Tal y como detalla el Security Report 2023 de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), durante el último año se pueden apreciar el aumento global del 38% en los ciberataques y el gran auge de las campañas de phishing, alcanzando este tipo de amenazas la cifra récord del 86% de todos los ataques “in-the-wild” con archivos.
Concretamente, sólo durante los meses de febrero y marzo, los investigadores de Check Point Research identificaron un total de 33.817 ataques de phishing que suplantan a diferentes firmas y servicios legítimos, tanto de empresas privadas como de organismos públicos como el Ministerio de Hacienda de España o a la Agencia Tributaria.
Cómo identificar el phishing
Si bien los ciberatacantes continúan puliendo sus métodos, todavía existen algunas señales que deben hacer saltar las alarmas de cualquier usuario.
- Usar el sentido común y desconfiar de los mensajes sospechosos: la Agencia Tributaria, al igual que otros organismos oficiales como las entidades bancarias, jamás van a solicitar por correo electrónico información personal o credenciales. Así pues, en el caso de que no estemos seguros de la veracidad de estos mensajes, siempre es mejor dirigirse a la página o plataforma oficial de esta entidad para certificarlos.
- Aprender a reconocer un mensaje de phishing: cuando un atacante envía un email de phishing suele tener ciertos rasgos comunes. Las faltas de ortografía o el hecho de que pidan la introducción de las credenciales, es un indicativo bastante claro de que están intentando estafar a un usuario.
- Revisar los enlaces adjuntos: una de las normas básicas de ciberseguridad para el correo electrónico es evitar hacer clic en cualquier enlace proveniente de un email sospechoso. De igual manera, es recomendable revisar siempre todas las URL incluidas en estos, ya que, en muchas ocasiones, podemos ver cómo estas redirigen a direcciones similares pero fraudulentas, o incluso dominios web completamente diferentes.
Por otra parte, la llegada de nuevas tecnologías como la inteligencia artificial, con herramientas de libre uso como ChatGPT, están permitiendo a los ciberdelincuentes desarrollar unas campañas de phishing cada vez más difíciles de identificar.
Recientes pruebas realizadas por los investigadores de Check Point Research demuestran la gran facilidad de uso de estas herramientas que, sin la necesidad de contar con conocimientos avanzados, permiten generar estructuras de correo e incluso archivos de malware depurados con los que llevar a cabo estos ataques.
Ejemplo de email phishing suplantando a la Agencia Tributaria con enlace fraudulento
Ejemplo de email phishing suplantando a la Agencia Tributaria con adjunto fraudulento
Cómo mantenerse protegido del phishing
De manera adicional a estos primeros consejos, desde Check Point Software señalan la importancia de mantener una protección completa en todo momento, garantizando así la prevención de posibles secuelas en el caso de ser víctimas de uno de estos intentos de phishing:
- Utilizar contraseñas robustas: utilizar la misma clave para todo, o credenciales como “123456” o “contraseña” es ponérselo demasiado fácil a los ciberdelincuentes. Ahora hay multitud de plataformas que generan contraseñas difíciles de adivinar para los ciberdelincuentes (con letras, números, símbolos, mayúsculas y minúsculas), aunque también podemos crearla nosotros mismos, pero siempre utilizando diferentes combinaciones para cada servicio con las características nombradas.
- Activar la autenticación en dos factores (2fA): se trata de una autenticación con una contraseña y otro método (puede ser una pregunta, datos biométricos o cualquier otro método que sirva como otra capa más de seguridad para entrar en nuestras cuentas. Al activar esta opción, siempre habrá una segunda autorización que evitará que un atacante acceda a una cuenta con tan solo una contraseña.
- Mantener los equipos actualizados y protegidos: es la manera que tienen las empresas de subsanar los errores de seguridad de anteriores versiones, por lo que siempre es recomendable actualizar cualquier dispositivo con las últimas actualizaciones disponibles. De igual manera, es importante contar con un software de seguridad instalado que nos permita identificar otras posibles amenazas incipientes.
“Con unos ciberataques cada vez más sofisticados y complejos, resulta más difícil discernir los correos seguros de las campañas de phishing. Es vital que los usuarios se mantengan siempre alerta, pero especialmente importante durante periodos sensibles y de alta carga de ciberataques como puede ser la campaña de la Declaración de la Renta”, alerta Eusebio Nieva, director técnico de Check Point Software para España y Portugal.
Más información
- ¿Qué es el phishing?
- Tipos de phishing: cómo reconocerlos y mantenerte a salvo
- ¿Qué es el Spear Phishing?
- Los 10 ciberataques de phishing en los que más suelen «picar» los empleados
- Cuidado con el phishing: así intentan robarte tu dinero los ciberdelincuentes
