{"id":10889,"date":"2022-02-08T09:33:59","date_gmt":"2022-02-08T13:33:59","guid":{"rendered":"https:\/\/www.notaoficial.com\/s\/?p=10889"},"modified":"2022-02-13T09:37:18","modified_gmt":"2022-02-13T13:37:18","slug":"como-evitar-caer-en-el-engano-del-phishing-francisco-dagostino","status":"publish","type":"post","link":"https:\/\/www.notaoficial.com\/s\/2022\/02\/08\/como-evitar-caer-en-el-engano-del-phishing-francisco-dagostino\/","title":{"rendered":"C\u00f3mo evitar caer en el enga\u00f1o del phishing"},"content":{"rendered":"

Por Francisco D’Agostino<\/p>\n

Una encuesta sobre phishing realizada por ESET<\/a>, compa\u00f1\u00eda l\u00edder en detecci\u00f3n proactiva de amenazas, present\u00f3 a los participantes cuatro im\u00e1genes de phishing junto con mensajes reales y poco m\u00e1s del 60% no pudo identificarlas a todas correctamente.<\/p>\n

El cuestionario gratuito, llamado\u00a0ESET Phishing Derby<\/a>, fue organizado por el equipo de ESET en los Estados Unidos y est\u00e1 dise\u00f1ado para evaluar cu\u00e1n competentes somos para distinguir mensajes falsos de los reales. El sistema de puntuaci\u00f3n se basa en la velocidad y en diferenciar correctamente los mensajes, y el casi 40% de los participantes que identific\u00f3 correctamente las muestras incluye algunos que identificaron tres correctamente y en un tiempo s\u00faper r\u00e1pido. Francisco D’Agostino afirma que en realidad, es probable que el n\u00famero de usuarios que identific\u00f3 los cuatro correctamente sea menor.<\/p>\n

El cuestionario no fue dise\u00f1ado para generar estad\u00edsticas, fue dise\u00f1ado para crear conciencia y ayudar a educar a los participantes sobre c\u00f3mo identificar correos electr\u00f3nicos falsos. Curiosamente, los resultados muestran una marcada diferencia en la forma en que los participantes m\u00e1s j\u00f3venes, de entre 18 y 24 a\u00f1os, identificaron las muestras correctamente: 47%, en comparaci\u00f3n con solo el 28% de los mayores de 65 a\u00f1os. Las personas de entre 25 y 44 a\u00f1os alcanzaron el 45% y las personas de 45 a 64 a\u00f1os estaban en el 36%. En caso de que se pregunte sobre la validez de estos datos, el n\u00famero de total de participantes fue de 4.292 y los datos recopilados son un subproducto en lugar de un estudio acad\u00e9mico. Un resultado similar se present\u00f3 cuando ESET Canad\u00e1 realiz\u00f3 la misma encuesta a fines de 2020, con el 68% de los participantes que no logr\u00f3 identificar las cuatro muestras correctamente. Es caso que sea de inter\u00e9s se pueden realizar las pruebas \u00a0aqu\u00ed<\/a>\u00a0\u00a0o\u00a0\u00a0<\/u>aqu\u00ed<\/a>, ambas est\u00e1n en ingl\u00e9s.<\/p>\n

\u201cSe podr\u00eda pensar que con las continuas campa\u00f1as de concientizaci\u00f3n sobre temas de seguridad inform\u00e1tica que llevan adelante entidades financieras, compa\u00f1\u00edas de ciberseguridad, gobiernos y similares organizaciones este n\u00famero deber\u00eda ser menor, mucho menor, y podr\u00eda estar de acuerdo. Sin embargo, algunos correos electr\u00f3nicos de phishing que aterrizan en las bandejas de entrada est\u00e1n muy bien dise\u00f1ados y se ven y se sienten leg\u00edtimos, lo que hace que sea mucho m\u00e1s dif\u00edcil identificarlos como falsos. Este desaf\u00edo solo se volver\u00e1 m\u00e1s dif\u00edcil a medida que los ciberdelincuentes perfeccionen su arte\u201d, menciona Tony Anscombe, Evangelizador de Seguridad Inform\u00e1tica de ESET.<\/em><\/p>\n

Se identific\u00f3 un correo electr\u00f3nico que supuestamente era de American Express. El mensaje era una notificaci\u00f3n que indicaba que un intento de transacci\u00f3n sospechosa hab\u00eda sido bloqueado y solicitaba que se revisaran las transacciones recientes. A primera vista, el correo electr\u00f3nico parec\u00eda leg\u00edtimo; estaba bien escrito y ten\u00eda buenos gr\u00e1ficos. Sin embargo, algunas se\u00f1ales permiten determinar que el correo era falso. Para empezar, el hecho de que qui\u00e9n recibi\u00f3 el correo no contaba con una tarjeta American Express Business Platinum. Sin embargo, de tener una cuenta, es comprensible el por qu\u00e9 este mensaje logr\u00f3 el enga\u00f1o y se dio el siguiente paso: abrir el mensaje y posiblemente hacer clic en el enlace que incluye.<\/p>\n

Por Francisco D’Agostino<\/p>\n

El correo electr\u00f3nico est\u00e1 dise\u00f1ado para crear una reacci\u00f3n emocional, \u201coh no, hay fraude en mi cuenta, necesito arreglarlo inmediatamente, har\u00e9 clic\u201d. Adem\u00e1s, otro indicador de que este correo es falso es que el mensaje no es personalizado ya que comienza diciendo \u2018Estimado usuario de la tarjeta\u2019 y luego de la \u2018Cuenta que comienza con 37******\u2019. American Express sabe qui\u00e9nes son sus clientes y no se refiere a ellos gen\u00e9ricamente en las comunicaciones, sino que incluyen el nombre. Por otra parte, las compa\u00f1\u00edas de tarjetas de cr\u00e9dito normalmente usan los d\u00edgitos finales que son m\u00e1s espec\u00edficos de cada n\u00famero de cuenta y no los n\u00fameros con los que comienza la cuenta. Las tarjetas emitidas por American Express comienzan con un n\u00famero \u00b43\u00b4 y luego un \u20184\u2019 o \u20187\u2019, por lo que el n\u00famero utilizado en el correo electr\u00f3nico es gen\u00e9rico y v\u00e1lido para muchos titulares de tarjetas. Lo que muestra el amplio enfoque que emplean los ciberdelincuentes para atrapar a una v\u00edctima.<\/p>\n

Los recursos inform\u00e1ticos mejorados con los que disponen los ciberdelincuentes har\u00e1n que la detecci\u00f3n de estos enga\u00f1os sea cada vez m\u00e1s dif\u00edcil para los usuarios. Por ejemplo, la\u00a0posibilidad de rentar capacidad de procesamiento en la nube<\/a>, las cantidades masivas de informaci\u00f3n personal disponible como consecuencia de brechas de datos y, hasta cierto punto, la financiaci\u00f3n de los recientes ataques cibern\u00e9ticos exitosos que se reinvierten para hacer crecer a las organizaciones dedicadas al cibercrimen.<\/p>\n

A continuaci\u00f3n ESET comparte algunos consejos sobre c\u00f3mo identificar un correo electr\u00f3nico de phishing:<\/p>\n