Click here to load reader
Upload
ricardo-canizares-sales
View
264
Download
0
Embed Size (px)
Citation preview
‘Phishing’, cada vez mayor sofisticación y
dificultad de detección
María-Jesús Casado, Operadora de Ciberseguridad en EULEN Seguridad.
Entre las amenazas a la ciberseguridad más
extendidas hoy día las campañas de „Phishing‟
ocupan un lugar destacado. A través de ellas el
ciber delincuente simula ser una organización
o entidad legítima con el objetivo de robar
datos personales de carácter privado. En la
mayor parte de ocasiones lo hace mediante el
envío a la víctima de un correo electrónico o
un sms. El tipo de datos perseguido es muy
variado; desde datos personales en sentido
estricto como nombre, DNI, fecha de
nacimiento… a credenciales de diverso tipo -
correo electrónico, banca en línea o portales de
medios de pago-. La práctica demuestra cómo
el impacto del phishing puede ser muy
elevado, su alcance, muy amplio y cómo la
sofisticación de los medios usados como cebo
hace que puedan llegar a ser muy difíciles de
detectar.
Generalmente, las campañas de phishing
van dirigidas a dos tipos de destinatarios.
Proporcionalmente, el ámbito más afectado
por volumen de ataques son las campañas
dirigidas al ciudadano. Los objetivos son
variados; obtención de datos personales para
su venta, inyección de malware diverso en el
dispositivo afectado – ransomware, troyanos,
spyware,… - o causar un daño económico
directo a la víctima, entre los más frecuentes.
Un ejemplo muy gráfico de este último tipo
fue la campaña de suplantación del portal de
banca en línea del Banco Sabadell detectada
en agosto de 2015. Una oleada de correos
electrónicos solicitaba a los usuarios sus
credenciales de acceso utilizando como
anzuelo una falsa alerta generada por una
supuesta serie de intentos fallidos de acceso a
su operativa en línea.
En este caso llama especialmente la
atención cómo una búsqueda en Google
arrojaba como dos primeros resultados la
página fraudulenta. En este caso, los daños
económicos para los clientes fueron muy
elevados y, aunque sea un parámetro
intangible, la imagen del banco se vio afectada
por la pérdida de confianza del público.
Precisamente, los daños reputacionales de
las empresas enlazan con el segundo grupo de
destinatarios habituales del phishing. Con
cierta frecuencia éstas se convierten en
víctimas sufriendo un daño que en ocasiones
llega a ser muy perjudicial. Por un lado, el
ciber delincuente puede tratar de robar datos
financieros y causar un daño económico, pero
a menudo aparecen campañas que pretenden
obtener información corporativa confidencial,
especialmente inyectando una back-door o un
programa de spyware en los dispositivos
afectados. Un ejemplo lo sufrió el pasado mes
de agosto la compañía de suministro de agua
británica SESW, cuyos empleados recibieron
correos electrónicos simulando provenir del
CEO de la compañía. Otro ejemplo de este
tipo de ataques es el “click-jacking” sufrido
por varias compañías navieras neozelandesas a
principios de 2015, por el que fueron inducidas
por correo electrónico a facilitar sus
credenciales de acceso en una suplantación
fraudulenta perfecta de la web de las propias
empresas. Eso permitió a los hackers suplantar
la identidad de los buques en ruta, hacer
transacciones financieras desviando fondos y
modificar la documentación de las cargas
fletadas y la propia ruta de transporte. De
nuevo es importante insistir en que la
reputación de las empresas sufre gravemente
pudiendo llegar a comprometer su actividad
empresarial por la pérdida de confianza de sus
clientes. De ahí a la escasa repercusión
mediática que caracteriza este segundo grupo
de destinatarios.
En conclusión, al tiempo que el número de
ciber ataques de phishing aumenta también se
incrementa exponencialmente el nivel de
sofisticación que algunos de ellos presentan.
Los daños provocados pueden llegar a ser
potencialmente devastadores tanto para
ciudadanos como para empresas. Es por ello
que se hace necesario que el navegante
extreme la atención y compruebe
meticulosamente la URL de todo portal en el
que introduzca cualquier dato, o la idoneidad
de descargar cualquier fichero que le llega por
correo electrónico evaluando su procedencia.
Cada vez más no es tanto cuestión de
conocimientos de informática sino de atención
y sentido común internauta.