A estas alturas de siglo, pocas personas conectadas a Internet quedan en el mundo que no hayan recibido el típico email de dudosa procedencia y contenidos similares:
- «Ha habido un problema con su paquete … «
- «Hemos bloqueado su tarjeta de crédito … «
- «Ha habido un problema de seguridad con su cuenta bancaria … «
- «¡Urgente! Si no realiza esta acción de forma inmediata perderá sus correos … «
- «Hemos hackeado su cuenta y pedimos un rescate …«
Aunque los usuarios de Internet estamos mejor educados cada día, las organizaciones criminales que envían estos correos no dejan de mejorar sus técnicas. Los correos cada vez parecen más legítimos, y si pinchamos en algún enlace nos enfrentamos a riesgos como el robo de credenciales y la extorsión.
En esta entrada aprenderás cómo protegerte del Phishing de la forma más eficaz y sencilla. No hay que utilizar ningún programa ni conocimiento avanzado. El único requisito es que leas esto.
No hay soluciones técnicas para un problema de Ingeniería Social
El Phishing (como cualquier otro timo) está basado en una sencilla premisa: En general, los seres humanos somos bastante crédulos, no solemos pensar mal de los demás y nos gusta ayudar. Somos animales hipersociales, lo llevamos en el ADN. Esta capacidad de confianza es lo que nos ha permitido colaborar y llegar a donde estamos hoy como especie, para bien o para mal.
Sin embargo. Esta confianza innata quiere decir que todos somos susceptibles de ser engañados tarde o temprano. Esto también lo llevamos en el ADN, por desgracia.
Muchos blogs y manuales publican guías interminables para defenderse de este tipo de ataques, pero atacan desde un punto de vista tecnológico un problema que es esencialmente humano. Estas guías nos piden cosas como :
- Comprobar si las cabeceras del correo no son sospechosas – La mayoría de estas cabeceras son fácilmente falsificables. Además, comprobarlas requiere de mucha atención que puede fallar si un día no te tomas tu café de las 9:00, por ejemplo ☕
- Comprobar si la web a la que accedes desde el correo tiene certificado SSL (el candadito) – Esto ya es cosa del pasado. Las webs de Phishing son calcos 100% perfectos de las webs oficiales. Ademaś, si has pinchado en cualquier enlace de correo de Phishing, hay que considerar que ya estás infectado.
En resumen: El Phising es una técnica de Ingeniería Social, y por lo tanto tiene que ser solucionada desde el ámbito social.
El Método RNCV
No, no me he convertido en un autor de libros de autoayuda. RNCV es una abreviatura ( a los informáticos nos encantan ? ) para que recuerdes las cuatro simples acciones que debes realizar ante un email sospechoso de ser Phising.
- Relájate
- No respondas
- Comunica
- Verifica
Vamos a imaginarnos que nos llega el siguiente de mensaje a nuestro buzón:
De: ceo@miempresa.com Asunto: Urgente ! Hola Adri, Estoy en mitad de una reunión enseñando una demo a unos clientes y acaba de fallar todo. Necesito las credenciales para entrar al panel de Administración o perderemos la venta !!!! --- CEO
Este tipo de mensaje, por absurdo que te pueda parecer, funciona de maravilla en empresas grandes. Basta con que 1 empleado de 100 con permisos de acceso responda para comprometer todo un sistema.
Relájate (¡Respira!)
Intentar ponerte de los nervios es una técnica básica de manipulación social. Bajo los efectos del stress, nuestro CI baja y somos más susceptibles de hacer cosas absurdas. Antes de hacer nada de lo que te puedas arrepentir, intenta respirar profundamente. Da igual como lo hagas, aunque yo personalmente uso la Respiración Táctica de los SEAL:
- Toma aire despacio durante 4 segundos.
- Mantenlo dentro durante 4 segundos.
- Suéltalo despacio durante 4 segundos.
- Repítelo 3 veces.
Al relajarnos, dejaremos de trabajar en automático y tendremos algo de espacio para pensar de verdad en el problema.
Incluso si la urgencia es verdadera, la podrás solucionar mucho mejor si estás relajado.
No respondas
La siguiente técnica que van a utilizar contigo es intentar que les respondas inmediatamente para así poder monopolizar la conversación y evitar que te comuniques con terceras personas. Una vez te tengan en su red, es difícil escapar:
- Intenta no abrir el correo.
- Si abres el correo, no pinches ningún enlace.
- No utilices ningún email o teléfono que te proporcionen
- Si el intento de Phishing es por teléfono, pon al llamador en espera mientras realizas la siguiente acción del método RNCV.
El correo o la persona al teléfono intentarán por todos los medios que no llames a nadie con autoridad. Lo harán indirectamente mediante prisas o directamente con amenazas.
No cedas ante amenazas de ningún tipo, evita comunicarte de forma inmediata con el posible atacante.
Comunica
¡Esta es la acción clave!. Ponte en contacto inmediatamente con cualquier persona relacionada con este problema y hazle saber lo que está ocurriendo. Casi ningún intento de Phishing resiste la participación de varias personas. Siempre hay alguna que duda y al final se descubre el pastel.
El problema es que por condicionamiento o timidez no queremos ser pesad@s o causantes de problemas. Sin embargo, por no causar problemas podemos sufrir problemas de verdad. Somos Homo Sapiens y la forma más efectiva de resolver estos problemas es en grupo.
Es vital para la Seguridad Informática (tanto personal, como empresarial) que nadie se sienta mal, ni sea objeto de burlas por pedir ayuda en estos casos. La toxicidad social es el caldo de cultivo para este tipo de ataques y facilita que los atacantes puedan aislar a sus víctimas.
¡No te calles!. Si la urgencia es verdadera, mejor solucionarla en equipo. Si no tienes nadie con quien hablar, puedes contactar con nosotros sin problema.
Verifica
Los humanos somos confiados por naturaleza. Y aunque cierto nivel de desconfianza nos puede proteger, llevarlo al extremo de la paranoia tiene efectos nocivos para nuestra salud. La mejor actitud que podemos tener para nuestra seguridad es una sana curiosidad. Como diría el proverbio Ruso: “Confía, pero verifica”.
Hay mucha manera de verificar que la información que te llega es correcta. Pero lo importante es que la verificación siempre la hagas por otro canal y mediante otras personas.
Por ejemplo:
- Si te llega un email extraño de tu banco. Busca el número de teléfono del banco en Google y llámalos para contarles el problema. Jamás uses los números de teléfono que te ponen en el email sospechoso.
- Si te llega un email extraño de alguien de tu empresa, llámalos directamente o llama a alguien que los conozca.
- Si te llaman por teléfono pidiendo información sensible, cuelga y busca el teléfono de quien te ha llamado por otras vías. Si estás en un entorno empresarial, llama a tu superior directo y comunícale este hecho. Si estás en un entorno personal, habla con tu familia o amigos.
Conclusión
Los ataques a la seguridad e integridad de las personas y empresas son cada vez más sofisticados y peligrosos. Atrás quedaron los tiempos de los hackers amateurs que se dedicaban a hacer travesuras por placer. Cada vez hay más incidentes de seguridad relacionados con el crimen organizado y operaciones estatales encubiertas ( o totalmente descubiertas, en el caso de Rusia ? ).
Aunque estos grupos son técnicamente muy sofisticados, su principal modus operandi son las técnicas de Ingeniería Social que hemos visto en esta entrada. El último ataque sufrido por Twitter precisamente comenzó con un Phising. Estas técnicas son tan antiguas como la Humanidad misma, y la única forma de superarlas son mediante nuestra curiosidad natural y habilidad para trabajar en equipo.
Recuerda: En Seguridad Informática, las personas son a la vez el eslabón más débil y el más fuerte de toda la cadena.