Los ataques de phishing funcionan (y no es fácil evitarlos)
Google deconstruye los ataques con phising y explica por qué la gente todavía muerde el anzuelo: la culpa es (sobre todo) de las emociones
A pesar de toda la información, capacidad y conocimiento que acumula Google en su lucha contra los ataques maliciosos a través de Gmail, la compañía admite que todavía «no puede identificar de forma infalible» muchos de los correos electrónicos engañosos y de phishing.
- Los ataques de phishing son desde hace años una de las principales amaneradas de seguridad para los usuarios: Gmail bloquea más de 100 millones de correos electrónicos de phishing cada día, y la navegación segura de Google supervisa más de 4.000 millones de ordenadores y móviles contra sitios peligrosos.
- El phising consiste en suplantar vía web o por correo electrónico la identidad de otra persona o entidad (por ejemplo, la web de un banco) para que la víctima entregue información personal, como usuario y contraseña.
En una presentación expuesta durante las conferencias Black Hat de ciberseguridad Elie Bursztein, de Google, y Daniela Oliveira, de la Universidad de Flroida, dieron algunos datos y algunas pistas sobre cómo y por qué funciona «el negocio de convencer a la gente para que entregue sus contraseñas.»
- El phishing cambia constantemente: el 68% de los correos electrónicos de phishing bloqueados por Gmail en un día cualquiera son versiones nunca vistas antes, lo que dificulta su detección.
- El phishing tiene objetivos muy concretos: muchos de los ataques con phising se dirigen únicamente contra un puñado de usuarios, por lo que la muestra es pequeña.
- Los atacantes (phisers) saben convencer: dominan las técnicas de persuasión para que los usuarios reaccionen emocionalmente a los mensajes de phishing.
- El phishing funciona porque utiliza trucos que influyen en la toma de decisiones de la víctima. Por ejemplo, apelando al beneficio económico si se hace caso al mensaje o advirtiendo de pérdida económica si se ignora.
- El 45% de los usuarios todavía no sabe qué es el phishing y los riesgos que conlleva, lo que aumenta las posibilidades de convertirse en víctima.
Google ofrece un test online que utiliza ejemplos de mensajes y tácticas de los phisers para que los usuarios aprendan a distinguir el phishing.
- Una medida de seguridad que reduce significativamente el riesgo que supone el phishing consiste en utilizar la verificación en dos pasos: por ejemplo utilizando el móvil para confirmar el usuario y contraseña, o llaves de seguridad.
- Pero en la mayoría de las ocasiones se puede evitar caer víctima de phishing ignorando aquellos mails que piden de alguna manera el usuario y la contraseña, y observando las direcciones de correo electrónico y las URL de internet de los textos enlazados en el mail antes de hacer clic sobre ellas.