+34 697 722 901 contacto@cyberbrainers.com

En Internet hay fraudes. Obvio.

Como en el mundo real. Donde hay negocio, hay intereses encubiertos y personas sin escrúpulos que anteponen sus intereses a los del resto, no teniendo problema en engañar para obtener el fin buscado, que por regla general es conseguir mayores beneficios.

Esto es así, y pensar que lo vamos a cambiar con políticas o con buenrollismo, es pecar de ingenuos. Y como veremos a continuación, en el mundo digital por muy segurizados que tengamos los sistemas informáticos, de poco servirá, ya que buena parte de los fraudes y campañas de phishing más activas no se encargan de comprometer la seguridad de nuestros dispositivos, sino atacar al eslabón más débil de la cadena, que no es otro que el ser humano.

Así, año tras año vemos cómo las principales amenazas tanto para organizaciones como particulares no son los mal llamados virus, sino, como decíamos, las campañas de phishing.

Campañas que tienen como objetivo o bien robar datos privados de la víctima, o bien incitarle a que instale o abra un archivo que ejecute el malware, para luego, con el dispositivo ya infectado (no porque en efecto el dispositivo fuera vulnerable, sino porque es el propio usuario quien ha decidido instalarlo), robarle datos, extorsionarle, etc etc etc.

Así pues, la primera parada es entender qué es una campaña de phishing, y sobre todo cómo podemos identificarlas. Y para ello me voy a basar en nuestra teoría de los 3 elementos que delatan a las campañas de phishing. Una metodología que se aplica en apenas unos segundos una vez la tienes interiorizada, y que como su propio indica, te va a quitar de caer en fraudes en un 95% de las veces.

¿Qué es una campaña de phishing?

Básicamente una campaña de phishing no deja de ser el nombre técnico que tienen la amplia mayoría de fraudes en Internet.

Mediante una campaña de phishing, lo que se busca es engañar a la víctima para que haga algo que para ella será negativo (descargue y abra un documento, meta sus datos en una página falsa, pague por un producto en una tienda fraudulenta, nos envíe dinero mediante una extorsión…).

En su día expliqué cómo funcionan algunos de estos timos en la red… hablando directamente con los cibercriminales, y siguiéndoles el juego. Si quieres pasar un buen rato y ver cómo fue mi amorío con la Capitana Griest del ejército de EEUU, te invito a que eches un ojo a este artículo.

Hoy, sin embargo, vamos a centrarnos en otro tipo de campañas de phishing. Las que se hacen pasar por un servicio o persona conocida para engañarnos, habitualmente vía email, aunque esto mismo puede aplicar a redes sociales o servicios de mensajería instantánea.

Este ejercicio es, de hecho, uno que les ponemos a nuestros alumnos de los talleres de ciberseguridad.

Les enseñamos tres emails distintos, con los que pueden toquetear todo lo que quieran, y únicamente nos tienen que decir si están ante un email legítimo, o ante un fraude.

Ya te digo que la mayoría no consigue identificarlos todos.

Y esto se debe a que el grueso de la sociedad no sabe qué elementos hacen de un email algo legítimo o un mero fraude.

Vamos a ver entonces qué tres elementos delatan a una campaña de phishing de un email (o mensaje privado en redes sociales, o publicidad falsa…) a otro contenido legítimo.

Email que recibía hace ya unas cuantas semanas, supuestamente de mi proveedor de hosting

El gancho de las campañas de phishing

Como puedes ver en la imagen superior, a mi correo me llegó un email con el asunto:

[mi correo] buzón está casi lleno!!

En él me mostraban el logotipo de webmail, que prácticamente utilizamos todos los que tenemos un dominio corporativo, y una imagen que aseguraba que de los 20GBs que tengo de espacio, ya tenía ocupados algo más de 18, dándome la opción de aumentar otros 5GBs de forma gratuita.

Aquí tenemos el gancho típico: nos ofrecen algo que es realmente bueno para nosotros con un coste marginal (en este caso gratis). Exactamente igual que aquella otra campaña en la que había ganado un smartphone y tenía que pagar para que me lo enviaran simplemente 1 euro.

Y como ocurre con cualquier fraude, algunos puntos de los mencionados podrían ser ciertos:

  • Parece un email automático enviado por el webmail de nuestro hosting. Cosa que, como ya dije, podría ser real, ya que la mayoría de hostings te avisarán con un email parecido cuando tengas la bandeja de entrada a punto de colapsar.
  • Pone el límite en 20GBs: Que es, por regla general, una cuota de almacenamiento bastante habitual en este tipo de servicios de correo.
  • Te alerta de las consecuencias de no tomar acción: Si nuestra bandeja de correo llega al límite, ya no recibiremos emails. Y en este caso, para evitar que llegues a esto, ya te avisan de que van a reducir la capacidad de recibir algunos correos (los pesados) automática e inmediatamente. Lo que de nuevo te fuerza a que realices la acción oportuna (otra de las típicas estrategias de cualquier campaña de fraude: la urgencia).
datos identificadores phishing
Estos dos campos resaltados en la imagen son críticos para saber si estamos ante un fraude o un correo legítimo

Revisar el remitente

Lo primero que hay que hacer si tenemos duda de que en efecto se trate o no de un email legítimo, es revisar quién nos lo ha enviado.

Y con esto me refiero a ver la información de envío, no a quedarse únicamente con el nombre que aparece como remitente, que en este caso era «Email Service Provider». Digo esto porque este es un campo que cualquiera puede modificar, y en vez de haber puesto estro, podrían haber colocado ahí una dirección de email «soporte@google.com» para aparentar que el correo se envía desde Google.

La realidad, en este caso, es que el correo se está enviando desde radmadengines.com. Una web que ni existe, y que por supuesto no tiene nada que ver con mi actual hosting.

Además, una búsqueda rápida en Google por el nombre de dominio me lleva a una página de análisis de malware que la marca como potencialmente dañina (ES).

En este punto ya deberíamos saber que se trata de una campaña de phishing. Pero es cierto que si los ciberatacantes hubieran hecho bien los deberes, puede que incluso estos datos se hayan modificado para que aparente que en efecto el correo proviene de mi proveedor real de hosting.

A este tipo de ataques se les conoce como email spoofing, y aunque ya no son tan comunes (difícilmente se pueden automatizar, y por tanto son más utilizadas para campañas de ingeniería social dirigida a empresas en particular), nos obligan a que sigamos mirando el resto de elementos delatores de las campañas de phishing.

URL rara phishing
Pasando el ratón por encima de la URL enlazada, vemos que lleva a una página que no es de nuestro proveedor de dominio

¿Ese enlace o documento es legítimo?

Si tanto por el tema tratado, como por los datos del remitente no estamos aún seguros de si estamos o no ante alguna de estas campañas de phishing, lo siguiente que tenemos que hacer es revisar qué nos pide.

Y la amplia mayoría de campañas de fraude nos van a pedir:

  • O entrar en una página: Como es este caso, para poder activar esos supuestos 5GBs extra de regalo para nuestra bandeja de entrada.
  • O abrir un documento: Donde está esa factura o albarán que nos tenían que enviar.

Vamos a ver cada caso por separado.

Cómo identificar un enlace malicioso

La forma más rápida que tenemos de identificar un enlace malicioso si estamos en un dispositivo de escritorio es pasar la flecha del ratón por encima de la URL, para que abajo nos muestre hacia dónde nos dirige… ¡sin clicar!

Sobra decir que no recomiendo que pinchemos en estos enlaces, ya que además de intentar robarnos, puede que carguen código de malware que infecte nuestros dispositivos.

Y, por cierto, que en este caso podemos ver cómo esta campaña de phishing está colgada con el candadito de «página segura». Como ya expliqué en su día, el SSL, que es como se llama a ese candadito, solo nos informa de que la información se tratará de forma cifrada, pero ni mucho menos nos asegura de que se la estamos enviando a un servicio legítimo.

Yo para preparar este tutorial lo he hecho pero desde un navegador con todo desactivado.

En este caso, como vemos por la imagen de arriba, nos lleva a una web creada en el servicio de almacenamiento de Google, y que por tanto no tiene nada que ver con mi proveedor de correo.

Eso sí, se han encargado de copiar la interfaz del servicio(que es genérica y es por tanto usada por muchísimos hosting distintos) para que parezca que estamos ante la web correcta. Sin embargo, si en ese apartado de contraseña escribo la de mi correo, ya puedes tener por seguro que esos datos pasarán a estar en manos de los ciberdelincuentes, que luego los utilizarán para intentar entrar en mis cuentas.

De hecho algunas de estas campañas están diseñadas para que, tan pronto metas los datos, te redirija a la web correcta, de forma que haya veces que incluso el usuario ni se entera de que ha sido víctima de un fraude. Una de las 7 maneras más habituales de ofuscar URLs de campañas de phishing. En el resto de casos, simplemente la web te mostrará un error o te dirá, como ocurría con esta campaña, que ya habían activado los 5GBs extra.

URL fake phishing
En esta campaña de phishing, me llevaban a una web subida al servicio de almacenamiento de Google con una interfaz copiada de roundcube

Cómo identificar un archivo malicioso

En otras ocasiones, en vez de instarnos a entrar en una URL, lo que hacen es adjuntar un documento que debemos abrir con cualquier excusa: «por aquí tienes la factura o albarán que me pediste», «aquí está el listado de ganadores…»

Lo mejor que podemos hacer en este caso, ya que por supuesto si lo abrimos lo más probable es que venga con algún tipo de virus, es descargarlo y subirlo (¡SIN ABRIRLO!) a VirusTotal (ES), que es un servicio web gratuito que analizará el contenido del mismo comparándolo con varios proveedores de antivirus, para decirnos si potencialmente ve o no peligro en él.

Además, la mayoría de estos documentos maliciosos son en formato Word (.doc, .docx…) o PDF, y la ventaja de esto es que las nuevas versiones de Microsoft Word abren por defecto todo documento descargado de Internet sin cargarle sus componentes web. Lo que hace que por ejemplo no funcionen las macros, que es normalmente el vector de ataque principal de las campañas de phishing.

Cómo evitar la mayor parte de las campañas de phishing de forma sencilla

Hay una manera extra de evitar tener que hacer todas estas comprobaciones con la amplia mayoría de servicios.

Y esa manera es utilizando GSuite o GMail como proveedor de correo.

Que ojo, yo no me llevo comisión por recomendarlos ni nada por el estilo. Simplemente es que en todos estos años he visto cómo en las empresas en las que he implementado GSuite, se han evitado hasta el 99,9% de las campañas de phishing.

Es más, este correo que he utilizado yo de ejemplo me llegó realmente a mi bandeja de spam en GMail. He tenido que yo, proactivamente, decirle a Google que era seguro (me lo marcaba muy acertadamente como peligroso), y sacarlo de la carpeta de spam para poder ver el enlace (en dicha carpeta es que ni podía ver la imagen y mucho menos el enlace).

Google, o si prefieres Outlook/Microsoft por dar otra opción de la competencia, son de los mejores servicios en cuanto a calidad precio para proteger nuestros activos organizacionales.

Muchísimo más baratos en todo caso, y encima más seguros, que montarse uno mismo un sistema de seguridad con IDEs, cortafuegos y demás dentro de la propia infraestructura de nuestra empresa. Ya ni hablemos para uso personal.

Así que lo dicho. Por aquí mi recomendación sobre cómo identificar este tipo de campañas de phishing, y qué recomendaría para evitarlos casi por completo.

Este artículo forma parte de un acuerdo de colaboración con DetectivesPrive (ES).

En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.

Pablo F. Iglesias
Pablo F. Iglesias

Pablo F. Iglesias es Consultor de Presencia Digital y Reputación Online, director de la Consultora CyberBrainers, escritor del libro de ciencia ficción «25+1 Relatos Distópicos» y la colección de fantasía épica «Memorias de Árganon», un hacker peligroso, y un comilón nato 🙂