En una de las charlas que tuvieron lugar en la reciente edición de la conferencia de seguridad BlackHat, que se celebró en agosto, Elie Bursztein de Google y Daniela Oliveira, de la Universidad de Florida, explicaron por qué los ataques de phishing siguen siendo tan efectivos en la actualidad. En este sentido, los especialistas identificaron algunos puntos clave para explicar este fenómeno, entre los cuales está: su constante evolución, las técnicas de persuasión que utilizan y el poco conocimiento de los usuarios acerca de qué es el phishing.
Uno de los métodos más comunes mediante el cual los cibercriminales intentan llevar adelante sus acciones maliciosas es a través de correos de phishing. La mayoría de los usuarios experimentó alguna vez abrir un correo de esta naturaleza en los que se suplanta la identidad de alguna marca solicitando que hagamos clic sobre un enlace o descarguemos un adjunto, ya que después de todo, se trata de una práctica que ya tiene más de 20 años. Sin embargo, continúa siendo al día de hoy una de las formas más comunes que utilizan los cibercriminales en su intento por llevar adelante sus acciones maliciosas.
Pero, antes de continuar, aclararemos qué es el phishing por las dudas que alguno de los lectores no lo tenga del todo claro. Por phishing nos referimos a mensajes maliciosos distribuidos a través de medios digitales, tales como correo electrónico o WhatsApp, que buscan influenciar a un usuario para que lleve adelante una acción que va en contra de sus intereses, como puede llegar a ser realizar clic en un enlace malicioso, abrir un adjunto malicioso e incluso leer información falsa. Dicho esto, las consecuencias de un phishing pueden ser desde la instalación de un software malicioso, el robo de credenciales de acceso a cuentas y/o la manipulación de la opinión de los usuarios.
Para comprender el papel protagónico que tiene el phishing en el escenario de la seguridad actual, Google, por ejemplo, bloquea más de 100 millones de correos de phishing por día. Por otra parte, según un informe global publicado este año por Verizon, el 32% de las brechas de seguridad que se conocieron en 2018 comenzaron por un phishing y el 78% de los incidentes de seguridad que tenían como objetivo tareas de espionaje o la instalación de un backdoor, fueron llevados adelante mediante ataques de phishing.
La constante evolución del phishing
La constante evolución del phishing es una de las claves que explican su vigencia. Según datos compartidos durante la presentación en BlackHat, el 68% de los correos de phishing bloqueados de manera diaria por Gmail están compuestos por nuevas variantes que nunca antes se habían visto, lo que obliga a los mecanismos de defensa humanos y tecnológicos a tener que adaptarse rápidamente para prevenir estos ataques. A esto se suma un problema de educación, ya que según cifras compartidas por los especialistas el 45% de los internautas no comprende bien qué es el phishing.
El arte de la persuasión a través de los correos
Otro aspecto que explica la vigencia del phishing es que los responsables detrás del diseño de estas campañas se han convertido en expertos de la persuasión. Según una investigación realizada por Oliveira, los cibercriminales se han transformado en maestros en el manejo de técnicas para la manipulación psicológica. Nuestra habilidad para detectar un engaño difiere de persona a persona, dado que existen una gran cantidad de factores que influyen en la decisión que tomamos cuando estamos frente a un correo de phishing, tales como la personalidad, el estado de ánimo en un momento específico, la motivación cognitiva, la inteligencia emocional e inclusive un factor hormonal. En este sentido, cuando estamos de buen humor y nuestros niveles de oxitocina, serotonina y dopamina aumentan, somos más propensos a ser engañados, mientras que cuando los niveles de cortisol son elevados (comúnmente asociados al estrés) es más probable que seamos más cautelosos y estemos más atentos.
Según describe Oliveira, existen tres tácticas persuasivas comunes en los correos de phishing: el uso de una autoridad respetada por el usuario, la promesa de un beneficio económico si el individuo interactúa con el correo (o la pérdida económica en caso de ignorarlo); y por último, la apelación al factor emocional.
Muchas campañas de phishing son dirigidas a blancos específicos
Otro aspecto para comprender por qué sigue siendo utilizado el phishing por los actores maliciosos es la personalización de las campañas. A partir de los correos que Google bloquea de manera diaria elaboraron una categorización según el grado de especificidad de sus blancos de ataque. En este sentido, están por un lado los ataques conocidos como “spearphishing”, que son aquellos correos personalizados y que van dirigidos a una persona específica dentro de una organización. De hecho, en WeLiveSecurity hemos publicado análisis de una gran cantidad de campañas de malware que comienzan con este tipo de correos especialmente dirigidos, como fue a principios de agosto el análisis de Machete y su campaña de ciberespionaje en curso que apunta a organizaciones gubernamentales de América Latina.
Otra categoría, a la cual denominaron “boutique phishing”, corresponde a campañas de phishing personalizadas –no tanto como las anteriores- que apuntan a un par de decenas de individuos u organizaciones. Por último, la tercera categoría corresponde a los correos de phishing masivos, que son aquellos que van dirigidos a miles de individuos u organizaciones.
Un dato interesante es que las campañas de “boutique phishing” duran apenas siete minutos, mientras que las campañas masivas están activas en promedio durante 13 horas.
En cuanto a los blancos de ataque, según Google la mayoría de las campañas de phishing están dirigidas a Gmail; siendo muchas de las campañas dirigidas hacia usuarios finales, mientras que las dirigidas a perfiles empresariales apuntan a un número limitado de individuos. Asimismo, el perfil empresarial es casi cinco veces más apuntado que los usuarios finales, seguido por organizaciones no gubernamentales.
En cuanto a la suplantación de identidad, en el 42% de los ataques de phishing las páginas utilizadas simulan ser sitios legítimos de servicios de correo con el objetivo de que las víctimas ingresen sus claves de acceso. En segundo lugar, se suplanta la identidad de servicios en la nube con un 25%, seguido por páginas que simulan ser de instituciones financieras con un 13%, sitios de ecommerce en un 5% y de servicios de envío en un 3.9%.
Cómo evitar ser víctima del phishing
Si bien quienes están detrás de las campañas de phishing han evolucionado logrando que luzcan cada vez más convincentes, la educación sigue siendo un factor clave para reducir el número de víctimas de este tipo de ataque. En este sentido, Google publicó un test online para poner a prueba la capacidad de los usuarios de reconocer un correo de phishing en un intento de capacitar y que cada vez más personas sean capaces de reconocer si están frente a un correo sospechoso o no.
Otro factor clave para reducir el número de víctimas del phishing es implementar el uso del doble factor de autenticación en todos los servicios que esté disponible, ya que esta capa de seguridad adicional que se agrega ayuda a evitar que terceros puedan acceder a nuestras cuentas en caso de ser víctimas del robo de nuestras credenciales de acceso en una brecha. De hecho, un estudio publicado por Google este año demostró que el doble factor de autenticación es la solución más efectiva para prevenir el secuestro de cuentas.
El primer paso para los usuarios es aprender a reconocer este tipo de correos y tomarse un segundo para pensar, por lo que recomendamos la lectura de 8 señales que indican que eres un blanco fácil de las estafas por Internet, artículo en el que encontrarás una guía con algunas de las técnicas más comunes utilizadas por los cibercriminales para engañar a los usuarios.