Saltar al contenido

Protegerse del phishing en el móvil

Hace varias décadas, cuando el público llevaba a la web en masa para experimentar los beneficios de la interconexión, los ataques cibernéticos eran prácticamente desconocidos. Sin embargo, las cosas cambiaron pronto.

Los primeros que adoptaron la web pronto se dieron cuenta de que el mundo en línea les daba algo que les faltaba fuera de línea: el anonimato. Mientras que en muchos aspectos esto fue visto como algo positivo, un puñado de usuarios adoptó un enfoque más cínico.

Los actores maliciosos aprendieron que mediante el empleo de algunas técnicas relativamente simples era posible hacerse pasar por terceros, reunir información de inteligencia y ganar un dinero rápido en el proceso. El phishing en Internet nació. Pero aún así, la pregunta de “qué es phishing” sigue en pie.

 

¿Qué es el phishing?

Cuando surge el tema de la suplantación de identidad (phishing), muchos buscan definir el phishing, para entender todo acerca de la suplantación de identidad (phishing) y los problemas que puede plantear. El phishing es una técnica de ataque simple pero eficaz, que puede proporcionar a los autores una gran cantidad de información personal y corporativa. El objetivo y la mecánica precisa del ataque pueden variar, pero normalmente se centran en solicitar datos personales a la víctima o en conseguir que instale software malicioso que pueda dañar su dispositivo.

¿Por qué son tan peligrosos los ataques de phishing? Bueno, explotan la parte más vulnerable de una organización: sus empleados. Se puede decir que los empleados son el mejor activo de una empresa, pero cuando se trata de mantener la seguridad de los datos se duplican como su mayor amenaza para la seguridad.

Incluso los miembros más vigilantes del equipo responden a campañas de phishing inteligentemente dirigidas, hacen clic en archivos plagados de malware y abren archivos adjuntos de “colegas” sin pensarlo dos veces. El phishing no sólo es habitual, sino que también es la amenaza de ciberseguridad más perjudicial y de más alto perfil a la que se enfrentan las empresas en la actualidad, respaldada por investigaciones de Google, Black Hat y US Homeland Security.

¿Cómo se inicia un ataque de phishing?

El ataque en sí mismo suele comenzar con una forma de comunicación con una víctima desprevenida: un mensaje de texto, un correo electrónico o una comunicación in-app. El mensaje está diseñado para fomentar la interacción del usuario con una llamada a la acción tentadora. Tal vez la oportunidad de ganar un nuevo iPhone, un vale para unas vacaciones gratis o, más simplemente, la oportunidad de acceder a un servicio como PayPal o Facebook.

Con el fin de solicitar información personal de la víctima, el phisher a menudo los inducirá a una falsa sensación de seguridad al enviarlos a una página web de aspecto legítimo para rellenar sus datos. Esta información puede ser utilizada inmediatamente para obtener acceso al servicio a través del sitio oficial, o los datos pueden ser recolectados y vendidos a otros en la Red Oscura.

¿Por qué móvil?

La telefonía móvil es la nueva frontera de la ciberdelincuencia. Según Cloudmark, un enorme 48% de los ataques de phishing se producen en móviles y el número de ataques de phishing móvil se duplica cada año. De hecho, el phishing móvil está tan extendido que cada 20 segundos se lanza un nuevo ataque. Es decir, más de 4.000 ataques de phishing móvil al día.

Es ampliamente aceptado que la mayor parte del tráfico web ocurre ahora en el móvil. Por lo tanto, no resulta chocante que los hackers usen esto en su beneficio al crear sus ataques para una plataforma móvil. Los teléfonos móviles son un escenario fértil para los ataques de phishing por varias otras razones también. En primer lugar, es más fácil para un atacante explotar a una persona que explotar los sistemas operativos móviles relativamente robustos, especialmente en iOS.

Los dispositivos móviles tienen pantallas más pequeñas y presentan una serie de atajos visuales, lo que significa que detectar URLs sospechosas o remitentes maliciosos es mucho más difícil que en el escritorio. Los usuarios también son más distraídos y vulnerables en los dispositivos móviles debido a su naturaleza portátil e inherentemente personal.

Cómo se suplanta a los empleados con el phishing en el móvil

Smishing

Los sistemas de seguridad que apuntan a la arquitectura tradicional -por ejemplo, los de escritorio- suelen estar bien dotados de recursos y son robustos a la hora de defenderse de los ataques. Los mensajes de texto en el móvil tienden a ser un área olvidada en la estrategia de un CISO, y por lo tanto son una fuente lucrativa de phishing para los atacantes. También es muy fácil emular la información del remitente para que parezca que los mensajes se envían desde un servicio de confianza.

Este impacto se ve amplificado por la noción de que muy pocas personas conocen el número de teléfono de su ISP, proveedor bancario o cuenta de almacenamiento en nube, lo que significa que la inspección de la dirección del remitente es poco probable que despierte sospechas. Con el phishing de SMS (también conocido como’smishing’), si un mensaje parece provenir de Microsoft, para la mayoría de la gente hay pocas razones para sospechar lo contrario.

Las víctimas son dirigidas a una página de aterrizaje falsa, diseñada para obtener credenciales de usuario. Una vez más, con poca o ninguna protección de red y la mayoría de las soluciones de seguridad móvil que sólo se centran en compromisos con el punto final, existe una protección efectiva cero contra este tipo de ataques en la mayoría de las empresas, especialmente cuando los usuarios visitan estas páginas de phishing a través de WiFi público o a través de conexiones de datos móviles.

Qué es la suplantación de identidad (phishing)

Whishing y otras aplicaciones de mensajería

No es sólo a través de los SMS que los phishers pueden alcanzar sus objetivos con enlaces subrepticios. WhatsApp es otro poderoso canal para distribuir ataques de phishing, ya que los hackers pueden crear perfiles disfrazados para que parezcan remitentes legítimos.

Una vez más, como la mayoría de la gente no está familiarizada con las cuentas oficiales de varias marcas, los perfiles con un nombre y un logotipo que suenan legítimos son mucho más convincentes que un correo electrónico de una dirección desconocida. El auge de la suplantación de identidad (phishing) de WhatsApp, o’whishing’, ha visto un crecimiento en las campañas que ofrecen ofertas promocionales, a menudo pretendiendo ser de marcas conocidas como McDonalds, Nike o cadenas de supermercados.

En algunos casos, estos ataques estarán más enfocados y en su lugar se utilizarán en la metodología de “spear phishing”. Estos ataques implican la suplantación de la personalidad de un individuo conocido, que con un poco de investigación rápida en Internet puede ser fácilmente imitado para construir un sentido de confianza en el objetivo – de nuevo explotado con el fin de extraer datos de la víctima.

Qué es la suplantación de identidad (phishing)

Lo preocupante es que estos ataques están en todas partes. WhatsApp no tiene nada de malo, por lo que bloquear el acceso simplemente mueve el problema, en lugar de resolverlo. Y lo que es más importante, no son sólo los SMS y WhatsApp los que aparecen en el kit de herramientas del phisher móvil. Con literalmente miles de aplicaciones de mensajería para elegir, los ataques de phishing pueden ocurrir en casi cualquier lugar.

La investigación en Wandera descubrió instancias de empleados que navegaban a URLs de phishing a través de aplicaciones de citas como Tinder y Happn. De hecho, el análisis de la actividad de phishing en miles de dispositivos de empleados sugiere que más del 5% de todos los ataques de phishing móvil con éxito tienen lugar en aplicaciones de citas.

Se han observado ataques de phishing en prácticamente todas las formas de comunicación en dispositivos móviles, incluidos Skype, QQ, WeChat, Viber y Kik. Claramente este es un problema a escala que no puede ser resuelto a través del bloqueo de ciertas aplicaciones, o a través de controles centrados en aplicaciones.

Qué es la suplantación de identidad (phishing)

Protegiendo su flota

No importa cuánto intentes educarte a ti mismo y a tu equipo, es inevitable que algunos intentos se escapen de la red. Sin embargo, no se preocupe, no todo es pesimismo. La única forma en que el atacante puede extraer sus datos es si son capaces de comunicarse con su dispositivo.

Para estar por delante del atacante es imperativo contar con una solución de seguridad capaz de interceptar el tráfico hacia los sitios de phishing, deteniendo la amenaza en su origen. Cómo proteger su flota de dispositivos La tecnología de prevención y detección de amenazas móviles de Wandera supervisa y bloquea el tráfico en tránsito, bloqueando los ataques de phishing dondequiera que se originen, incluso en SMS, correo electrónico, aplicaciones y en el navegador.

A diferencia de las soluciones centradas en aplicaciones, no tiene que estar abierto en el dispositivo y no depende de las actualizaciones para mantener a los usuarios a salvo de las amenazas más recientes. Esperamos haber respondido a la pregunta “qué es el phishing”.