Cada mes, los lectores comparten con nosotros tendencias y estadísticas relacionadas a diversos temas de Seguridad de la Información que planteamos a través de las encuestas que realizamos en ESET Latinoamérica. En diciembre, el tema planteado fue el phishing y las distintas aristas que conforman este tópico como la reacción de los usuarios frente a estos ataques y las diferentes modalidades que utilizan los atacantes para conseguir nuevas víctimas.

En esta línea, pudimos determinar cuáles son las empresas o servicios que más suplantan los cibercriminales para obtener información sensible de las personas. Frente a esta interrogante, un 46% de los encuestados afirmó haber recibido un mensaje fraudulento que afirmaba provenir de servicios de correo electrónico como Yahoo!, Microsoft y Gmail. Le siguen las redes sociales con un 45%, los bancos 44% y tiendas en línea 37%. Otras empresas y los juegos para computadoras quedan relevados a las últimas posiciones con 27% y 25% respectivamente. A continuación se muestra un gráfico con los porcentajes mencionados anteriormente:

¿De parte de qué entidades recibió los correos de phishing?

Que los servicios gratuitos de correo electrónico (webmail) sean los servicios más suplantados por los ciberdelincuentes no resulta sorprendente. A través de la obtención de credenciales de acceso de las víctimas, los atacantes pueden acceder a información sensible como datos bancarios, contactos, entre otros. Algo similar sucede con las populares redes sociales y por otro lado, se puede observar que los bancos aunque “blancos clásicos”, continúan siendo ampliamente utilizados como entidades suplantadas por cibercriminales.

Considerando que estos ataques han ido evolucionando con el tiempo para incluir casos de phishing con geolocalización que afectaban a usuarios brasileños, la modalidad de phishing con interacción telefónica para usuarios mexicanos, y la inclusión de nuevos medios para propagar estos fraudes, los servicios webmail (74%) y redes sociales (35%) lideran este ranking como los canales más utilizados para obtener nuevas víctimas. Le siguen cuentas de correo electrónico configuradas en Outlook (generalmente corporativas) con 29%, mensajes de texto vía celular (SMS) con 21%, e infección por un código malicioso 14%. Con el aumento de las ventas de teléfonos inteligentes, es posible que los cibercriminales utilicen en un futuro esta tecnología para propagar más ataques de phishing. Por otro lado, es importante destacar que hemos detectado casos de malware que una vez instalados, modifican el archivo hosts del sistema (pharming local) para redirigir al usuario hacia sitios de phishing cuando intentan ingresar a determinadas direcciones (URL).

Con respecto la información más solicitada por los cibercriminales, los usuarios y contraseñas encabezan la lista con un 81% de las preferencias. Le siguen las tarjetas de crédito con 46%, de débito con 19%, token de seguridad 9% y tarjetas de coordenadas 6%. El gráfico que se muestra a continuación contiene esta información:

¿Qué tipo de información le han solicitado los atacantes?

Para conocer cómo los usuarios identifican este tipo de ataque, un 80% aseveró saber lo que es el phishing en comparación al 20% que no lo sabe. Antes de continuar, recomendamos la lectura de la Infografía sobre el funcionamiento del phishing para aquellos que desconozcan este modo de fraude. Del 80% que sí reconoce este tipo de estafa, un 70% revisa la URL incluida en el mensaje para determinar si es fraudulenta. Un 68% comprueba si el remitente es conocido y el 46% analiza el correo o sitio utilizando una solución antivirus. Estos porcentajes y los otros métodos de identificación que utilizan las personas pueden observarse en el siguiente gráfico:

¿Cuáles medidas utiliza para detectar ataques de phishing?

Es fundamental considerar que algunos de los métodos mencionados en el gráfico como el hecho de visitar el hipervínculo engañoso, la consideración de si es cliente de la entidad suplantada, conocer al remitente, y responder al correo o publicación constituyen prácticas peligrosas que deben ser evitadas. Una empresa o banco nunca solicitará información sensible a través de algún medio electrónico. Adoptar un comportamiento seguro constituye una excelente forma de prevenir el phishing. Asimismo, los productos de ESET detectan genéricamente varios de estos ataques con las firmas HTML/Phishing.Gen, HTML/Phishing.Diablo, entre otras.

Finalmente todos los lectores quedan invitados a participar en el sorteo de una licencia de ESET Smart Security 5 contestando nuestra encuesta de enero sobre el robo o extravío de dispositivos portátiles como teléfonos inteligentes, tabletas, notebooks, netbooks y similares.

André Goujon
Especialista de Awareness & Research