Algunas consideraciones sobre phishing

Ésta es una versión actualizada y ampliada de los consejos que suelo dar reiteradamente en artículos del blog, white papers y papers para conferencias. No vuelvo a sacar el tema con motivo de ningún tipo de phishing en particular (aunque en este momento estoy viendo una selección interesante de correos que atacan los ID de Apple), sino porque en el transcurso de una conversación que tuve en un sitio de medios sociales, prometí que iba a escribir una actualización: lamentablemente, hay una necesidad constante de recibir consejos confiables sobre phishing.

Recuerda que no está restringido en absoluto a los mensajes de correo electrónico y que la mayoría de los consejos que aquí damos también se aplican a otros medios de envío de mensajes, como la mensajería directa en medios sociales y las aplicaciones de mensajería instantánea. También hay fraudes telefónicos, pero probablemente se merezcan un artículo aparte por la amplia variedad de disgustos que ocasionan.

El objetivo de estos consejos es facilitar el reconocimiento de los mensajes de phishing, por lo que aquí damos comienzo a una serie de publicaciones que cubrirán aspectos fundamentales, y finalizaremos resumiendo consejos para identificar mensajes falsos.

Las buenas medidas de seguridad nunca son perfectas

A menudo, el estafador sabe que hay muchas probabilidades de que un software de seguridad (a veces varias aplicaciones distintas como antivirus, filtro de spam, filtro de paquetes, filtro de archivos adjuntos, entre otras) revise su mensaje en busca de contenido malicioso, vínculos maliciosos, entre otros.

Si tu proveedor de correo incluye un buen servicio de filtrado, apenas notarás algún mensaje de spam y de phishing en tus actividades diarias. Gmail, por ejemplo, es muy bueno en desviar este tipo de mensajes a una carpeta de correo basura que quizá nunca te pongas a revisar.

Pero a veces deberías revisarla, aunque sea ocasionalmente. Los filtros automatizados tienen la tendencia de proteger de más y ocultar mensajes que en realidad te hubiera gustado leer, así como también pueden dejar pasar mensajes que realmente no habrías querido recibir si hubieras tenido la posibilidad de elegir.

Como un reciente problema de otra índole puso en evidencia, errar es humano, pero confiar incondicionalmente en un algoritmo complejo (incluso aunque se trate de una aplicación de filtrado bien diseñada) es indescriptiblemente ingenuo. Las computadoras no cometen errores (al menos, no en el sentido en que los cometen los humanos) pero los programadores sí, porque incluso los mejores de ellos no pueden considerar absolutamente todas las circunstancias posibles.

Tu software de seguridad quizá no te va a recordar un suceso trágico reciente en forma totalmente insensible, pero sí puede pasar por alto un mensaje malicioso o reaccionar exageradamente ante algo inocuo: ambas son buenas razones para no asumir que eres inmune a las acciones de criminales solo por tener un software de seguridad. Tu propia concientización y conocimiento deberían ser parte de la estrategia de defensa.

La seguridad está conformada por la tecnología y la gente

Ciertas veces, una persona puede ser mejor filtrando mensajes de phishing que una aplicación que detecte automáticamente los mensajes “sospechosos”, pero siempre recuerda que un estafador es mucho más adepto manipulando a una víctima en forma directa mediante medios psicológicos (Ingeniería Social) que utilizando (indebidamente) la tecnología.

El sentido común puede ayudarte mucho a determinar si un mensaje es genuino o no, pero a veces esto no alcanza. En caso de que por sentido común aún te quedes con la duda, en muchas ocasiones es mejor asumir lo peor. El phishing es otra actividad que se aprovecha de las víctimas que carecen de la suficiente información para distinguirla.

Mi intención en este blog no es convertir a las víctimas en expertos en leer encabezados de correo ni prepararlos para que den un curso corto sobre psicología criminal, sino suministrarles la información suficiente para que puedan hacerse a un lado cuando se crucen con algunas de las trampas preparadas para los incautos.

No se pierdan las próximas publicaciones, en las que ahondaremos en los 3 aspectos fundamentales de un mensaje de phishing y daremos consejos prácticos para evitarlos.

Autor David Harley, ESET

Síguenos