Phishing: ¿Cómo identificar un mensaje falso, así como del supuesto "gerente de Amazon"?

En las últimas semanas viene rodando una cadena en WhatsApp en la que un supuesto “gerente de Amazon” ofrece una oferta de empleo.

Lo que es evidente en este caso es que este mensaje es falso y se clasifica bajo la modalidad de estafa denominada phishing o comunicación fraudulenta.

Ante este panorama, Aamir Lakhani, estratega e investigador de Seguridad Global en Fortinet, recordó que este tipo de ciberamenazas usualmente llegan a los usuarios a través de correo electrónico, plataformas de mensajería, SMS o redes sociales.

“Durante estos fraudes, el atacante se hace pasar por un contacto de confianza para robar datos sensibles como credenciales de ingreso a cuentas, número de cuenta bancario o tarjetas de crédito”, dijo el experto.

Lea aquí: Colombia y México llegan a primeros acuerdos frente a la inadmisión de colombianos a ese país

Algunos de los tipos de phishing más conocidos son spear phishing, clone phishing (imitan a entidades oficiales), vishing (uso de la línea telefónica convencional), whaling (suplantación de sitios web y correos electrónicos), snowshoeing y robo de correo electrónico corporativo, entre otros.

“Lo que une a estos ataques es que persiguen el mismo objetivo, robo de identidad o transferencia de malware”, explicó.

1. Habilitar filtros contra spam: esto es posiblemente la defensa más básica de una organización contra el phishing. Los filtros de spam son de gran ayuda ya que proveen una capa de seguridad extra a la red, lo que es especialmente importante dada la popularidad de un email como vector de ataque.
2.  Actualizar los softwares de manera regular: asegurar que tanto los sistemas operativos como los softwares que utiliza la organización se actualicen de forma regular, el parcheo puede fortalecer los softwares y sistemas operativos vulnerables en contra de algunos ataques.
3. Implementar autenticación de múltiples factores (MFA): MFA requiere que un usuario provea múltiples piezas de información antes de iniciar sesión en una red corporativa y obtener acceso a sus recursos. En general, esto exige implementar al menos dos de estos tres elementos: algo que conoce (contraseña o PIN), algo que tiene (token físico) y algo que es (huella digital, escaneo de iris o reconocimiento de voz).
4. Respaldar la información: todos los datos corporativos deben ser encriptados y respaldados de manera regular, ya que esto es crítico en caso de una brecha de seguridad o que alguna se vea comprometida.
5. Bloquear los sitios web no confiables: utilizar un filtro web para bloquear acceso a sitios maliciosos en caso de que algún empleado sin querer de clic a un enlace corrupto.

Mientras que el phishing es una técnica de ataque muy popular entre los cibercriminales, la realidad es que es solo la punta del iceberg, dijo Lakhani.

Y agregó: “Los cibercriminales añaden constantemente nuevas técnicas a sus manuales para eludir los mecanismos de defensa, evadir la detección y escalar sus operaciones. Nuestra inteligencia contra amenazas demuestra que los criminales están encontrando nuevos vectores de ataque para experimentar con vulnerabilidades ya conocidas e incrementar la frecuencia en que las ejecutan”.