilegítimos. Y muchos usuarios de Internet no tienen las herramientas para reconocer estas amenazas.

Reproducción

Sitio web del Real Santander: la URL utiliza HTTPS (un estándar que es seguro) y certificado SSL, representado por un candado verde en la barra del navegador

Reproducción

Sitio falso de Santander en estafa de clonación de phishing: no hay HTTPS o candado en la barra del navegador, lo que indica que el sitio no es confiable

Una forma especializada de phishing es el compromiso de los correos electrónicos corporativos (Compromiso de correo electrónico comercial - BEC). En este caso, se envían mensajes muy detallados para hacerse pasar por altos ejecutivos o empleados del sector financiero de las organizaciones y así tener acceso a información confidencial o solicitud transferencias de dinero.

Desde 2013, las pérdidas con BEC han totalizado más de $ 12 mil millones. Y, dado que quienes están detrás de los correos electrónicos corporativos son personas comunes, las posibilidades de éxito de este tipo de fraude son igualmente altas cuando las empresas no tienen políticas para restringir el progreso de estas actividades.

Lea también:

Pero no se detiene ahí: el phishing puede venir de otras formas. Además de llegar a los correos electrónicos, los ataques se envían a cualquier punto de contacto con el usuario; pueden ser aplicaciones maliciosas, perfiles falsos de redes sociales, SMS y otros.

La rápida popularidad de los teléfonos inteligentes ha convertido a las tiendas de aplicaciones (en su mayoría no oficiales, pero en algunos casos incluso oficiales) en un importante vector de ataques de phishing dirigidos. Se utilizan aplicaciones falsas que imitan a los agentes para atraer a los usuarios y conseguir que proporcionen información confidencial y datos de acceso.

Otra fuente importante de ataques de phishing son los perfiles falsos de redes sociales. Los delincuentes que utilizan esta técnica crean cuentas falsas de apariencia real para engañar a las víctimas para que proporcionen información personal. 

¿De dónde proviene el phishing?

La mayoría de estos correos electrónicos provienen de organizaciones legítimas, como agencias gubernamentales o bancos. En general, son mensajes que informan la necesidad de actualizar, validar o confirmar información.

Es común que señalen la aparición de problemas y ofrezcan un enlace directo a la solución. Cuando se hace clic, se dirige al usuario al sitio web falso y se le anima a proporcionar información personal, lo que puede conducir al robo de identidad.

Vale la pena, entonces, estar atento al recibir mensajes que soliciten confirmación de datos por correo electrónico o que contengan enlaces directos a sitios web. Por tanto, siempre que tenga dudas sobre la legitimidad de una comunicación, póngase en contacto con la institución remitente.

A diferencia de otras plagas virtuales, el phishing no se puede eliminar; después de todo, no hay nada instalado previamente en la computadora. Por otro lado, es posible prevenir y evitar ser engañado por él. Para eso:

  • no haga clic en enlaces que lleguen en correos electrónicos no solicitados (o que estén en Facebook);
  • no abra archivos adjuntos de correo electrónico si no está seguro de su procedencia;
  • proteger sus contraseñas y no revelarlas a nadie;
  • no proporcione información confidencial por teléfono o correo electrónico;
  • verifique la dirección de los sitios que visita: a menudo, el correo electrónico parece legítimo, pero la URL puede tener un error tipográfico o un dominio diferente;
  • mantenga su navegador actualizado.

¿Existen otras formas de phishing?

Sí. Uno de los más populares es el secuestro de DNS. Solo este año, el Avast bloqueó más de 4,6 millones de intentos de falsificar solicitudes entre sitios (Falsificación de solicitudes entre sitios - CSRF) en Brasil. Estos ataques le permiten modificar la configuración de DNS desde un sitio web y luego ejecutar campañas de phishing y minería de criptomonedas.

Es común que este tipo de acción se inicie cuando el usuario visita un sitio web comprometido por publicidad maliciosa (conocida como publicidad maliciosa). En Brasil, el malvertising a menudo se encuentra en sitios de contenido para adultos, películas ilegales y deportes.

Tan pronto como visita el sitio web comprometido, se dirige a la víctima a una página donde se ha instalado un kit de explotación del enrutador. Entonces, automáticamente, un ataque al dispositivo comienza en segundo plano, y a menudo tiene éxito, ya que la mayoría de los enrutadores tienen contraseñas débiles.

En primer lugar, intentamos encontrar la IP del equipo en la red. Luego, se intentan varias contraseñas triviales. Algunas de las credenciales que intentan utilizar los kits de exploración son:

  • admin: admin;
  • administración:;
  • admin: 12345;
  • Administración: 123456;
  • admin: gvt12345;
  • clave de administrador;
  • admin: vivo12345;
  • root: root;
  • super: super.

Una vez secuestrado, el enrutador está configurado para usar servidores DNS falsos y así dirigir al usuario a páginas falsas que parecen auténticas. Uno de los sitios que recientemente se hizo popular entre los secuestradores de DNS fue Netflix. Según Avast, los siete sitios secuestrados con más frecuencia en Brasil son:

  • Santander (24%);
  • Bradesco (19%);
  • Banco do Brasil (13%);
  • Itaú BBA (13%);
  • Netflix (11%);
  • Efectivo (10%);
  • Serasa Experian (10%).

Estas instituciones son el objetivo porque son muy populares. Al mismo tiempo, dado que los sitios de phishing están fuera de su dominio, pueden hacer poco para proteger a los clientes, aparte de alertarlos.

¿Qué importancia tiene la ciberseguridad?

Ahí es donde el ciberseguridad. Asegura la protección de sistemas, redes y programas contra intrusiones que buscan acceder, modificar o destruir información, extorsionar a personas o empresas e interrumpir procesos y sistemas operativos. Por tanto, es fundamental comprender y respetar los estándares básicos de seguridad digital.

Esto incluye copias de seguridad, actualizaciones de contraseñas, precauciones de navegación, etc. Una de las medidas más básicas (que se puede adoptar en cualquier entorno) es, al visitar el banco o el sitio web de Netflix, por ejemplo, comprobar si la página tiene un certificado válido, que aparece en forma de candado en la barra del navegador. . Además, vale la pena actualizar el enrutador con frecuencia y configurar las credenciales con un contraseña fuerte.

En las empresas, esta mentalidad debe involucrar a todas las áreas, no solo a la seguridad. Por tanto, deben tener procesos y conductas bien definidos: desde la navegación web hasta el acceso a información sensible y bases de datos.

Al mismo tiempo, es necesario establecer reglas a seguir en casos de amenazas a la seguridad digital. Por lo tanto, si hay algún intento de ataque, se sabe qué acciones tomar y por qué. En otras palabras, la ciberseguridad va mucho más allá de los cortafuegos y antivirus: implica el gobierno de la empresa. Las personas, los procesos y la tecnología deben ser complementarios.

Os cibercriminales saben que las organizaciones utilizan estrategias para prevenir el phishing y otros ataques y, por lo tanto, adaptan constantemente las tácticas que utilizan para eludir estos mecanismos. En el entorno corporativo, es fundamental tener una visibilidad total de los ataques para evitar que avancen hasta el punto de causar un daño irreversible antes de ser detectados. Si se detecta en una etapa temprana, hay más posibilidades de evitar consecuencias negativas.

¿Has visto nuestros nuevos videos en YouTube? ¡Suscríbase a nuestro canal!