El artículo de hoy es diferente. La historia que vas a leer es real, y el protagonista podrías ser tú, yo o cualquier usuario que utiliza su correo electrónico.
Nuestra protagonista se llama Marta, y por desgracia, ha perdido 6000€ al ser víctima de un ataque de phishing. Antes de contarte la historia, déjame explicarte de manera muy sencilla qué es y cómo actúa esta trampa cibernética.
¿Qué es un ataque de phishing?
La palabra phishing deriva de la palabra inglesa fishing que significa pescar. El término en este caso no se refiere a la pesca de peces, si no de datos personales muy sensibles. Por ejemplo, los números de cuenta bancaria, tarjetas de crédito y contraseñas. Este tipo de ataques son muy frecuentes en pequeñas y medianas empresas. Su procedimiento es sencillo y se pueden dar dos escenarios de entrada:
- Recibimos un correo electrónico pidiéndonos realizar una acción. Si lo hacemos, nos «pescan» los datos.
- La web corporativa es atacada y es utilizada como base para enviar e-mails de phishing a nuestros clientes. Si lo consiguen, tu web se convierte en la «caña» del pescador.
Si llevas unos años en internet, te sonará la mítica estafa del príncipe nigeriano…
«El Príncipe Nigeriano te ha dejado en herencia 200 000 dólares. Para cobrarla tendrás que hacer un aporte de 300 dólares para cubrir los gastos de envío y de traspaso»
A día de hoy, pocas personas caerían en este tipo de trampa. Pero la que os contaremos a continuación está mucho más elaborada.
Perder 6000€ es más fácil de lo que piensas
Marta es la gerente de una pequeña empresa en la ciudad de Girona. Al ser una estructura familiar, ella misma es quien realiza los pagos a clientes y proveedores. De esta manera, tiene en todo momento el control de la tesorería. Es una tarea delicada y prefiere hacerlo ella misma.
Un día, recibe un correo de su proveedor de e-mail (Gmail, Hotmail o similar) diciéndole que su contraseña había sido expuesta públicamente, y que debería cambiarla de inmediato para garantizar su seguridad. El correo tenía toda la estética de un e-mail oficial (logotipos, tipo de letra, forma del mensaje, color de los botones…) y se fió. Hizo clic y cambió su contraseña.
A estas alturas, el hacker ya tiene su contraseña de correo electrónico y accede a su bandeja de entrada con total libertad.
Después de investigar, detecta un correo electrónico legítimo pendiente por leer de un proveedor. Este le solicita el pago de 6000€, y el mismo e-mail, le indica el número de cuenta donde hacer la transferencia. Esta situación es habitual en muchas pymes, pero…
¿Qué hace el hacker?
Abre el correo del proveedor, lo edita y modifica el número de cuenta. Lo coloca de nuevo en la bandeja de entrada y lo marca como «no leído».
Al día siguiente, Marta accede a su correo y empieza a contestar los correos pendientes. Entre ellos, está hacer el pago de 6000€ a Juan, que es el dueño de la empresa de transportes que envía los productos a los clientes de Marta. La factura es el pago mensual de su servicio. Y ahora viene la secuencia y el desenlace final de la historia:
- Marta hace la transferencia con total normalidad, pero al día siguiente…
- Juan le escribe reclamando (de nuevo) el pago.
- Ella le confirma que está procesado, pero él no ha recibido nada.
- Al comprobar los números de cuenta… sorpresa, no coinciden.
Marta ha enviado 6000€ al número de cuenta del hacker de manera voluntaria, lo que complica mucho su recuperación.
Detectada la estafa, Marta nos avisa y nos cuenta lo ocurrido. Le indicamos que cambie la contraseña de su correo electrónico de inmediato, siempre a través de la web oficial del proveedor. De esta manera, el hacker deja de tener acceso a su número de cuenta.
El siguiente paso, es notificar la incidencia al banco y a la policía.
¿Como podemos detectar un ataque de phishing?
A pesar de que Marta disponía de un antivirus legal y actualizado, este no detectó la fraudulencia del correo electrónico.
Este es uno de los motivos por los cuales en iMàtica insistimos tanto en lo importante que es formar al equipo en materia de ciberseguridad. Una plantilla que dispone de conocimientos básicos de seguridad podrá detectar a tiempo y evitar ataques de esta índole.
Vamos a ver el decálogo de buenas prácticas para detectar una estafa digital:
1. Antivirus instalado y actualizado
Que disponga del módulo de antiphising para correo electrónico y páginas web.
2. Sistema operativo legal y actualizado
La falta de actualizaciones son agujeros de entrada para todo tipo de ataques.
3. Activa la verificación de dos pasos
Siempre que sea posible en todos tus servicios online. Es una de las mejores maneras para prevenir la intrusión ajena a tu correo.
4. Adopta una actitud de desconfianza
Ante todo mensaje que te pida contraseñas o datos bancarios (a menudo con urgencia o cuentas atrás). Muchos provienen de grandes y conocidos servicios de compra o pagos online como eBay, PayPal, Amazon o entidades bancarias. Estos suelen ser los grandes preferidos de los atacantes…
5. No hagas clic en los enlaces
Sin antes situar el ratón encima y ver la URL exacta y verificar su legitimidad. Un correo electrónico puede parecer legítimo con sus logotipos y colores idénticos a la marca original, pero contener botones que llevan a otros dominios. Además, desconfía de los acortadores de enlaces ya que no sabes donde pueden dirigirte.
6. Verifica la validez del certificado SSL
En todas las webs donde introduzcas una contraseña o realices una compra.
7. Comprueba el aviso legal y política de privacidad
En la parte inferior de una web para ver la legitimidad de la propiedad.
Tal y como pone de manifiesto esta historia real, la combinación de formación y la protección mediante software son esenciales.
Si tienes una empresa y necesitas asesoramiento en materia de ciberseguridad, contacta con nosotros y te ayudaremos.