Phishing: Qué es y por qué es importante prevenirlo para tu Pyme
El phishing es algo cada vez más polémico y omnipresente en el ámbito de las estafas online. Va desde las variantes más rudimentarias hasta las más sofisticadas.
El problema fundamental es que este tipo de fraude online va refinando sus métodos y sus herramientas gracias a las nuevas tecnologías. El uso de bots y de inteligencia artificial hace cada vez más peligrosos a los delincuentes que perpetran este tipo de ciberataques.
Por esta razón, una mayor concienciación sobre ciberseguridad por parte de los autónomos, pymes y microempresas, se hace cada día más esencial.
Qué es el phishing
El phishing es, en términos generales, una suplantación en que un ciberdelincuente se hace pasar por otra persona o por una empresa. La finalidad de esta impostura es obtener datos personales de la víctima.
Números de cuentas bancarias, contraseñas privadas, números de tarjetas de crédito y débito… Cualquier dato confidencial de las empresas o personas que han sido presas de este ciberdelito puede verse comprometido.
Además, la peligrosidad de esta forma de ciberataque aumenta por las diversas formas en que puede perpetrarse. Las imposturas online ya no son necesariamente aquellos mails o mensajes en mal inglés y con ganchos inverosímiles.
Los diversos tipos de phishing
Aunque existe la creencia generalizada de que el phishing se limita al ámbito de los correos electrónicos. Pero lo tristemente cierto es que se ramifica en muy variados entornos.
Los tipos de phishing se pueden clasificar en los siguientes:
- Redes sociales. Es muy habitual este ciberataque en las RRSS, creando páginas de inicio de sesión falsas, en Instagram, LinkedIn, Twitter o Facebook. El ciberdelincuente puede llegar, incluso, a suplantar al usuario y a bloquear el acceso de este a sus propias cuentas. Otra estratagema muy habitual es enviar falsos correos electrónicos que parecen proceder de estas RRSS.
- Sitios web falsificados. Se trata de sitios que han sido copiados imitando con bastante fidelidad los originales. Con ellos se pretende robar información confidencial del usuario mediante argucias como falsas páginas de inicio de sesión. También las ventanas emergentes son una forma habitual de intentar extraer tan preciados datos del usuario desprevenido.
- Vishing. Es una llamada telefónica que pretende convencer a la víctima para que proporcione determinados datos personales o confidenciales. Algunas robollamadas, o llamadas automatizadas, también son programadas para perpetrar ataques de vishing.
- Smishing. El nombre de esta variedad de suplantación se refiere a los SMS que pretenden obtener información confidencial de la víctima. Lo acostumbrado en estos casos es que el ciberdelincuente envíe al usuario de un teléfono móvil un enlace. Con este se pretende que el propio usuario, engañado, descargue un malware en su dispositivo.
- Correo electrónico. Es la modalidad más conocida, hasta el punto de que muchas personas todavía creen que es la única que define a este tipo de estafa. Se trata de mails con un remitente impostor que finge ser una empresa de confianza, alguien que nos ofrece un buen negocio, etc. También en estos casos, lo más habitual es que se intente robar credenciales por páginas de inicio falsas, por ejemplo a un falso enlace de nuestro banco. O bien que se envíen enlaces para descargar malware o software malicioso en nuestro ordenador.
Las técnicas del phishing
Además, es preciso tener muy en cuenta que existen numerosas técnicas de phishing, así se puede hablar de las siguientes:
- De engaño. Es el de mera suplantación, en que los ciberdelincuentes pretenden hacerse pasar por empresas, servicios o personas de confianza.
- Personalizado. En general, los ciberataques de esta índole son masivos y destinados a un gran número de víctimas de manera simultánea. No obstante, algunos sí se centran en personalizar el ataque para dirigirlo a una presa muy específica. A través, sobre todo, de LinkedIn, se ha hecho muy frecuente el ataque personalizado contra empresas.
- Whaling. Como su propio nombre indica (“pesca de ballenas”) se trata de pescar a una persona de gran peso en una organización. Con ello se logra robar datos de alto valor estratégico. Se trata de una modalidad de este ciberdelito que puede ocasionar graves daños a una pyme, e incluso provocar su cierre definitivo.
- Fraude del CEO. Sustitución del director ejecutivo de una organización empresarial para cometer una estafa contra esta y robar información valiosa. Igualmente está muy presente en el entorno de las microempresas y pymes, y puede inferir graves daños a estas.
- Vía Dropbox y Google Docs. A través de servicios de almacenamiento en la nube, donde se cuelgan desde documentos de empresas hasta copias de seguridad de dispositivos móviles. He aquí otro entorno muy apetecible para que los agresores establezcan enlaces falsos o pantallas de inicio de sesión falsificadas con que apoderarse de datos.
- De clonación. Los atacantes clonan un mail legítimo para así enviar una copia de este a todos los destinatarios originales. Sin embargo, la diferencia primordial estriba en que ahora todos los enlaces son maliciosos.
- Enlaces homógrafos. Se trata de enlaces con pequeños errores ortográficos, a veces imperceptibles a simple vista. Con tales falsos URL, se conduce a la víctima a la dirección deseada por el atacante.
- Pharming. Es el que funciona mediante artimañas tecnológicas, como por ejemplo el envenenamiento de DNS. Un malware infecta el equipo, de modo tal que devuelve información falsa sobre el caché DNS. Es decir: sobre la memoria de los sitios web que hemos visitado. Esta forma de estafa de pharming es también conocida como envenenamiento de la memoria caché.
- XSS o Scripting entre sitios web. Los scripts son fragmentos de código que se encuentra en el documento HTML de un sitio web. Gracias a ellos se puede desde validar formularios hasta crear ventanas emergentes. Un ciberataque contra una pyme con ecommerce puede secuestrar sus scripts para apoderarse de información de gran valor o confidencialidad. Es una de las formas de ciberataque más difíciles de detectar.
Por qué las pymes deben concienciarse contra este tipo de fraudes
Las pymes, microempresas y autónomos dependen especialmente de la relación de confianza con clientes concretos. Una quiebra en esta confianza puede suponer daños irreparables para la empresa, o incluso el hundimiento del negocio.
No en vano, el Instituto Nacional de Ciberseguridad alerta constantemente a las empresas españolas sobre los ciberataques y la necesidad de concienciarse frente a ellos.
El ciberincidente más común en pymes
Según la Agencia de Ciberseguridad de la Unión Europea, la suplantación y el engaño online es precisamente el ciberincidente más común al que se enfrentan Y hay que tener muy presente que las pymes emplean, en toda la UE, a más de 100 millones de trabajadores.
De las pymes encuestadas por la mencionada Agencia de Ciberseguridad europea, el 57% afirman que un ciberataque exitoso hundiría sus negocios. En contraste con esta preocupante situación, debe anotarse que las pymes actualmente:
- Desconocen o conocen mal la naturaleza de los ciberataques.
- No hay directrices adecuadas para combatir los ciberataques en el seno de las pymes, como tampoco un apoyo adecuado por parte de la dirección.
- Falta presupuesto para la aplicación interna de las indispensables medidas de ciberseguridad.
Por todas estas razones, el apoyo y la asesoría de verdaderos profesionales en ciberseguridad se hacen especialmente imprescindibles para las pymes. Es algo que puede salvar nuestro negocio.