En el Vértice Estilo de vida, Sociedad

Phishing, casos prácticos

Fuente: Canva

El Phishing y el arte del engaño

David Fernández Marín

Tiempo estimado de lectura: 4 minutos. 

Cada día miles de dispositivos sufren ataques de nivel informático, más conocidos como ciberataques. Con los años, el número de ataques es mayor debido al aumento de dispositivos que se pueden conectar a internet. No importa la marca de tu dispositivo ni su valor, todo lo que se pueda conectar a internet se puede “hackear”.

El conjunto de acciones con el fin de obtener información, generalmente con engaños, nos lleva a una de las técnicas más utilizada: el Phishing, de origen inglés (fishing) y es lo que hacen los phishers (persona que ejecuta el phishing) mediante un cebo que puede ser cualquier cosa que pueda llamar la atención de la víctima: premios, ofertas, productos exóticos, etc. Una vez tengan el cebo perfecto, solo esperan a que alguien lo muerda.

Existen actualmente más de 15 tipos de Phishing, y hoy nos vamos a centrar en dos. El primero, muy famoso y que se realizó muchísimo durante el primer confinamiento fue el smishing. Este tiene la misma base pero se realiza principalmente por SMS, aprovechando los bulos, el caos económico que surgió a raíz de la COVID, mediante la suplantación de identidad de entidades conocidas como Correos u Openbank… El fin de esto es conseguir un beneficio como reputación, dinero, información, etc.

El Phishing, como se vio en un artículo anterior de Paula Carrión, es un conjunto de técnicas que buscan lograr un engaño en la víctima, la principal forma de lograrlo es con ingeniería social. Es decir, una práctica para obtener información que se basa en que, al tener la confianza de alguien, el engaño se produce más fácilmente. Vivimos en la era en la que tener información es tener poder, de hecho, la principal causa de que el Phishing sea una técnica peligrosa, se debe a que las personas siempre somos las más débiles en un sistema informático.

Como bien se ha mencionado antes, la información es poder, el primer paso para ejecutar el Phishing sería, por tanto, hacer práctica de esa ingeniería social, ganarnos su confianza mediante halagos, simpatía extrema, mentiras, etc. El Phishing no es solamente enviar un correo falso y probar suerte (aunque alguna vez funciona, por ejemplo: en este mismo año con los correos falsos del SEPE).

Para elegir a la persona adecuada hay también una estrategia, debe ser alguna persona conocida o de la cual sepamos alguna red social, incluso se puede encontrar a una persona ideal a través de nuestras amistades, no hace falta ganarse su confianza.

Pongamos un ejemplo. En este caso nuestra víctima será: “Alba”. Conocemos su Instagram porque un amigo nuestro la conoce a ella y, además, no lo tiene privado, con ver lo que nuestra víctima publica, se podrían averiguar sus intereses y así realizar la estafa, por ejemplo, mediante una cuenta falsa de Instagram que vende ropa, concursos donde falsos usuarios ganan premios, ofrecer una oportunidad de trabajo falsa, viajes, etc.

Una de las formas más comunes es con páginas o apps que te prometen muchos followers. De hecho, con un programa muy sencillo en 5 minutos podríamos tener algo así:

Ahora veamos la imagen de abajo. En la parte derecha tenemos la página web falsa en la cual hemos introducido unos datos y, en la parte izquierda, está la ventana de la aplicación usada. Al introducir los datos en la página web falsa nos dirá que no se ha podido conectar o que el usuario o la contraseña son erróneos, pero lo que realmente está pasando es que la información ya se ha enviado al ordenador y ya hemos obtenido los credenciales.

Es decir, los datos de la parte derecha son los de la víctima que después son enviados hasta nuestro ordenador donde tenemos la aplicación que nos muestra los datos introducidos.

Fuente: Propia.

(Cabe destacar que toda la prueba se ha realizado en un entorno controlado sin acceso a internet y por lo tanto nadie a excepción del autor ha tenido acceso.)

De este modo, podemos conseguir que la víctima ingrese sus datos en nuestra página web falsa y robar sus credenciales, pero hay personas a las que no les basta y siguen indagando. Por tanto, el segundo tipo de Phishing que vamos a tratar es el whaling, que sigue los mismos pasos que el Phishing pero está destinado a personas con un cargo importante en una empresa.

Toda la información mostrada es de una página web real la cual tiene expuesta información en internet. Programa: Maltego

En esta foto podemos observar que, al realizar la búsqueda de información sobre este sitio web, hay un correo (tachado) de la persona asociada, pero con esta información y mucha más que aquí no se muestra, se podría comenzar a planear el ataque sobre el sitio web.

Supongamos que queremos extraer información a un alto cargo de un hotel, pero no conocemos a nadie de la empresa ni tenemos acceso a ella directamente, la clave es que las empresas tienen números de teléfonos expuestos, información similar a la que se ha mostrado en la imagen anterior. Además, las personas tendemos a dar más información de la que se nos pide, y casi sin darnos cuenta. por poner un ejemplo: cuando nos preguntan sobre una persona que conocemos, pero nos dan mal el nombre, decidimos contestar a la información errónea dando otra nueva, sin pensar que podemos, simplemente, negarla. Lo vemos aquí:

Persona 1: ¿Vas a clase con Joan Riera?

Persona 2: No, yo voy con su hermana Lidia Riera.

Por tanto, en estas técnicas es muy común utilizar esto para obtener información válida.

Después de explicar el phishing y varios subtipos, de extraer información con footprinting y de crear un sitio web falso, acabaremos con un pequeño caso cercano de 2017. Un “cliente” llamó al departamento de reservas, preguntó por el jefe y, al dar un nombre falso, el trabajador le dijo que no era él, que se estaba confundiendo. Entonces insistió diciendo que era muy urgente que llamaba desde su número personal (entre otras muchas mentiras para lograr su engaño). Al final el trabajador optó por darle el correo personal del jefe, lo que fue el mayor error. El jefe a las pocas horas recibió un correo con un pdf,  que por suerte no abrió. Ese pdf contenía un programa malicioso capaz de cifrar y robar información.

Por tanto, aunque muchas partes de internet son seguras y de ello no nos cabe duda, aunque seamos (o creamos) conocer bien las nuevas tecnologías e internet, no debemos bajar la guardia. Porque como hemos visto con solo abrir un pdf de nuestro correo podemos infectar el ordenador.