Los ataques de phishing tienen que ver tanto con la manipulación del comportamiento humano como con la tecnología. Esta afirmación resume por qué es tan difícil prevenir las campañas de phishing que dan lugar a ransomware, robo de credenciales y otros ciberataques.

Allá por los años 70, hubo una campaña contra la conducción bajo los efectos del alcohol con el lema «Piensa, antes de beber, antes de conducir». Fue una campaña eficaz, que ayudó a reducir los accidentes de tráfico relacionados con la bebida en el Reino Unido. Hacer que la gente «piense» antes de actuar no es tan fácil como parece. De hecho, es en no pensar y tener una reacción instintiva ante un correo electrónico en lo que se basan las campañas de phishing. El phishing es un asunto serio y un informe reciente revela que el 95% de los responsables de TI creen que los datos corren peligro por el canal del correo electrónico.  

Así pues, ¿cómo puede la empresa media aspirar a tener tanto éxito como la campaña contra el alcohol al volante de los años 70 cuando se trata de contrarrestar los trucos bajo la manga de un ciberdelincuente?

Los ataques de phishing y el comportamiento humano

Esta dificultad en la prevención se refleja en el éxito de los ataques de phishing: En la prepandemia de 2019, las estadísticas de phishing eran espantosas, y la aseguradora Beazley constató un aumento del 105% de los ataques de ransomware en el primer trimestre de 2019. Pero en 2020 los ataques de phishing se dispararon. El FBI publicó un informe que mostraba que el phishing era, con diferencia, el más frecuente de los delitos denunciados a su sección de denuncias, el IC3. Una de las fuerzas impulsoras del éxito del phishing durante los últimos 12 meses ha sido la pandemia de Covid-19, que proporcionó oportunidades en abundancia para que los phishers explotaran el comportamiento humano: esto se evidencia en un asombroso aumento del 30.000 % en las amenazas basadas en Covid-19 durante 2020; la mayoría de estos ataques utilizaron sitios web maliciosos y correos electrónicos de phishing.

El phishing (y sus variantes, Vishing/Smishing/Pharming) es un vector de ataque frecuente porque la técnica funciona. Funciona porque utiliza el comportamiento humano natural para llevar a cabo una acción que beneficia al ciberdelincuente que está detrás del ataque. Ser capaz de manipular a una persona legítima para que realice una acción ilegítima es el sello distintivo de la estafa, incluso antes de la llegada de las tecnologías modernas. Pero la tecnología puede embaucar incluso a los usuarios más expertos, ya que los patrones de uso de la tecnología se «codifican» a medida que nos familiarizamos con un sistema.  

El correo electrónico, por ejemplo, es una tecnología cotidiana que utilizamos continuamente. En 2020 se enviaron y recibieron 306,4 millones de correos electrónicos al día. Abrir un correo electrónico y hacer clic en un enlace es casi una segunda naturaleza, un comportamiento reflejo de una tarea habitual. Es en esta repetitividad, y en la falta de reflexión necesaria para la acción, en lo que se centra el phisher.

5 Características típicas del phishing

Los ataques de phishing quieren sorprender a la gente antes de que piense demasiado. Para ello, las campañas deben garantizar que se cumplen determinados criterios y que se optimizan las circunstancias:

  1. Fuente de confianza: Una forma de eliminar el proceso de pensamiento es hacer que el destinatario del correo electrónico se sienta seguro. Las campañas de phishing suelen hacerse pasar por marcas conocidas. En un estudio sobre las marcas que utilizan los phishers, Microsoft aparece repetidamente en primer lugar como una de las marcas favoritas de los phishers para suplantar. Otras marcas suplantadas son Netflix y PayPal.
  2. El señuelo del clic: Aunque el 79% de las personas afirman que pueden reconocer un correo electrónico de phishing, casi la mitad seguirán haciendo clic en un enlace de un correo sospechoso. Es probable que las razones de este comportamiento se deban a la formación implícita a la que todos hemos sido sometidos para utilizar contenidos preparados para Internet. Hacer clic es casi una respuesta pavloviana cuando un correo electrónico contiene un enlace. Los diseñadores de experiencia de usuario (UX ) han utilizado este tipo de condicionamiento para ayudar a la gente a utilizar la tecnología con más facilidad; los ciberdelincuentes utilizan la misma manipulación psicológica para conseguir que hagamos clic en un enlace de phishing para iniciar la siguiente fase del phishing.
  3. Dirigir por tareas: Mantener el correo electrónico centrado en una tarea sencilla ayuda a eliminar el proceso de pensamiento. Las tareas repetitivas y reconocidas, como el restablecimiento de contraseñas, son las favoritas de los phishers. Esto permite hacer ese importantísimo «clic» sin pensar demasiado en las posibles consecuencias. Si la tarea está relacionada con el trabajo, es más probable que se haga el clic y se inicie el acto de phishing.
  4. La urgencia: A menudo, los correos electrónicos de phishing contendrán algún tipo de conductor para impulsar el comportamiento de clic automático. Estos impulsores suelen ser la amenaza de una medida disciplinaria o la preocupación suscitada por una acción, como el pago de una factura. Algunas campañas de phishing son muy selectivas (Spear phishing). Estas campañas suelen hacerse pasar por un director general; a continuación, el falso director general envía un correo electrónico al departamento de contabilidad con una solicitud urgente para transferir dinero a una cuenta bancaria. La cuenta es, por supuesto, propiedad de un estafador.   
  5. Exceso de trabajo: Un estudio sobre hospitales objetivo de campañas de phishing concluyó que el personal con exceso de trabajo era más propenso a hacer clic en un enlace de phishing. Si no tiene tiempo para pensar, recurrirá por defecto a la respuesta automática.

Una nota sobre los ataques de spear phishing. Este tipo de phishing requiere un nivel de reconocimiento más profundo para enviar correos electrónicos de phishing más convincentes al objetivo. Este nivel de detalle hace que los correos electrónicos de spear phishing sean aún más difíciles de detectar para los empleados. En consecuencia, los ataques de correo electrónico de spear-phishing aumentaron un 667% durante la pandemia de Covid-19.

Cómo hacer que un empleado haga clic en un enlace de phishing

Los ciberdelincuentes son maestros a la hora de crear las condiciones para que una campaña de phishing tenga éxito. Utilizan todos los trucos para hacer que un usuario haga clic, como falsificaciones de marcas de confianza, para convertirlo en un cebo fácil. Un ejemplo de ello fue una artimaña de phishing de Office 365 en 2020. Tenía todos los elementos que manipulan a los usuarios para que hagan clic antes de pensar:

  • Se enviaron a los empleados correos electrónicos falsos con la apariencia de Microsoft Office 365. 
  • El correo electrónico tenía el título «Formación COVID-19 para empleados: Un certificado para lugares de trabajo saludables«. Se animaba a los empleados a que actuaran en el correo electrónico por motivos de trabajo.
  • Se pedía a los destinatarios del correo electrónico que hicieran clic en un enlace del mensaje que les llevaba a una página de inicio de sesión falsa de Office 365: la página parecía idéntica a una página real de Office 365.
  • Se pedía al usuario que introdujera sus credenciales de Office 365 para iniciar sesión y recibir el certificado. Si lo hacían, esas credenciales eran robadas y luego utilizadas para iniciar sesión en el portal real de Office 365.

Cómo impedir que un empleado haga clic en un enlace de phishing

La prevención de los comportamientos «hard-coded» requiere una formación de sensibilización especializada. Los tecnólogos han diseñado los sistemas para que sean fáciles de usar y para que hacer clic sea una acción sencilla, esta respuesta de clic automático debe romperse para evitar el éxito del phishing. Al proporcionar una prueba de phishing controlada y bien pensada, una organización puede ayudar a cambiar el comportamiento del que dependen los ciberdelincuentes. Las pruebas de phishing simuladas crean un entorno seguro para formar a los usuarios sobre las formas sutiles en que los phishers manipulan su comportamiento, de modo que puedan estar atentos a esos trucos. Como parte de un programa más amplio de concienciación sobre la seguridad, la simulación de phishing es eficaz para evitar el éxito del phishing que da lugar al robo de credenciales, la exposición de datos y la infección por ransomware.  

La guía definitiva sobre el phishing