Todo lo que anteriormente analizamos al hacer consideraciones generales sobre el phishing, repasar sus fallas frecuentes y aspectos fundamentales, e incluso cuando vimos cómo se esconde detrás de URLs falsas, hace referencia a indicadores de una posible intención maliciosa. Pero no constituyen por sí mismas la prueba absoluta de culpa ni de inocencia por parte del remitente.
Sin embargo, sí nos dan una idea de si es seguro o sensato hacer clic en ciertas cosas sin una mayor investigación, en especial cuando varios de estos indicadores aparecen en el mismo mensaje.
Presta atención a estas 6 claves para reconocer correos de phishing falsos.
1) ¿El mensaje realmente demuestra que el remitente sabe algo acerca tuyo y, ante todo, ya tienes relaciones comerciales con él?
- Los proveedores de servicios competentes no envían mensajes dirigidos a "Estimado cliente", sin ninguna clase de personalización, para indicar que en realidad saben quién eres.
- Tampoco debes caer en la trampa de la "falsa personalización" del mensaje, como un número de referencia sin significado y que no se puede verificar.
- Y aunque el mensaje incluya datos personales, recuerda que no es una prueba inequívoca de que es genuino.
2) Espera lo peor de los archivos adjuntos y los vínculos integrados
- Los proveedores de servicios competentes no envían mensajes pidiéndote que inicies tu sesión desde un vínculo integrado en el mensaje, incluso aunque el mensaje esté adecuadamente personalizado. Si recibes un mensaje con estas características, primero verifica el vínculo en forma independiente con una fuente conocida y luego considera cambiar tu proveedor por otro que tenga alguna idea sobre medidas de seguridad.
- No confíes en archivos no solicitados o en vínculos integrados en el mensaje, aunque provengan de empresas o de amigos de confianza. Hasta un experto en seguridad puede cometer el error de dejar un vínculo no deseado en un mensaje o un artículo. También es fácil alterar las direcciones de correo electrónico, por ejemplo, para que parezca que proviene de otra persona y no del remitente real.
- La naturaleza de la Internet del siglo XXI les permite a los mensajes ocultar o disfrazar la identidad del remitente de muchas formas. También es posible que se envíe un correo desde la cuenta de una persona inocente sin su conocimiento. Si tienes alguna duda, verifícalo siempre con el supuesto remitente. (Si lo llamas por teléfono o le envías un correo electrónico, nunca uses los vínculos o los números telefónicos que figuran en el mensaje: usa los detalles de contacto que ya sabes que son correctos).
- No asumas que los vínculos, los números telefónicos y las direcciones de correo electrónico integradas al mensaje son correctas, ni tampoco asumas que un vínculo web te llevará a la dirección que te está mostrando. Hay muchas formas de disfrazar un vínculo malicioso para que parezca algo muy distinto, ya sea que esté en un correo electrónico, un chat o similar.
- Las formas sofisticadas en que los vínculos maliciosos suelen disfrazarse en los correo electrónicos de phishing para hacerse pasar por un sitio legítimo obligó a los desarrolladores a volver a diseñar los navegadores web para facilitar la detección de dichas suplantaciones. (Los primeros correos electrónicos de phishing se basaban en el aprovechamiento de errores de los navegadores populares para ocultar los vínculos reales de destino)-
3) Toma precauciones elementales
- No olvides aplicar precauciones elementales como pasar el cursor sobre el vínculo para ver el enlace verdadero. Sin embargo, en ciertos casos, el vínculo que se muestra es el primero de una serie de vínculos redirigidos, lo que hace imposible validar el "destino final" sin primero haber atravesado la cadena completa.
- De cualquier forma, no siempre es fácil distinguir entre un sitio genuino y uno falso solo con la URL, aunque se muestre la real. El envenenamiento de la caché del DNS, por ejemplo, le permite al atacante redirigir una búsqueda web a una dirección IP bajo el control del atacante.
- Debes ser extremadamente prejuicioso con los vínculos acortados.
4) No dejes que te alcancen las amenazas
No entres en pánico ni reacciones de inmediato sin las precauciones apropiadas ante la amenaza de que van a suspender o eliminar tu cuenta (por ejemplo) en un plazo de 24 horas. La mayoría de las empresas no tienen tanta prisa por perder a un buen cliente.
5) No te entusiasmes con los clics
No olvides que solo por tener un antivirus y otros programas de seguridad no debes hacer clic indiscriminadamente asumiendo que tu software va a detectar todos los códigos y sitios web maliciosos. Ningún investigador o desarrollador de seguridad respetable va a asegurar que su producto detecta todos los códigos maliciosos, conocidos y desconocidos.
6) Que no te convenzan las presentaciones elaboradas
Los mensajes de phishing rudimentarios, de solo texto y muchas veces con faltas de ortografía, que eran tan comunes hace unos años, hoy en día son bastante inusuales, pero la forma básica del ataque no cambió mucho: solo mejoró la calidad de la Ingeniería Social utilizada y su presentación, más profesional.
No obstante, la superficie de ataque y el rango de vectores de ataque se amplió considerablemente: mientras que la mayoría de ataques de phishing se distribuían por medio del correo electrónico, ahora vemos el aprovechamiento de otras formas de mensajería, como los SMS (mensajes de texto), medios sociales como Facebook y Twitter, e incluso el correo de voz.
Y aunque el malware relacionado con el phishing sigue atacando sobre todo a Windows, los ataques que se basan puramente en la Ingeniería Social y en el uso de sitios web falsos pueden atacar cualquier plataforma, incluyendo smartphones y tabletas. De todas formas, si lees esta guía para identificar correos falsos tendrás una forma práctica de evitar estas amenazas.
Cuanto más precavido seas, cuanto mejor informado estés y cuanto más pienses antes de hacer clic, más posibilidades tendrás de dejar al phishing a la deriva.