Hoy en día existen un mar de información creada día a día por usuarios de todas partes del mundo, usuarios que a su vez pueden o no tener algún poder real fuera del mundo digital. Pescar información relevante de estos usuarios para obtener algún beneficio económico se hace cada vez más interesante para aquellos criminales informáticos que viven de vender la información de usuarios o hasta secuestrar cuentas o equipos por algún “rescate”. Las vulnerabilidades de un sistema operativo o algún equipo que no este actualizado son temas de investigación profunda para estos hackers, ya que al conocer y conquistar estas vulnerabilidades su fuente de ingresos se vuelve constante.
Pero, aunque estas vulnerabilidades son trabajadas y reparadas por las empresas encargadas de mantener tus sistemas operativos actualizados, los criminales digitales no solo dependen de estas. Utilizando la ingeniería social pueden lograr que el mismo usuario den pie a que uno de estos hackers tome control de tu equipo o información, Este método se conoce como el Phishing y aunque este no es algo nuevo, la evolución del método ha logrado que cualquier persona sin importar sus conocimientos en seguridad informática caigan víctimas.
¿Cómo funciona?
La víctima recibe un correo electrónico, o un mensaje instantáneo (ya sea Whatsapp o imessage) de alguna fuente aparentemente confiable, en dicho mensaje se recibe algún tipo de imagen, archivo o hasta link que el usuario tiene que abrir, al abrirlo el equipo o cuenta queda infectado, una vez el equipo este infectado este envía el mismo mensaje y archivo a todos los contactos para contagiar a nuevos usuarios. Aunque parezca tonto abrir un archivo o link de alguna cuenta extraña, hay que recordar que la procedencia del mensaje parece confiable; Esta cuenta de donde viene el mensaje puede ser, lo que parece ser, soporte técnico de algún servicio del que pagues pidiéndote reiniciar tu contraseña dándole clic a algún link o inclusive de algún amigo o familiar cuyo equipo ya ha sido infectado.
Este método utiliza la ingeniería social, dándote confianza haciéndose pasar por algún contacto de confianza para que des acceso a tu equipo. Uno de los casos con mayor éxito fue en el año 2000, este fue apodado “LoveLetter worm” este infecto centenares de cuentas de correo electrónico con un simple mail en el que se le daba a entender al usuario que algún admirador secreto le había escrito una carta de amor adjunta al email, cuando el usuario, por curiosidad, intentaba abrir esta carta de amor, el archivo parecía dañado, pero lo que ocurría era que el un virus se copiaba en todos los contactos del equipo infectado y se reenviaba, infectando a muchos más equipos.
¿Qué se puede hacer?
Existen varias maneras de evitar una infección, la principal, es no dar clic o abrir cualquier archivo que se reciba por cualquier tipo de mensajería, pero no siempre se puede hacer esto si se tiene una cuenta que recibe todo tipo de archivos o links normalmente, por lo que la mejor manera de evitar ser víctima del phishing es poder identificar que cuentas son sospechosas. Por ejemplo, al recibir un mail de algún servicio técnico oficial siempre vienen adjuntas imágenes en el cuerpo del mail en donde viene algún tipo de información legal con el logo, cuando esta es una cuenta “sospecha” estas imágenes normalmente no pueden cargar o no están presentes, ya que los mails enviados masivamente tienden a no permitir ser sobrecargados con imágenes; otro método es observando la procedencia del email, leyendo el dominio (lo que viene después del @) podemos ver si esta es una cuenta creada por algún usuario o si esta proviene de alguna empresa legítima. Por último, lo mejor que se puede hacer si el mensaje viene de algún amigo o familiar lo mejor sería contactar a este por otro medio para confirmar la validez del mensaje, ya que estos pueden ser víctimas sin saberlo aún.
Parece simple evitar ser víctima del phishing pero a veces un mensaje puede llegar a la persona correcta en el momento correcto por lo que hay que tener siempre presente que cada vez son más hackers en el internet que se buscan ganar la vida con tu información.
-Santiago Guinand