Phishing: guía completa para proteger a sus clientes
El submundo de las amenazas digitales no para de crecer. Basta leer las noticias para darse cuenta de que, todos los días, se crea un nuevo tipo de golpe o un malware inédito comienza a circular por internet. Sin embargo, el phising continúa siendo uno de los principales responsables de la mayoría de los incidentes cibernéticos, ya sea dentro o fuera de las empresas. A fin de cuentas, fue creado para atacar el eslabón más débil de la cadena de seguridad: el ser humano.
Es exactamente por ese motivo que el phishing se mantiene en la parte más alta de las preocupaciones corporativas cuando se trata de seguridad digital. Además de ser eficaz desde el punto de vista del criminal, es capaz de causar altísimos perjuicios financieros y daños irreversibles a la imagen de la empresa. Basta decir que, de acuerdo con el informe 2019 Verizon Data Breach Investigations Report, el phishing fue el causante de 1/3 de las filtraciones de datos ocurridos en 2018.
Sin embargo, lo que muchos olvidan es ver el otro lado de la moneda. Esa práctica criminal puede traer no sólo daños financieros al atacar a su ambiente corporativo, sino también dañar la imagen de su marca al lesionar a su público consumidor. Al final de cuentas, ¿como se puede garantizar que sus clientes no sean engañados por estafadores intentando hacerse pasar por su empresa? ¿Cómo se puede asegurar de que ellos no accedan a una versión falsa de su sitio y entreguen informaciones sensibles a los criminales?
El origen de la “pesca”
El phishing nació en la década del 90 y el término fue creado por criminales que, en aquella época, utilizaban una herramienta conocida AOHell para robar credenciales de usuarios de America Online (AOL). Esas cuentas –que casi siempre venían acompañadas de números de tarjetas de crédito– posteriormente se negociaban e intercambiaban por softwares de hacking o programas pirateados.
Usando el AOHell, los delincuentes se hacían pasar por funcionarios de AOL y pedían las contraseñas de las víctimas, generalmente con el pretexto de “verificar su cuenta” o “actualizar informaciones de cobranza”. Como tales ardides no eran comunes en esa época, los criminales invariablemente se salían con la suya.
La “moda” tuvo éxito y muchos criminales comenzaron a usar la técnica de AOL para obtener informaciones preciosas y atacar a los internautas desprevenidos. Hoy en día, el phishing ya es uno de los mayores problemas para el mercado global de seguridad digital. A lo largo de 2018, se registraron más de 1 millón de notificaciones de emails o mensajes con contenido maligno alrededor del mundo entero.
Trucos de phishing viejos, pero eficaces
La primera cosa que debemos entender es que, aunque el phishing haya evolucionado bastante en los últimos años, este tipo de golpe continúa siendo fácilmente reconocible a través de algunas características básicas:
Contiene errores
Los delincuentes cibernéticos no son redactores, diseñadores o publicistas. Como resultado, es natural que páginas falsas o emails malignos tengan errores gráficos y gramaticales que delaten su verdadera naturaleza.
Contiene una sensación de urgencia
El delincuente no quiere que la víctima piense mucho antes de bajar un archivo o hacer clic en un link. Entonces, va a intentar persuadir al blanco de ataque para hacerlo lo más rápido posible, alegando un plazo para que una situación se resuelva o algo por el estilo.
Contiene un tono amenazador
Para enfatizar la agilidad, los emails de phishing acostumbran a pegar en el punto más débil de los consumidores y los amenazan con alguna consecuencia negativa.
Como un ejemplo que engloba todas esas características, podemos imaginar una notificación falsa de un banco que lo incentiva a visitar una página falsa con el pretexto de actualizar sus datos de registro. En este caso, el criminal probablemente dirá al internauta que debe concluir esa tarea dentro de pocas horas o su cuenta será cerrada por sumario.
No podemos olvidarnos de que los golpes convencen a las víctimas a través del factor financiero. En el caso de tiendas virtuales o e-commerce, por ejemplo, es muy común que elaboren un falso email de marketing alegando alguna promoción imperdible y, en cuanto usted intenta la compra de un producto, roban su número de tarjeta de crédito.
Varias formas de engañar
Existen varias maneras por las cuales un criminal puede abusar de su marca y atacar a sus clientes. Una de las más comunes es conocida como cybersquatting: la práctica de registrar un dominio similar al suyo. Se hace utilizando homoglifos, caracteres repetidos, transposiciones o dominios diferentes a la dirección original. Al registrar una URL maliciosa, el golpista puede enviar emails que se parezcan a los suyos y hospedar un sitio falso, aguardando hasta que algún consumidor caiga en la trampa.
Otro problema muy común es la cuestión de los perfiles falsos en las redes sociales. La arquitectura de esas plataformas –Facebook, Twitter, Instagram, etc.– facilita mucho la vida de cualquier criminal interesado en simular una página falsa de su marca y engañar a internautas desprevenidos, realizando falsas promociones y repartiendo links maliciosos. No es por que sí que Facebook ya eliminó 2.2 mil millones de cuentas falsas tan sólo durante el primer trimestre de 2019.
El origen de la “pesca”
El phishing nació en la década del 90 y el término fue creado por criminales que, en aquella época, utilizaban una herramienta conocida AOHell para robar credenciales de usuarios de America Online (AOL). Esas cuentas –que casi siempre venían acompañadas de números de tarjetas de crédito– posteriormente se negociaban e intercambiaban por softwares de hacking o programas pirateados.
Usando el AOHell, los delincuentes se hacían pasar por funcionarios de AOL y pedían las contraseñas de las víctimas, generalmente con el pretexto de “verificar su cuenta” o “actualizar informaciones de cobranza”. Como tales ardides no eran comunes en esa época, los criminales invariablemente se salían con la suya.
La “moda” tuvo éxito y muchos criminales comenzaron a usar la técnica de AOL para obtener informaciones preciosas y atacar a los internautas desprevenidos. Hoy en día, el phishing ya es uno de los mayores problemas para el mercado global de seguridad digital. A lo largo de 2018, se registraron más de 1 millón de notificaciones de emails o mensajes con contenido maligno alrededor del mundo entero.
Trucos de phishing viejos, pero eficaces
La primera cosa que debemos entender es que, aunque el phishing haya evolucionado bastante en los últimos años, este tipo de golpe continúa siendo fácilmente reconocible a través de algunas características básicas:
Contiene errores
Los delincuentes cibernéticos no son redactores, diseñadores o publicistas. Como resultado, es natural que páginas falsas o emails malignos tengan errores gráficos y gramaticales que delaten su verdadera naturaleza.
Contiene una sensación de urgencia
El delincuente no quiere que la víctima piense mucho antes de bajar un archivo o hacer clic en un link. Entonces, va a intentar persuadir al blanco de ataque para hacerlo lo más rápido posible, alegando un plazo para que una situación se resuelva o algo por el estilo.
Contiene un tono amenazador
Para enfatizar la agilidad, los emails de phishing acostumbran a pegar en el punto más débil de los consumidores y los amenazan con alguna consecuencia negativa.
Como un ejemplo que engloba todas esas características, podemos imaginar una notificación falsa de un banco que lo incentiva a visitar una página falsa con el pretexto de actualizar sus datos de registro. En este caso, el criminal probablemente dirá al internauta que debe concluir esa tarea dentro de pocas horas o su cuenta será cerrada por sumario.
No podemos olvidarnos de que los golpes convencen a las víctimas a través del factor financiero. En el caso de tiendas virtuales o e-commerce, por ejemplo, es muy común que elaboren un falso email de marketing alegando alguna promoción imperdible y, en cuanto usted intenta la compra de un producto, roban su número de tarjeta de crédito.
Varias formas de engañar
Existen varias maneras por las cuales un criminal puede abusar de su marca y atacar a sus clientes. Una de las más comunes es conocida como cybersquatting: la práctica de registrar un dominio similar al suyo. Se hace utilizando homoglifos, caracteres repetidos, transposiciones o dominios diferentes a la dirección original. Al registrar una URL maliciosa, el golpista puede enviar emails que se parezcan a los suyos y hospedar un sitio falso, aguardando hasta que algún consumidor caiga en la trampa.
Otro problema muy común es la cuestión de los perfiles falsos en las redes sociales. La arquitectura de esas plataformas –Facebook, Twitter, Instagram, etc.– facilita mucho la vida de cualquier criminal interesado en simular una página falsa de su marca y engañar a internautas desprevenidos, realizando falsas promociones y repartiendo links maliciosos. No es por que sí que Facebook ya eliminó 2.2 mil millones de cuentas falsas tan sólo durante el primer trimestre de 2019.
¿Cómo evitarlo?
Aquí estamos hablando del principio de reputación de marca. Permitir que sus clientes sean víctimas es algo que afecta a su presencia digital, dañando su imagen ante su público-objetivo. Páginas falsas, dominios similares, perfiles fakes en redes sociales e emails maliciosos enviados en su nombre pueden disminuir la credibilidad de su empresa en el mercado, lo que genera una sensación de desconfianza generalizada.
He aquí la importancia de apostar por el monitoreo de su marca. Al usar soluciones específicas para tales finalidades, como el Digital Fraud Discovery, usted podrá ser notificado siempre que alguien utilice alguna propiedad intelectual suya de manera inapropiada, lo que incluye hasta ser citados en redes sociales. De esta forma, es más fácil identificar campañas maliciosas y ordenar la remoción de contenidos potencialmente fraudulentos antes de que tengan chance de alcanzar a algún internauta.
También es crucial mantener un buen plan de educación y comunicación con su clientela, notificando a su público siempre que fuera necesario. Por ejemplo, ¿identificó una serie de golpes vía SMS? Avíseles que su empresa no pide verificación de contraseñas a través de ese método y aconséjeles ignorar tales mensajes. Lo importante es mostrar al mercado que su marca se preocupa por la seguridad de los internautas, lo que, inevitablemente, también hará que usted gane su confianza.
Autor:
Ricardo Granados, Abogado de Tecnologías de la Información y Ciberseguridad. Ayudo a empresas a tener una presencia digital mas segura a través de la plataforma ONE que realiza monitoreo de marca en social media y web 24x7.
Fuente: Axur