¿Qué es el phishing?

De acuerdo con la Asociación de Internet.mx el 84% de los usuarios ingresan a Internet para enviar y recibir correos electrónicos (Estudio de Hábitos de los Usuarios de Internet en México 2018). Dado que muchas personas hacen uso de esta tecnología, los ciberdelincuentes han visto una gran oportunidad para realizar diferentes ataques aprovechando sus vulnerabilidades, uno de los cuales es el phishing.

Proviene de la palabra en inglés fishing que significa pescar. El phishing es un tipo de ataque que comienza con un señuelo cuando recibes un correo electrónico que parece ser de una remitente confiable, tiene un alto sentido de urgencia y te solicita una acción inmediata como abrir un enlace a un sitio falso, descargar archivos o enviar información personal como usuarios y contraseñas.

Esta técnica principalmente es utilizada con el propósito de robar información financiera como números de tarjetas, NIP y contraseñas para hacer transacciones no autorizadas.

Existen variantes de esta técnica dependiendo de la fuente que se utilice: correo electrónico, SMS (smishing) o por llamada telefónicas (vishing).

Además, si el ataque está dirigido a una persona en específico y no es enviado masivamente es llamado spear phishing. A diferencia del phishing tradicional, los ciberdelicuentes se ven obligados a realizar una investigación de sus objetivos (OSINT) revisando sus redes sociales o información pública en Internet para dirigir el ataque.

¿Cómo los atacantes suplantan la identidad?

Para que el correo que recibes en tu buzón parezca ser de una fuente confiable, los atacantes utilizan diferentes técnicas:

• La más simple es, enviar correos para que los mensajes de salida aparezcan con otro nombre, por ejemplo, la cuenta salida de correo es hacker@yahoo.com.mx y en el remitente del correo aparece como *Ana Pérez o *ana.perez@correo.mx    De este modo, todos los contactos que conozcan a Ana Pérez abrirán el correo, aunque la cuenta de correo de salida sea otra.
• Los atacantes verifican si el puerto en el que está alojado el correo de tu organización solicita autenticación, en caso de que no sea así, pueden hacer uso de cualquier cuenta de correo electrónico alojada en ese servidor para suplantar la identidad, tanto la cuenta de correo de salida como el nombre.

¿Cómo identifico el phishing?

El cuerpo de correo se dirige a un usuario genérico, suele tener faltas de ortografía, es enviado masivamente o solicita información, viene de una cuenta confiable pero la respuesta tiene otra cuenta distinta. En el caso del spear phishing, el texto va dirigido a tu nombre.

Otra forma de identificarlo es por el enlace, el archivo adjunto, la acción solicitada con sentido de urgencia (pagar facturas, SAT, compra de productos) o de curiosidad (el mensaje es demasiado bueno para ser verdad como: ganar la lotería, un viaje, un premio).

Es importante aclarar que ninguna institución financiera o empresa dedicada al comercio electrónico te solicitará la actualización de tus datos por correo electrónico o el envío de información sensible.

Puedes encontrar más detalles en el Manual para identificar y notificar correo fraudulento (phishing scam).

Recomendaciones

• Verifica el remitente, desconfía de correos que no muestren su procedencia, de aquellos remitentes que el dominio sea diferente al que usualmente recibes o si presenta errores en su escritura.
• No respondas al correo que parece sospechoso, ya que estarás validando ante los atacantes tu cuenta de correo en caso de ser spam.
• Sospecha de cualquier correo que tenga sentido de urgencia o de curiosidad y que te solicite una acción inmediata como abrir un enlace, descargar archivos o enviar datos personales.
• Pon atención en la dirección del sitio web al que te remiten, puede tener variaciones en su escritura o redirigirte a un sitio diferente al que indica.
• No abras archivos adjuntos de remitentes desconocidos. 
• Configura tu cliente de correo electrónico para que puedas ver la dirección de correo electrónico del remitente y no solo el nombre de quien lo envía, así como evitar la carga automática de contenido remoto.
• Establece filtros de correo no deseado y fraudulento.

Fui víctima de phishing, ahora ¿qué hago?

• Si sospechas que fuiste víctima de phishing contacta a las autoridades competentes (CONDUSEF, INAI).
• Si revelaste tu información financiera, contacta de inmediato a tu banco para bloquear cuentas y tarjetas, así como realizar los cambios correspondientes.
• Si expusiste información de la organización en la que trabajas, repórtalo a tu jefe y al administrador de la red.
• Si te llegó un correo sospecho y estás en RedUNAM, repórtalo a phishing@cert.unam.mx

Fuentes recomendadas:

• Animación - Phishing scam: https://www.youtube.com/watch?v=Sudsb6oq8vk
• Infografía - ¿Qué es el phishing?:  https://www.seguridad.unam.mx/que-es-el-phishing
• Video - Phishing y contraseñas: https://www.youtube.com/watch?v=Xu7v2_cFSs0
• Boletín OUCH! - Evita el phishing : https://www.sans.org/sites/default/files/2018-04/201804-OUCH-April-Spanish.pdf
• Artículo - Phishing scam: https://www.seguridad.unam.mx/historico/usuario-casero/eduteca/main.dsc-id=166
• Artículo - Evitando ataques de ingeniería social y de phishing:​ https://www.seguridad.unam.mx/evitando-ataques-de-ingenieria-social-y-de-phishing#%C2%BFQu%C3%A9%20es%20un%20ataque%20phishing

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración de este documento a:

• Célica Martínez Aponte (celica dot martinez at cert dot unam dot mx)

UNAM-CERT

Equipo de Respuesta a Incidentes

Coordinación de Seguridad de la Información

incidentes at cert.unam.mx

phishing at cert.unam.mx

https://www.cert.org.mx

https://www.cert.unam.mx

Tel: 55 56 22 81 69