CONCIENTIZACIÓN EN CIBERSEGURIDAD: PHISHING

En el marco del Mes de la Concientización en Seguridad de la Información, el Consejo Interuniversitario Nacional (CiN) lanza una campaña para alertar sobre los peligros del phishing.

Es fundamental que la comunidad universitaria cuente con herramientas para identificar y protegerse de este tipo de amenazas cibernéticas, en las que los atacantes se hacen pasar por entidades o comunicaciones legítimas con el fin de robar información sensible. Por este motivo, te compartimos el flyer del CiN y te invitamos a que te informes y ayudes a difundir este conocimiento: ¡Compartí esta información con tus colegas, compañeras y compañeros de estudio y/o trabajo!

¿Qué es el phishing?

Aprovechamos para desarrollar un poco más los conceptos relacionados con dicha campaña. Cuando hablamos de phishing, nos referimos a una técnica de ingeniería social basada en la suplantación de identidad. Los ciberdelincuentes buscan obtener información confidencial de usuarios o instituciones de forma fraudulenta para apropiarse de identidades o cometer fraudes financieros. Se ha consolidado como una de las amenazas cibernéticas más prevalentes, especialmente con el incremento de las transacciones digitales y el comercio electrónico.

El phishing ha evolucionado notablemente desde sus inicios. Originalmente, se limitaba al envío de correos electrónicos masivos que aparentaban provenir de bancos o empresas reconocidas buscando engañar a los usuarios para que revelaran información personal y financiera. Con el avance de la tecnología, la mayor conectividad, el crecimiento del comercio electrónico y la digitalización de servicios, los métodos de ataque se han diversificado y sofisticado. Hoy en día, existen variantes como el spear phishing, el whaling, el vishing y el smishing.

La concientización y las buenas prácticas en el uso del correo electrónico son las mejores defensas para prevenir y detectar este tipo de incidentes ya que los atacantes son conscientes que aprovecharse del factor humano es el método más eficiente para eludir la mayor parte de soluciones técnicas de seguridad implementadas en una institución.

Veamos las técnicas más habituales de ingeniería social así como los recursos utilizados por los atacantes para conseguir infectar un equipo u obtener información personal de un usuario.

Tipos de Phishing

  • Spear: En este tipo de phishing los atacantes investigan previamente a su víctima en redes sociales o bases de datos públicas, creando correos o mensajes que parecen legítimos, es decir, es altamente dirigido y utiliza información personalizada sobre la víctima para generar confianza como su nombre, puesto de trabajo, vínculos sociales, etc.
    Los ciberdelincuentes utilizan una variedad de tácticas de ingeniería social para inducir a los destinatarios, individuos específicos, a abrir archivos adjuntos o navegar a un sitio web infectado. Uno de los recursos más utilizados para hacer creer al usuario que el fichero adjunto en el correo es legítimo es asignarle un icono representativo de determinado software conocido.
  • Whaling: Estos ataques se enfocan en personas con posiciones de liderazgo o de poder. Buscan obtener datos confidenciales o realizar transferencias financieras a gran escala. Dado que los altos ejecutivos suelen ser menos vigilados en términos de ciberseguridad, los ciberdelincuentes aprovechan esto para enviar correos muy específicos que simulan ser comunicaciones urgentes o legales.
  • Smishing: El atacante utiliza mensajes de texto por una red de mensajería para engañar a sus víctimas (SMS, Whatsapp, entre otros). El SMS parece provenir de un banco, empresa de envíos o entidad pública, solicitando que la víctima proporcione información personal o acceda a un enlace malicioso. Estos mensajes suelen incluir alertas urgentes, como bloqueos de cuentas bancarias o paquetes retenidos, para inducir una reacción inmediata.
  • Vishing: Ataques que se materializan por medio de una llamada telefónica en la que los atacantes se hacen pasar por instituciones de confianza (bancos, operadores de telecomunicaciones, etc.) e intentan engañar a las víctimas para que proporcionen información confidencial (números de tarjetas de crédito, fecha de vencimiento, códigos de verificación, etc).
  • Phishing por correo electrónico: El correo electrónico sigue siendo una de las herramientas más utilizadas por cualquier entorno institucional para el intercambio de información. Este ataque se materializa en spam o correos electrónicos con información falsa y/o enlaces a páginas fraudulentas. Los delincuentes envían correos masivos que contienen enlaces a páginas falsas que simulan ser bancos, redes sociales u otros servicios. El objetivo es que la víctima ingrese sus datos en estas páginas apócrifas, permitiendo que los atacantes los capturen. Estos correos suelen incluir archivos adjuntos maliciosos o mensajes alarmantes como «Tu cuenta ha sido comprometida, accede al enlace para resolverlo».
  • Qrishing: Ataques que utilizan códigos QR para redirigir a las víctimas a sitios maliciosos o fraudulentos. Este método ha ganado popularidad en lugares donde los códigos QR se utilizan para acceder a menús, pagar servicios, o verificar información, como en restaurantes y tiendas.
  • Pharming: Este ataque implica la manipulación de las configuraciones de un servidor DNS o de un dispositivo para modificar los nombres de dominios, redirigiendo así a las víctimas desde un sitio legítimo hacia una versión falsa del mismo. La víctima cree que está accediendo al sitio correcto, pero en realidad está proporcionando sus credenciales en un portal fraudulento. Este tipo de ataque es especialmente peligroso porque no requiere que el usuario haga clic en un enlace malicioso; la redirección ocurre de forma automática.

¿Qué datos desean obtener los ciberdelincuentes?

  • Contraseñas.
  • Números de tarjetas de crédito.
  • DNI.
  • CUIT/CUIL.
  • Nombres de usuario.
  • Códigos de PIN.

¡Cuidado! Evitá:

  • Compartir claves con amigos, familiares o conocidos.
  • Responder correos electrónicos o formularios de fuentes desconocidas.
  • Enviar o compartir códigos de seguridad.
  • Ingresar al Home Banking desde los buscadores.
  • Mantener los programas de tu computadora desactualizados.
  • Hacer clic en enlaces desconocidos.

Decálogo de seguridad del correo electrónico

  1. No abras ningún enlace ni descargues archivos adjuntos sospechosos.
  2. No confíes únicamente en el nombre del remitente. Verifica que el dominio del correo recibido es de confianza. Si un correo procedente de un contacto conocido solicita información inusual que te hace dudar contacta al remitente por otro medio.
  3. Antes de abrir cualquier archivo descargado revisá la extensión y no confíes en el icono asociado al mismo.
  4. No habilites las macros de los documentos ofimáticos.
  5. No hagas clic en ningún enlace que solicite datos personales ni bancarios.
  6. Tené siempre actualizados el sistema operativo, las aplicaciones ofimáticas y el navegador (incluyendo los plugins/extensiones instalados).
  7. Utilizá herramientas de seguridad para mitigar exploits de manera complementaria al software antivirus.
  8. Evitá hacer clic directamente en cualquier enlace del correo, verifica la URL antes.
  9. Utilizá contraseñas robustas para el acceso al correo electrónico, renovalas periódicamente. Si es posible utilizá doble autenticación.
  10. Cifrá los correos que contengan información sensible.

Con estos conocimientos y buenas prácticas, seremos capaces de prevenir y detectar los ataques de phishing y fortalecer la seguridad digital en nuestra comunidad universitaria.

¡Estemos alerta y preparados para hacer frente a estas amenazas!

Scroll al inicio