Más 'phishing' que nunca

Más 'phishing' que nunca
ERIC GAILARD/REUTERS

Desde 2014 se multiplican los casos de 'phishing', un fraude del que las empresas pueden ser doblemente víctimas

IRATXE BERNAL

En 1996, America Online (AOL), una de las primeras empresas proveedoras de conexión a Internet, descubrió que una red de estafadores disfrutaba alegremente de sus servicios gracias a suscripciones cargadas a tarjetas de crédito falsas. Obviamente, tomó medidas para acabar con el fraude, lo que (obviamente también) llevó a los timadores a modificar su estrategia. La alternativa era acceder a los servicios de AOL desde cuentas de usuarios reales y para conseguir sus contraseñas y datos financieros se les ocurrió algo más ingenioso y fácil que hackear a la compañía; falsear su web, hacerse pasar por AOL y solicitar los datos directamente a los clientes. Ahí nació el 'phishing' o suplantación de páginas web, un engaño que crece año a año (en 2017 el Instituto Nacional de Ciberseguridad registró 120.000 casos frente a los 18.000 de 2014), que ha dado el salto de la web a los servicios de mensajería instantánea y redes sociales y del que las empresas pueden ser doblemente víctimas.

Por un lado, como cualquier internauta, sus trabajadores pueden ser engañados para facilitar información confidencial a quien no deben. Pero, además, su web puede ser suplantada o incluso utilizada como 'plataforma' para realizar el engaño si los estafadores llegan a instalar en ella algún malware y modificar su aspecto para imitar el de otra empresa (la suplantada) y redirigir a los clientes engañados a través de correos electrónicos. En el primer caso, las pérdidas serán económicas. En el segundo, reputacionales, que son más difíciles de recuperar.

No se libra ni Google

Y no se libra nadie. Ni Google, que ya ha visto utilizar algunas de sus aplicaciones o servicios como soporte para el fraude. Este verano, por ejemplo, los hackers se valieron de su plataforma publicitaria Google Ads (antes AdWords) para suplantar la web del Banco Sabadell llegando a posicionar en el buscador la página falsa por delante de la real, por delante de la web oficial de la entidad financiera. Alguien había ganado la puja por vincularse a las palabras banco y Sabadell y así aparecer como el primer resultado cuando un cliente de la entidad las introdujera juntas en el buscador. Y así, pagando por esa publicidad, estaba consiguiendo más visibilidad que la obtenida por la página real gracias a las búsquedas naturales, sin criba ni imposición publicitaria. Quienes pinchaban en el anuncio eran redirigidos a una web en cuya URL en vez de Sabadell se leía Saibadeil. Para quien se parase a leer.

El truco resulta curioso porque el funcionamiento de la herramienta publicitaria obliga al timador a pujar por la vinculación a las palabras clave (las pujas son diarias) y, después, a pagar por cada click logrado, es decir, por cada persona que pique y entre en la web falsa. Pero también era muy efectivo porque la mayoría de las veces el usuario no mira más allá de ese primer resultado y no le importa que sea un anuncio mientras le lleve a la página que está buscando. Era una forma de cazar incluso al internauta precavido, ese que sabe que un buen recurso para evitar ser víctima del 'phishing' es llegar a una web a través de un buscador en vez de hacerlo clicando en algún enlace recibido por coreo electrónico.

Por otra parte, Google Ads también ha sido suplantada por hackers que enviaban a las empresas que se publicitan a través de esta herramienta notificaciones fraudulentas para que les facilitaran datos confidenciales. Un pago rechazado, el reembolso de una factura mal emitida, un fallo técnico que obliga a comprobar datos o incluso mejoras en sus medidas de seguridad… Argumentos que sirven para hacerse pasar por cualquiera . Desde una pyme a plataformas expresamente creadas para garantizar la seguridad de los pagos por Internet como PayPal pasando por la mismísima Agencia Tributaria, que ya alertó hace años de que no envía (y menos masivamente) correos con enlaces a formularios o aplicaciones desde los que realizar la declaración o agilizar la devolución de impuestos. En estos casos la única medida al alcance de una pyme es alertar a sus clientes del fraude y, de cara al futuro, avisarles de que la firma no les pedirá información confidencial por email o teléfono. De hecho, fue AOL en aquel primer ataque de 'phishing' de 1996 quien empezó a incluir este aviso en todos sus mensajes.

Actualizaciones y copias de seguridad

Si en cambio la pyme ha sido empleada para suplantar a otra deberá rastrear todo su sistema hasta eliminar completamente las secciones, páginas o archivos maliciosos que hayan generado el 'phishing'. Puede hacerse ordenando cronológicamente los elementos creados y localizando entre ellos los instalados sin permiso o restaurando una copia de seguridad de la web (y las bases de datos asociadas) previa al ataque. Hecha la limpieza tendrá que actualizar el gestor de contenidos o, si se tiene contratado un servicio de 'hosting', modificar las contraseñas de todos los trabajadores con acceso y comprobar si se han creado subdominios o modificado ficheros web recientemente. Finalmente, para limitar el riesgo de nuevos ataques, habrá que evitar las vulnerabilidades derivadas de las desactualizaciones e instalar medidas que detecten los intentos fallidos de acceso como captchas, esas imágenes con letras y números distorsionados que hay que descifrar para completar muchos formularios.

Como usuarias de servicios online de otras empresas las pymes han de recordar los mismos consejos que ya se daban en 1996, empezando por no abrir todos los emails que lleguen a la bandeja de entrada. En caso de duda lo mejor es ignorar el mensaje. Con mayor motivo es si inesperado o no existe relación con la empresa que supuestamente lo envía. Si el asunto es demasiado importante tentador como para obviarlo, lo mejor es no contestar a ese email y contactar con la empresa remitente a través de otro medio.

Si, en cambio, sí hay relación con la entidad suplantada (con lo que es más fácil picar y abrir el mensaje) antes de contestar al email, descargar ficheros o clicar en algún link hay que comprobar que la dirección del remitente sea idéntica a la de anteriores mensajes de esa misma fuente. Tampoco está de más cerrar todas las aplicaciones antes de entrar en páginas donde manejemos información delicada, como las de las entidades bancarias. Además, hay que revisar la URL de cualquier web en la que se vaya a facilitar algún dato. Si en la barra de navegación lo primero que aparece no es un candado seguido de las letras https, estamos ante una suplantación. Si el usuario se da cuenta tarde, debe acudir directamente a la web real y cambiar su contraseña además de contactar tanto con la compañía suplantada como con su entidad bancaria para ponerles sobre aviso y cancelar o bloquear cualquier suscripción (como las de los sms premiun) o pago que se haya podido cargar a nuestra cuenta.