Image Image Image Image Image Image Image Image Image Image
Scroll to top

Top

No Comments

Spear Phishing: no es una forma “cool” de describir un estilo de pesca

Felipe Lizcano

El término “phishing” comúnmente está relacionado con la actividad de pesca pero, en la informática, se refiere a enviarle trampas o señuelos a una determinada persona u organización para que los usuarios de un sistema a su vez  “muerdan el anzuelo” proporcionando información de interés para el Hacker que ha planeado la operación. Este tipo de estafas cibernéticas son un delito en el marco de la ingeniería social, caracterizado por intentar adquirir información confidencial y crítica engañando al objetivo de una forma fraudulenta. Generalmente, los estafadores intentan hacerse pasar por personas del grupo de conocidos de “la presa” o por empresas solidas y confiables que están enviando una comunicación vía email, telefónicamente o incluso por chat.

Por otro lado, En la era de las redes sociales, todo el mundo quiere publicar su vida, obra y milagros en Facebook, Twitter y demás.. Debido al imaginario colectivo que esto no sólo ayuda para “la popularidad del sujeto” en cuestión sino también puede abrirle oportunidades crediticias como las ofrecidas por Lenddo y otros sitios afines. Siendo sinceros, a quien no le interesaría una oportunidad de esas? Posiblemente a la gran mayoría le gustaría ser popular y que las organizaciones se mueran de las ganas de prestarle dinero! Por eso, hay que tener mucho cuidado, porque como dice el hombre-araña “con un gran poder vienen grandes responsabilidades” y una de ellas es ser muy cuidadoso con la información y los datos que se comparten socialmente.

Para muchos es una novedad descubrir que a partir de la información que publica en las redes sociales los hackers empiezan a familiarizarse con el perfil, dirección de correo electrónico, círculos sociales y demás información valiosísima para armar un fraude simulando ser un muy buen amigo, conocido y hasta la media naranja (la que ha buscado por muchos años) de “la presa”. Ahora bien, una vez el malhechor obtiene la contraseña o información critica que buscaba, muy posiblemente procederá a succionar dinero de sus cuentas bancarias, hacer compras en-línea a su nombre y ocasionalmente hacer uno que otro fraude a usando la nueva identidad adquirida.

Si para este momento usted señor lector todavía se siente muy seguro, lo felicito! Pero es posible que necesite revisar la siguiente lista para establecer cuantos de estos “mandamientos” actualmente puede estar incumpliendo:

  • Contraseñas: Cada contraseña que usa para los sitios que visita habitualmente deben ser sustancialmente diferentes e incluir una combinación de letra, números y caracteres especiales (dichos caracteres son los que usan en las historietas para representar las groserías).
  • Parches, actualizaciones y software de seguridad: es muy común que el antivirus y el sistema operativo muestre molestos avisos tipo “POP-UP” (ventanas que emergen del escritorio) sobre nuevos parches o actualizaciones del software. Por más molestos que sean dichos mensajes, lo mejor es realizar las actualizaciones que en la mayoría de los casos,  ayudan a aumentar su protección frente a las últimas vulnerabilidades descubiertas en el mercado.
  • Cuando un banco, empresa o un supuesto conocido (digo supuesto porque generalmente son hackers usurpando la identidad de otras personas) le pida que le recuerde todas sus contraseñas vía email, chat o telefónicamente, lo mejor es usar el sentido común, constatar con la persona o entidad en cuestión por medio de una llamada al teléfono oficial o acudiendo al sitio web corporativo para evitar ser engañado, porque como dicen los abuelos: “Ante la duda abstente”, yo digo:  “ante la duda pregunte!”.

Ahora bien, como cada vez los hackers son más astutos, comparto algunos datos de interés que pueden ayudarle a reconocer este tipo de fraude:

En el caso de los correos electrónicos, estos son los 5 asuntos que generalmente se usan para cometer phishing:

*Basado en la investigación de Websense realizada de julio a septiembre de 2012

  1. Alguien tuvo acceso a su cuenta
  2. Mensaje del servicio de Internet para clientes del banco (Nombre del Banco)
  3. Medidas de seguridad
  4. Verifique su actividad
  5. Notificación de seguridad de su cuenta

Días en los cuales los hackers generalmente envían los correos electrónicos con phishing:

  1. Viernes (38.5%)
  2. Lunes (30%)    
  3. Domingo (10.9%)        
  4. Jueves (6.5%) 
  5. Martes (5.8%) 
  6. Miércoles (5.2%)
  7. Sábado (3.2%) 

Más información al respecto en las siguientes fuentes: