El phishing, o suplantación de identidad, es una de las técnicas más utilizadas por los cibercriminales para obtener, de manera fraudulenta, información confidencial como contraseñas o credenciales para ingresar a cuentas bancarias.
El phishing se vale de diferentes engaños para lograr que la víctima haga clic en un link malicioso y así comience a entregar por su propia cuenta información clave que luego será utilizada para vulnerar sus cuentas.
Según un informe de Kaspersky Lab en el último año hubo un incremento del 115% en los ataques de phishing. Y la tendencia sigue en aumento. Según una investigación realizada por Google y la Universidad de Florida, estos ciberataques son muy exitosos porque se valen de la forma en que funciona el cerebro humano.
“Todos somos susceptibles de ser víctimas de phishing porque este tipo de engaña se basa en la forma en que nuestro cerebro tomas decisiones , dijo Daniela Oliveira, profesora asociada de la Universidad de Florida, durante la famosa conferencia de seguridad Black Hat, que se llevó a cabo la semana pasada en Las Vegas.
El primer punto para destacar es que la gente no suele estar consciente de qué se trata el phishing. Según una encuesta difundida por los investigadores, el 45% de los usuarios no saben de qué se trata este asunto.
O sea que el primer obstáculo por superar para combatir esta forma de engaño es la falta de conocimiento. Y el segundo punto para analizar es que se basa en engaños que van directo al modo en que opera el cerebro.
El estado de ánimo es clave: la gente que se siente feliz y no está bajo los efectos del estrés son más susceptibles a los engaños. ¿Por qué? Porque tiene menor cantidad de cortisol, una hormona vinculada al estrés, que aumenta la sensación de alerta y hace que la persona sea más capaz de detectar engaños o situaciones riesgosas.
La serotonina y la dopamina, dos hormonas vinculadas a los pensamientos positivos, hace a las personas estar menos alerta y, por lo tanto, más vulnerables a los engaños.
Cómo son las técnicas de phishing
Los ciberdelincuentes suelen ser muy buenos para engañar a los usuarios. Suelen enviar mails o mensajes con enlaces que supuestamente llevan a portales con ofertas muy atractivas, con promesas de descuentos en algún sitio de eCommerce.
A veces mandan correos como si fueran un banco, una empresa de servicios o lo que fuera que al usuario le hace creer que es legítimo. Este correo llega con un enlace a un sitio donde se le pide al usuario que verifique su contraseña. Otras veces tiene un adjunto que el usuario descarga, y así comienza la pesadilla.
Para ser más efectivos, los ciberdelincuentes saben que tienen que apelar a la emoción. Así fue que luego de los incendios que afectaron a California en 2018, se notó un incremento de correos pidiendo donaciones para las víctimas. Muchos de ellos eran engaños que, sabiendo que los usuarios estarían con “la guardia baja”, preocupados por ayudar a las víctimas de los incendios no se preocuparon por dudar de la veracidad de los correos,según se publicó en un artículo del MIT Technology Review.
Cómo protegerse
Además de estar alerta y evitar hacer clic en cualquier link que llegue por correo o mensajes, aún cuando venga de usuarios conocidos, lo más recomendable es activar el factor de doble autenticación que está disponible en la mayoría de los sitios más conocidos como Gmail, Twitter, Instagram o Facebook, solo por nombrar algunas opciones.
Cuando se habilita esta opción, desde el menú de configuración, el usuario debe especificar cuál será ese segundo factor de autenticación: puede ser una llave física, un app como Google Authenticator o un SMS que llegará al celular. Así, aún cuando el ciberdelincuente obtenga la contraseña, no podrá ingresar a la cuenta a menos que provea ese segundo factor de autenticación que será un dispositivo USB (las llaves físicas de seguridad) o un código que llegará al usuario, como se mencionó anteriormente, por mensaje, a través de una app.