Los atacantes manipulan a través de generar emociones, establecer confianza y aprovecharse del cansancio o la distracción de los usuarios, de ahí que el factor humano sea crítico en el panorama actual de las ciberamenazas.
Uno de los fraudes por correo electrónico que suelen utilizar habitualmente tiene que ver con unas supuestas actualizaciones de aplicaciones para el ordenador, en las que los mensajes maliciosos se dirigen a un grupo de usuarios pertenecientes a una empresa.
Desde la primera línea del email, se invita al receptor a hacer clic en un enlace para migrar a una versión actualizada del programa en cuestión, con la urgencia de hacerlo en un plazo de 24 horas, porque, de lo contrario, el usuario perdería el acceso a su correo electrónico del trabajo.
Para añadir algo más de presión a los destinatarios, se les informa de que el correo electrónico con dicha petición está siendo supervisado y que habrá consecuencias si se ignora. Entre medias, se explican las ventajas de esa supuesta actualización, como acceder a determinados documentos o conectar un dispositivo móvil para entrar en una cuenta de correo a distancia.
Cuando un email fraudulento llega a la cuenta profesional de un usuario, este da casi por hecho que el correo es potencialmente legítimo. Los informes de phishing señalan que las personas suelen pensar que un mensaje de correo electrónico es seguro si hace referencia a una marca conocida o que su empresa bloqueará directamente cualquier email sospechoso. Pero esto dista mucho de la realidad.
Las pistas que dejan los ciberdelincuentes
Con el fraude de estas actualizaciones de aplicaciones, se ven muchas de las tácticas de ingeniería social típicas de los mensajes de phishing: urgencia por que se haga clic en el enlace al instante, amenazar en cierta manera al usuario de las consecuencias de no realizar esta acción e infundir miedo a perder acceso a algo.
Otra de las cosas en las que hay que fijarse es en el señuelo que utilizan los ciberdelincuentes en el asunto del correo electrónico. Si menciona una versión de un programa de aplicaciones en concreto, es necesario cerciorarse de que realmente existe y no es un nombre ficticio para llamar la atención de los usuarios. Los ciberdelincuentes abusan habitualmente de marcas como Microsoft, o directamente Office y OneDrive, Google, Adobe y DocuSign en sus campañas; y esto es lo que alarma a los investigadores de ciberamenazas de posibles correos electrónicos de phishing.
Aparte, las direcciones del remitente suelen ser desconocidas para el usuario y el mensaje del correo electrónico puede estar mal redactado y con erratas. En otras cosas, sin embargo, los atacantes hilan más fino: al pasar el cursor del ratón por encima de la URL maliciosa, se ve que esta empieza por ‘https’, algo propio de sitios seguros por utilizar certificados SSL. Aun así, no hay que dejarse engañar por ello, ya que muchos sitios de phishing emplean estos certificados.
Ya es tarde y has abierto el enlace de ‘phishing’
Si se hace clic en la URL del email, y el usuario tiene una vulnerabilidad en el software que se ejecuta en su máquina, esta podría infectarse con malware o quedar al menos expuesta a que se produzca una infección posterior. Por eso, en caso de que se reciba un mensaje en el correo, sobre todo en el del trabajo, que tenga pinta de ser una estafa, hay que informar inmediatamente al departamento de TI.
Los ciberdelincuentes se han alejado de timos extravagantes de los que hemos oído hablar a menudo; y ahora emplean técnicas cada vez más sofisticadas, pero que se siguen basando en la interacción humana. Con la ingeniería social, los atacantes manipulan y explotan a personas a través de generar emociones, establecer confianza y aprovecharse del cansancio o la distracción de los usuarios, de ahí que el factor humano —las personas, y no la tecnología— sean críticas en el panorama actual de las ciberamenazas.