Lunes, 17 febrero 2020 | Redacción CEU
¿Has oído hablar alguna vez de la "ingeniería social"? Detrás de este nombre pomposo se esconde lo que no es más que un ataque malicioso que abusa de la buena fe de los usuarios en el campo de la ciberseguridad. Los ciberdelincuentes que recurren a ella agudizan su ingenio con el fin de conseguir a través del engaño y la manipulación que sus víctimas hagan clic en enlaces a páginas falsas, descarguen archivos que infecten sus equipos o revelen información confidencial. Este último objetivo es el que persigue concretamente el "phishing": el robo de datos personales como información sobre nuestras cuentas bancarias o credenciales de acceso. Por esa razón es precisamente la banca uno de los sectores más afectados por esta práctica fraudulenta. ¿Qué debes tener en cuenta para no caer en la trampa del "phishing bancario"?
El phishing es uno de los ataques más comunes dentro del mundo del cibercrimen. Cuando hablamos de este ataque aludimos a un tipo de estafa que utiliza como reclamo un cebo. Con frecuencia, la trampa se coloca en forma de un mensaje enviado a través de correo electrónico, pero también se pueden esconder detrás de otros disfraces en las redes sociales, en una llamada telefónica o en un mensaje a través del móvil. Si los "peces", que no son otros más que los usuarios, pican en estos anzuelos es porque la apariencia de estas comunicaciones suele ser muy convincente.
Otra forma de phishing es aquella que afecta a las webs de usuarios inocentes. El ciberdelincuente puede encontrar fallas en la seguridad de una web de forma que esta le sirva para hacer uso de ella a la hora de suplantar a otra y enviar así mensajes trampa que sirvan de cebo (el tipo de ataques phishing que antes mencionábamos). Los propietarios de la web, así como la compañía que es copiada y suplantada, se convierten también en víctimas colaterales del ataque. Sufrir un asalto como este puede afectar gravemente a su reputación, y también puede conllevar una pérdida considerable de ventas.
¿Cómo son los ataques que suplantan bancos?
En el caso del phishing bancario, la víctima recibe un mensaje que le reclama que haga algún tipo de acción relacionada con sus datos bancarios o personales. Los ciberdelincuentes suelen enviar un correo electrónico haciéndose pasar por su entidad bancaria y solicitándole que actualice urgentemente datos como, por ejemplo, su clave de acceso a la banca electrónica. En este mensaje suele aparecer un enlace a una web que el usuario debe visitar para realizar la operación. Cuando haga clic en él, entrará en una página muy parecida a la de su banco; algo que le llevará a confiar en la misma.
Para animarle a realizar esta acción de forma impulsiva, el mensaje urge al usuario a que realice la operación de forma inmediata bajo la amenaza de que su cuenta dejará de estar operativa en caso de no proceder así. Las víctimas del engaño introducen sus datos en la página sin percatarse de están entregando directamente sus datos al estafador.
Uno de los últimos bancos en convertirse en blanco de estos ataques ha sido BBVA. No es el único. El año pasado, el Observatorio de Seguridad del Internauta también detectó campañas fraudulentas que utilizaron como señuelo entidades como Bankia, Caja Rural o ING. En 2019, los ciberdelincuentes también suplantaron compañías como Endesa, Netflix, Paypal y Correos.
Estos ataques son mucho más frecuentes de lo que a priori pueda parecer. Según un informe elaborado por Kaspersky Lab, uno de cada cinco ataques phishing tuvieron como objetivo un banco (21,7%). Se trata de un dato que por si solo quizás no dice nada, pero que es muy significativo si tenemos en cuenta que España se encuentra en el top ten de países con más usuarios afectados por ataques phishing. También cabe destacar el creciente interés de los ciberdelincuentes por el sector financiero. Están centrado su atención en objetivos como las aplicaciones de inversión y el acceso de pago a la infraestructura bancaria y también están poniendo el foco en los ataques ransomware a bancos y el desarrollo de troyanos para la banca móvil.