Phishing: ataques y realidades

Mes a mes nuestros lectores comparten con nosotros información acerca de sus usos y costumbres. En esta oportunidad, les traemos las respuestas recopiladas a través de la encuesta mensual de ESET Latinoamérica en lo que respecta a de ataques de phishing, sus objetivos, efectividad y cantidades.

Esta metodología de ataque se centra en el robo de información personal del usuario, principalmente información bancaria, a través de la falsificación de un ente de confianza. De esta manera, mediante el uso de Ingeniería Social, un atacante incrementa la posibilidad de que un usuario caiga en la trampa y sus datos personales sean comprometidos. Pero, ¿a dónde apuntan los ataques de phishing?

Para sorpresa de muchos, de todos los sitios mencionados, la mayor parte de los usuarios respondió que las redes sociales son el principal objetivo de estas amenazas. Con un total de 108 votos, lidera especialmente debido a la gran cantidad de usuarios que disponen estos servicios. En este tipo de situaciones, una vez que la cuenta ha sido comprometida se suele utilizar para la propagación de códigos maliciosos de diferente índole.

No muy lejos del primer puesto, nos encontramos con los sitios de compras en línea y los bancos. En estas entidades, el principal objetivo de un atacante son las claves de acceso a estas cuentas. Una vez que el atacante tenga acceso a ellas, se encuentra en condiciones de acceder a la información del usuario cómo así también a sus cuentas financieras.

En la siguiente imagen se puede apreciar en detalle cuáles son los principales objetivos de los correos falsos:

Objetivos de Phishing

Vale recordar que las características más comunes de un correo de phishing son las siguientes:

  • Uso de nombres de reconocidas organizaciones.
  • El correo electrónico del remitente simula ser de la compañía en cuestión.
  • El cuerpo del correo, presenta el logotipo de la compañía u organización que firma el mensaje.
  • El mensaje insta al usuario a reingresar algún tipo de información que, en realidad, el supuesto remitente ya posee.
  • El mensaje incluye un enlace.

Mediante el análisis de todos estos datos un usuario podría reconocer si un correo es falso o no. Sobre este aspecto, el 40,0% de los encuestados mencionó poder reconocer un correo de esta índole. Esto resalta la educación de los mismos y la atención que prestan a los correos recibidos.

Que un usuario pueda reconocer un correo de phishing es un punto importante, como así también lo es qué acción toman una vez que esto sucede. Lamentablemente solo el 36,8% de los usuarios realiza el reporte a las entidades pertinentes, la gran mayoría simplemente borra el correo.

A pesar de que la gran mayoría de los usuarios indica poder reconocer un correo de phishing, los datos indican que ataques de esta índole aún tienen tienen alta efectividad. Un claro ejemplo de esto es un phishing bancario que capturo 35 tarjetas de crédito en 5 horas y que fue reportado hace unas semanas en este mismo espacio. Es por ello que remarcamos la importancia de contar con una buena educación por parte de los usuarios y el uso de una solución antivirus con capacidad de detección proactiva, que pueda identificar estos sitios maliciosos.

Finalizando, para participar en el sorteo de licencias de ESET NOD32 Antivirus de este mes, los invitamos a participar en la nueva encuesta acerca de redes hogareñas. Para encontrar los resultados de la próxima encuesta los invitamos a visitar nuestro blog cuando el mes que viene publiquemos el análisis de los mismos.

Pablo Ramos
Especialista de Awareness & Research

Autor , ESET

Síguenos