El Phishing un profesión antigua
Es tan fácil caer en algunos esquemas de hackeo que me espantan, hace muchísimos años cuando llegaba apenas el correo electrónico quien no recibió el mensaje de un jeque árabe que necesitaba ayuda para mover dinero, o cuando te habías ganado algo, alguna vez recibí un correo de un supuesto head hunter e infecté mi máquina, hace no mucho estuve a punto de entrar en un link de mi proveedor de servicios de internet, bueno eso creí yo, finalmente no lo hice, pero aveces es tan real que hasta los que nos dedicamos a esto dudamos, las prácticas de hacking más sencillas, son también unas de las más peligrosas. La manera en cómo nació el phishing es una prueba de ello, ha cambiado poco y su finalidad es la misma.
Las primeras personas que expusieron el concepto del phishing, fueron Jerry Felix y Chris Hauck en una conferencia de Interex celebrada en el año 1987 debido a un documento presentado que se llamaba “Sistema de Seguridad: La perspectiva de un Hacker".
El phishing comenzó a ser practicado a mediados de la década de los 90. La primera empresa que sufrió estos ataques fue American Online (AOL); era la principal proveedora de servicio de internet en estados unidos .
En esa época, por medio de algoritmos, se creaban tarjetas de crédito falsas con las que era fácil obtener una suscripción gratis a este servicio. Una vez la compañía de internet descubrió esto, creó una herramienta llamada AOHell, que bloqueaba todos los ataques de una manera más automatizada.
En vista de eso, los ciberdelincuentes se hacían pasar por empleados de AOL y empezaron a enviar mensajes a los usuarios de esta empresa a través del servicio de mensajería instantánea, donde solicitaban su contraseña para “solventar un problema”. La compañía se aseguraba de mantener a sus usuarios informados sobre estas estafas; al final de la mensajería instantánea salía un aviso que decía: “Nadie que trabaje en AOL le pedirá su contraseña o información de facturación”.
La empresa de internet logró librarse de todos estos ataques a sus usuarios legítimos en el año 1997.
Siguientes pasos del phishing
El segundo ataque se registró en el año 2001. Luego de los ataques terroristas a las torres gemelas, varios criminales aprovecharon esa oportunidad para enviar correos electrónicos a la compañía E-Gold pidiendo una “identificación pos-9/11”.
Los ciberdelincuentes no se detuvieron ahí, en los años siguientes se dieron cuenta de que podían reflejar este mismo mecanismo de estafa en otros lugares. Para el año 2004, ya este método de crimen estaba establecido.
Entre mayo de 2004 y mayo de 2005 se contabilizaron 929 millones de dólares que fueron robados por medio del phishing. Este hecho marcó los orígenes del phishing como es en la actualidad.
Revisando en los orígenes de esta estrategia de delincuencia, la invención del término se le atribuye a un hacker muy popular en los 90 llamado Khan C. Smith, y, según datos de internet, el primer uso público de esta palabra está registrado el 2 de enero de 1996.
La palabra hace referencia al verbo “fishing”, que en español significa pescar. Ya que con esta maniobra los hackers están a la espera de que alguien muerda el anzuelo y lograr su cometido.
Cualquiera que leyera la biografía de Steve Wozniak sabe que el creo una appliance para poder hacer llamadas de larga distancia sin pagarlas a esto se le puede considerar como el predecesor del phishing y era conocidos como “phreaks” que es una combinación de las palabras “phone” (teléfono en español) y “freaks” (fenómeno en español)
Aunque muchas veces los ataques de Phishing son muy obvios hay ocasiones que no es sencillo pero algunos consejos, un poco de disciplina y algo de sentido común pueden ayudar mucho.
Algo que esta donde no debería de estar o también algo que sea raro o inusual. Pregúntese si el mensaje le despierta alguna sospecha. Confíe en su intuición, pero no se deje llevar por el miedo. Los ataques de phishing a menudo utilizan el miedo para nublar su razonamiento.
Los ejemplos son la mejor manera de documentar algo así que:
El correo electrónico hace una oferta que parece demasiado buena para ser verdad. Podría decir que ha ganado la lotería, un premio caro, o alguna otra cosa de valor muy elevado.
Reconoce al remitente, pero es alguien con quién no trata. Incluso si conoce el nombre del remitente, sospeche si es alguien con quien normalmente no se comunica, especialmente si el contenido del correo electrónico no tiene nada que ver con sus responsabilidades laborales habituales. Lo mismo ocurre si aparece en copia en un correo electrónico a personas a las que ni siquiera conoce, o quizá un grupo de colegas de departamentos con los que no tiene relación.
El mensaje suena aterrador. Tenga cuidado si el correo electrónico tiene un lenguaje alarmista para crear un sentido de urgencia, instándole a que haga clic y “actúe ahora” antes de se elimine su cuenta. Recuerde, las organizaciones responsables no solicitan detalles personales a través de Internet.
El mensaje contiene archivos adjuntos inesperados o extraños. Estos adjuntos pueden contener malware, ransomware o alguna otra amenaza online.
El mensaje contiene enlaces que parecen un poco extraños. Incluso si no siente un hormigueo por ninguno de los puntos anteriores, no asuma que los hiperenlaces incluidos llevan a donde parece. En su lugar, pase el cursor por encima del enlace para ver la URL real. Esté especialmente atento a sutiles errores ortográficos en un sitio web que le sea familiar, porque indica una falsificación. Siempre es mejor escribir directamente la URL en lugar de hacer clic en el enlace incorporado.
Dr. Hugo Arteaga