Spear phishing: un ataque a tu medida

A veces, el phishing tiene objetivos muy concretos; los cibercriminales quieren atacar a una persona, grupo u organización específicos mediante correo electrónico. A este tipo de ataque, que va un paso más allá del phishing clásico, se le denomina spear phishing o phishing dirigido. Su objetivo eres tú.

Tras un estudio previo de la víctima, que marca la diferencia con el phishing tradicional, los atacantes suplantan a una fuente de confianza para obtener sus credenciales o infectar su equipo con malware. Para ello buscarán datos e información personal y profesional real, como hábitos diarios, gustos, planes… detalles minuciosos para tener más credibilidad. Así lograron engañar a una directiva de la Empresa Municipal de Transportes de Valencia (EMT) y robar 4 millones de euros, en uno de los mayores ataques tipo Fraude del CEO ocurridos en España.

¿Podría pasarte a ti? ¡Claro que sí! El Fraude del CEO es un ejemplo típico de spear phishing. En vez de enviar el mismo correo a millones de usuarios, pidiéndoles que hagan clic en un enlace para hacerse con sus datos, el fraude del CEO está personalizado, hecho a tu medida: saben que tu jefe ha salido de viaje y no está en la oficina. Aprovechan esa información para enviarte un email en su nombre, pidiéndote algo: pagar una factura urgente, hacer una transferencia, enviarle un informe confidencial… Todo muy urgente, solo tú puedes ayudarle, te pide ese favor. ¿Cómo negarte? ¿Se te ocurriría comprobar si es quien dice ser? Así funciona el fraude del CEO, con un superior impostor que te engaña para que hagas lo que te pide. Aquí puedes ver varios ejemplos.

El spear phishing va a por ti. Sigue estos consejos para evitar que te atrape:

Revisa el remitente del correo electrónico hasta el último detalle: ¿Es manoloo@mmoda.es, de la empresa Mi moda, quien te envía el mensaje, o el remitente debería ser manolo@mimoda.es? Fíjate en todos los campos del remitente (nombre, cargo si aparece, dirección de correo). Si hay pequeños cambios de orden en las letras, o bien un nombre o un dominio extraño en la dirección, elimínalo inmediatamente y no hagas nada de lo que pide.

No confíes en un mensaje, carta o llamada telefónica solo porque se dirijan a ti por tu nombre y apellidos o incluyan detalles personales. Hoy en día, que lo sepan todo de ti es motivo para sospechar, no para confiar.

No abras correos de desconocidos o con asuntos que no estés esperando: elimínalos. Recuerda que son el principal método de comunicación del phishing, aunque no el único, tal como explica esta guía.

Revisa los enlaces incluidos en el mensaje: verifica que www.bankia.es conduce a la web oficial de la entidad. Si ves un enlace como www.bankiä.es, sospecha, no conduce a la web auténtica. Si desconfías de una página web, analiza así su URL antes de acceder a ella o hacer clic.

Consulta con tus superiores: Si recibes un correo de un compañero o de un directivo pidiéndote que pagues una factura o realices una transferencia de forma urgente, detente y pregunta a tus superiores. Verifica si el nombre de la empresa, sus datos y la petición de pago/transferencia son correctos. “Perder” un poco de tiempo puede evitarte muchos problemas. No hagas caso de las peticiones urgentes, quieren que actúes con prisa para que no tengas tiempo de reflexionar. Antes de contestar o pagar, calma y precaución. La urgencia es una de las señales del phishing.

Extrema la precaución ante enlaces o archivos adjuntos: si dudas, mejor no hacer clic ni descargarlos.

A más vulnerabilidad, más cuidado: departamentos como Recursos Humanos o Administración están especialmente expuestos a ataques, debido a la gran cantidad de información confidencial que gestionan. Si trabajas en áreas críticas debes estar especialmente alerta.

¿Redacción extraña? Revisa las faltas de ortografía y la gramática, ya que pueden delatar un posible phishing. A veces estos ataques están traducidos automáticamente al español y hay pequeños errores o frases extrañas que los delatan, aunque no siempre es así; los malos aprenden rápido y la redacción va mejorando con las nuevas herramientas y la inteligencia artificial.

Infórmate sobre ataques: saber cómo pueden estafar a tu empresa es una buena manera de detectarlos a tiempo. Busca ejemplos de casos en Internet.

Todo. Siempre. Actualizado: con la prudencia humana no basta, las medidas técnicas son esenciales para evitar vulnerabilidades: ten actualizado el antivirus, navegador, extensiones, sistema operativo y todos los programas y aplicaciones que utilices. Revisa estos consejos básicos para la seguridad de tu equipo.

El correo corporativo es únicamente corporativo: no uses tus credenciales profesionales para cuentas privadas, por ejemplo, de Amazon, eBay, LinkedIn u otros servicios de uso personal. Limítate a usar esos datos en el ámbito profesional.

Navega con seguridad: el “candado” que aparece en la barra del navegador, te evitará conexiones fraudulentas. Aunque hay sitios maliciosos que pueden obtener este certificado de seguridad, saber diferenciar con este simple icono o eligiendo direcciones que empiecen por HTTPS te evitará caer en algunas trampas.

Usa contraseñas seguras, de al menos 12 caracteres, que combinen números y letras formando frases o reglas nemotécnicas. No uses ninguna palabra que pueda ser encontrada en un diccionario ni conceptos que tengan relación contigo, como nombres de familiares, fechas significativas, nombres de mascotas… Utiliza contraseñas diferentes para cada cuenta o servicio, no las compartas, cámbialas cada cierto tiempo y ten en cuenta estos consejos.

Desactivar otras funciones: desactivar la vista HTML o la vista previa puede evitar la ejecución de posible código malicioso entre el HTML. El uso de la vista previa comporta los mismos riesgos que abrir el correo malicioso.

Si recibes una llamada de teléfono sospechosa en la que te piden información, no reveles ningún dato, aunque no te parezca confidencial. Cuelga el teléfono y verifica la identidad de la persona que te llama. Este tipo de estafa se llama vishing y un caso habitual es la falsa llamada de Microsoft.

Sé prudente con la información que publicas en redes sociales. Nunca compartas datos sensibles como tu correo profesional o personal, la dirección de tu casa, número de teléfono, fechas de viajes o ausencias… cuanta más información publiques en las redes sociales, más pistas les das a los atacantes.

concienciaT más
Microcurso de seguridad en el correo electrónico
Guía de seguridad en el teletrabajo

Campaña Fortaleciendo la Ciberseguridad Industrial en la Comunitat Valenciana

campaña fortaleciendo la ciberseguridad industrial

CSIRT-CV comienza hoy una campaña de concienciación, dirigida a todas las empresas bajo el lema Fortaleciendo la Ciberseguridad Industrial en la Comunitat Valenciana. 

Durante las próximas dos semanas iremos lanzando algunas recomendaciones que podéis seguir en el apartado de campañas del portal concienciaT, donde se publicarán todos los consejos y materiales relacionados con la campaña una vez que esta finalice. Aquí puedes leer la noticia completa de la Conselleria de Hacienda y Modelo Económico.

Mientras tanto, recuerda que cada día se publicará un consejo a través de nuestras redes sociales en Facebook y Twitter. El hashtag de esta campaña es #CiberseguridadIndustrial y #EmpresasIndustriales

Esta campaña surge a raíz del estudio realizado por CSIRT-CV para valorar el nivel de madurez de las organizaciones de la Comunitat Valenciana en ciberseguridad industrial, cuyo resultado se presentó en la I Jornada de Ciberseguridad Industrial y que sirve para conocer el estado actual y establecer una estrategia a seguir público-privada en este campo.

La industria del futuro exige una transformación digital en todas las empresas. Es necesaria una reflexión global sobre la seguridad de la información y los métodos oportunos para identificar, monitorizar, gestionar y mitigar los posibles ciberataques.

En los tiempos que corren, la ciberseguridad es vital en cualquier empresa, independientemente del sector al que se dedique o del tamaño que posea, pero si una organización puede ver afectado su proceso productivo por un incidente de seguridad es primordial estar preparado y prevenido.

Entre tod@s podemos fortalecer la Ciberseguridad Industrial en la Comunitat Valenciana.

Publicación boletín mensual

Hoy hemos emitido un nuevo boletín mensual con muchos consejos sobre ciberseguridad.

Todos los suscriptores del boletín mensual del CSIRT-CV han recibido el último ejemplar en sus correos.

Si queréis ser de los primeros en recibir nuestra publicación, podéis suscribiros aquí o, si preferís leerlo en nuestra página podéis hacerlo desde este enlace.

Boletín de febrero 2023

Como cada mes, volvemos con un nuevo boletín en el que conoceremos más en detalle qué son las cookies y algunas sanciones a las que se han enfrentado grandes empresas por estas.

Con la entrada en vigor del Reglamento General de Protección de Datos, de 2016, todas las páginas webs que recaben información sobre la navegación de los usuarios han sido obligadas a informar de esto a través de las conocidas cookies. El incumplimiento de ello o la falta de detalles puede derivar en sanciones económicas, desde 2018. Así lo hemos podido ver en casos como el de la famosa red social TikTok que, según informa TechRadar, se enfrenta a una multa enorme por información insuficiente sobre las cookies. La multa asciende a un total de 5 millones de euros, como consecuencia de la dificultad que se detectó para rechazar el uso de cookies, considerando que la aceptación de estas era más sencilla.

Otro de los ejemplos más recientes y más comentado fue la sanción que aplicó la Agencia Española de Protección de Datos (AEPD), el pasado año 2022 al gigante Google LLC, por ceder datos a terceros sin legitimación y obstaculizar el derecho a la supresión, así lo informa la propia AEPD. El organismo español detectó dos infracciones graves e impuso una sanción que supone un total de 10 millones de euros, adecúe a la normativa de protección de datos personales la comunicación de datos al Proyecto Lumen y suprimir todos los datos personales que así hayan sido solicitados e instar a este último a hacerlo también.

Un estudio realizado por la empresa Avast concluye que el 60% de los españoles acepta las cookies sin tener conocimientos sobre ellas. Por todo ello, es importante que todo el mundo conozca qué son las cookies y cómo funcionan.

Se conocen como cookies a pequeños archivos de datos que se almacenan en los ordenadores de los usuarios cuando visitan páginas web. Estas pueden almacenar datos como credenciales de usuario o el comportamiento en la navegación por la página.

Como bien describen desde ayudaley, estos archivos tienen diversas funcionalidades. Una de las más importantes es que permiten a las páginas web reconocer a los usuarios y almacenar sus credenciales evitando que deban identificarse en cada acceso que realizan.

Otro de los usos más comunes de estos ficheros es recordar el comportamiento y los hábitos que tienen los usuarios en su navegación, permitiendo mejorar la experiencia de estos y adaptar los anuncios a las necesidades de estos.

Con el fin de facilitar la incorporación de las cookies a las páginas web, la AEPD, ha creado una guía de referencia en la que podemos identificar además los tipos de cookies que existen y ejemplos de aplicación de estas. Así pues, la AEPD divide las cookies en función de quién las gestione, que pueden ser propias o de terceros y, por otro lado, en función de su finalidad, que pueden ser técnicas, de preferencias o personalización, análisis o medición y de publicidad. Finalmente, la AEPD también las divide en función del tiempo que se mantienen, que pueden ser de sesión o persistentes.

Además, en esta guía, y con la finalidad de evitar que los organismos puedan ser sancionados, establece una ayuda sobre qué información deben facilitar las cookies. Para ello, y basándose en el artículo 22 de la ley LSSI, se define que estos archivos deben facilitar a los usuarios información clara y completa sobre la utilización de los dispositivos de almacenamiento y recuperación de datos y, en particular, sobre los fines del tratamiento de los datos.

Debemos tener en cuenta que toda esta información almacenada, puede ser vulnerada y aprovechada por atacantes cibernéticos también. Actualmente, existen diversos métodos para extraer estos archivos y obtener información como credenciales de usuario o datos personales.

Algunos de estos, los podemos identificar en el blog de esedsl, entre los que destacan:

      • Session sniffing: a través de un analizador de paquetes, los atacantes pueden extraer las cookies que forman parte del tráfico de red.
      • Redes Wifi: Con la conexión a redes públicas, se puede analizar el tráfico y robar cookies de los usuarios.
      • Session fixation: A través de técnicas como el phishing, se pueden enviar enlaces maliciosos y conocer el ID de sesión del usuario.

Incidentes ya visibles relacionados con ciberataques por cookies los hemos podido ver con la alerta de una campaña de phishing que obtiene las cookies de sesión para lanzar un ataque BEC con el que robar dinero, así lo informa el periódico europapress. Para ello, los atacantes establecieron un punto medio entre el usuario y el servidor destino y pudieron interceptar el inicio de sesión del usuario, con el que extrajeron además la cookie. Con esta, los atacantes pueden replicar el inicio de sesión.

Finalmente, os dejamos una serie de recomendaciones descritas por esedsl:

      • Cerrar sesión de todos los sitios web
      • Eliminar cookies de navegación
      • Mantener los sistemas actualizados.
      • No acceder a enlaces desconocidos.