Podríamos pensar que el método más utilizado y más efectivo al momento de lanzar ataques informáticos sería una técnica de hackers muy avanzada o algún virus altamente peligroso y complejo... Pero no, la manera más efectiva en la que personas mal intencionadas logran comprometer la seguridad de sistemas informáticos es aprovechándose del eslabón más vulnerable en una infraestructura de IT, en otras palabras, el usuario.

Seguros muchos han recibidos correos de sus bancos, universidades, trabajos u otras instituciones advirtiendoles de los riesgos de phishing o preparando el personal en caso de ser víctimas de ingeniería social y comprometer la seguridad y privacidad de los sistemas informáticos del organismo, esto tiene sus razones.

El phishing es una técnica utilizada por ciberdelincuentes para engañar al usuario y robarle información sensitiva, ya sean datos personales o liados a su cuenta dentro del sistema. Los atacantes utilizan distintas técnicas de Ingeniería Social para obtener contraseñas, nombres de usuario, datos de localización, información bancaria y tarjetas de crédito, números de teléfono, credenciales de redes sociales y/o cualquier otro tipo de información que pueda exponer la privacidad y seguridad del usuario. El objetivo de los malhechores es obtener la información para luego se hacer pasar por usuarios legítimos y poder tener acceso a los servicios o plataformas de la víctima, una vez dentro podrá obtener información, robar dinero, leer emails o tener acceso a información confidencial y finalmente violar la privacidad del usuario.

La finalidad del atacante al utilizar distintas técnicas de ingeniería social es de personificar una entidad legítima o real, por lo general creando un sitio web malicioso y haciéndose pasar por el banco, la universidad o cualquier otra plataforma y engañar al usuario para que este finalmente introduzca o dé sus datos al sitio web falsificado. Entre las conocidas técnicas de ingeniería social utilizadas podemos mencionar los correos electrónicos, en el que el atacante dice ser parte de la empresa o institución y en el que pide al usuario que le envíe sus datos personales, o que debe dar click a un enlace creado por el atacante que va a re-dirigirnos al sitio peligroso. Este sitio web puede haber sido diseñado de manera que puede verse idéntico al sitio web genuino, sin embargo está creado para robar información del usuario, lo que puede provocar el robo de identidad. De manera similar los atacantes pueden utilizar algún otro sistema de mensajería instantánea, SMS o llamadas telefónicas.

Otro de los posibles objetivos de un atacante al utilizar phishing es de esparcir malware, adware o algún virus en general, para tomar control del dispositivo del usuario o en su defecto robar información.

Según Karspersky, 482 millones de intentos de ataques fueron detectados en 2018, frente a unos 250 millones el año anterior. Los atacantes se valen de eventos o productos que estén “a la moda” para llamar la atención del usuario, por ejemplo se detectaron millones de intentos de robo de información aprovechándose de la Copa del Mundo de Rusia 2018, o el cambio de legislatura GDPR en Europa, o la puesta en venta del nuevo iPhone, etc. Otro foco de actividad es el mercado de las criptomonedas.

No es sencillo detectar intentos de phishing o mensajes fraudulentos cuando diariamente recibimos decenas de correos electrónicos de las distintas instituciones de las que somos parte o de las plataformas en la que estamos inscritos, pero aquí les dejo una lista de consejos e ítems a verificar que podrían indicar la presencia de un mensaje malicioso:

• Si recibimos un email de nuestro banco u alguna otra institución formal debemos verificar el dominio del que està siendo enviado el correo, por ejemplo @[nombredelbanco].com, @[nombredelauniversidad].pa.com, @[ministerio].gob.pa, etc. Si recibimos un mensaje que nos pida información personal de una dirección tipo @gmail.com, @hotmail.com, etc. es muy probable que se trate de phishing.


• Verificar que el sitio web al que vayamos a introducir nuestra información es efectivamente una versión segura, por ejemplo que el enlace comience por https:// y que junto al enlace en el navegador aparezca un candado. Esto nos dice que el sitio web posee un certificado y la comunicación está asegurada.


• Si recibimos un correo de un remitente desconocido que contiene archivos adjuntos que no pedimos, o archivos innecesarios con extensiones extrañas, no abrirlos!


• No proporcione información confidencial o comprometedora a nadie por teléfono, en persona o a través del correo electrónico.


• Verifique el enlace o el nombre del sitio web al que va a acceder, por ejemplo verificar que está yendo a www.google.com y no a www.gooogle.com o www.goolge.com. Este tipo de ataques se conocen como typosquatting, y se basan en utilizar nombres de dominio muy parecidos al sitio legítimo, para luego crear un sitio web muy parecido para llevar a cabo el robo de información.

Podría mencionar muchos consejos más, pero el mensaje final de esta entrada es: siempre desconfiar de los mensajes que recibimos y verificar tres veces antes de introducir información sensitiva dentro de un sitio web, solo toma unos segundos!

~ Boris Antonio.