blog de OBS Business School

Informe OBS: Phising: cuando la pesca no es un deporte

Informes |
  • En el último trimestre de 2016 se realizaron 270.000 ataques de phising
  • La banca es el sector donde mayoritariamente se dirigen los ataques de phising
  • El 48% de los ataques de phising son al sector financiero
  • El Instituto Nacional de Ciberseguridad de España (INCIBE) estima que el impacto de cibercriminalidad va de los 300.000 millones de euros al 1.000.000.000.000.

En 2016 hubo un incremento destacable de ataques phising, concretamente un 65% más que en 2015. Este aumento de fraudes e intentos de estafa relacionados con la suplantación de la identidad se produjo en el último trimestre del año pasado acumulando una cifra de 90.000 ataques de phising al mes. Es por este motivo, la necesidad de explicar y poner en conocimiento todas las medidas posibles para prevenir o paliar dicha suplantación.

Igual que las nuevas tecnologías evolucionan, los delitos también y, en consecuencia las leyes. Desde la implementación y auge de las nuevas tecnologías se ha pasado de la tradicional falsificación en operaciones, a los fraudes de tarjetas, para posteriormente derivar el fraude en la banca online. Así, los delincuentes pueden defraudar grandes cantidades con tan solo la adquisición de las claves de acceso de los usuarios. 

El término Phising es un concepto informático utilizado para denominar el fraude por suplantación de identidad a través de técnicas de ingeniería social como el envío de emails fraudulentos o la utilización de falsos sitios web. Se acuñó por primera vez en 1996 después de los casos de intento de apropiación de cuentas de AOL, que consistió en el envío de mensajes instantáneos que se hacían pasar por empleados de la empresa, solicitando contraseñas. En la actualidad, el objetivo principal del phising es obtener fines lucrativos y los defraudadores se centran en la banca para conseguir acceso y control de las cuentas bancarias de los clientes.

 

La Evolución de los ataques de phising

Desde 2008,  los ataques en la red aparecen cada vez más en los medios de comunicación. Algunos ejemplos recientes de mayor impacto son:

La suplantación a Apple, que se alerta a los usuarios en un email que debido a un incidente de seguridad, los usuarios deben validar sus credenciales. Igual que PayPal a través de un sitio web simulado para intentar conseguir los datos del usuario

Otro de los casos más sonados es el robo de 81 millones de dólares al Banco Central de Bangladés.

 

Phising: una operativa con 4 fases

La mecánica comisiva del phising se estructura en 4 fases diferenciadas que se basan principalmente en suplantaciones de personalidad para la realización de transferencias de fondos de una cuenta bancaria de un titular a la de un intermediario. De esta manera, se extraen los fondos en efectivo o se realiza una transferencia al extranjero, haciéndose muy difícil su recuperación. La operativa es la siguiente:


  1. Descubrimiento de claves y contraseñas on-line: se utiliza una aplicación para infectar al usuario y así captar, ilegalmente, los datos confidenciales de las víctimas. Posteriormente, se realiza un envío masivo de correos electrónicos con el fin de llamar la atención de la víctima
  2. Utilización de otros equipos para realizar el acceso a sus cuentas: los autores de los hechos emplean distintos métodos para realizar la operación, uno de los más empleados es la utilización de lugares públicos de acceso a Internet
  3. Uso de terceros como titulares de cuentas bancarias a las que remitir el dinero: así el intermediario puede abrir cuentas bancarias intermediarias en el mismo país donde van a desarrollar la operativa para traspasar el dinero
  4. Disponibilidad del beneficio ilícito: el titular de la cuenta bancaria de destino se dirigirá a su banca y sacará el dinero de la transferencia y será enviado al extranjero por medio de las agencias dedicadas a ello.

Uno de los problemas radica en que no existe una cláusula limitativa de responsabilidad para el titular, por lo que los importes defraudados pueden alcanzar la totalidad de los fondos que el cliente tiene en las cuentas de la entidad.

 

Medidas de prevención

Los usuarios deben tomar una serie de precauciones muy sencillas que pueden evitar un ataque:

  • Disponer de contraseñas robustas: con una longitud superior a 68 dígitos; obviando palabras del diccionario y evitar el uso de la misma contraseña para todo
  • Desconfiar cuando se soliciten datos personales a través del correo electrónico
  • En muchos de los intentos de phising mediante correo electrónico se encuentra un adjunto que nos instan a abrir; ante la duda no abrir.
  • En otros casos lo que aparece es un enlace a una URL (muy similar a la real y con apariencia casi idéntica), en vez de usar esa URL ante la duda usar la que se tiene plena certeza que es correcta.
  • Desconfiar de remitentes desconocidos y/o correos mal redactados y/o con referencias impersonales.
  • Si es posible disponer de factores de doble autenticación en nuestros sistemas, por ejemplo, el correo electrónico.

  •  

Conclusiones

  • El phising es uno de los delitos englobados dentro de la categoría de estafa y existen múltiples variante para desarrollar el ataque
  • Las operaciones no se realizan directamente sino que se emplean terceras personas denominadas “muleros” a las que a través de una supuesta oferta laboral se les indica que abran una cuenta bancaria en la que recibirán una cantidad de dinero y deberán remitir dicha cantidad a otra cuenta
  • La intervención de distintos actores en la operación dificulta la condena de los verdaderos responsables
  • Para prevenir ser una víctima de phising es conveniente tomar unas sencillas medidas de seguridad como por ejemplo disponer de contraseñas robustas