Uno de los tipos de fraude en línea más habituales se conoce como ‘phishing’, un término que surgió en la década de 1990 y que se utiliza para describir a un intento deliberado de obtener información confidencial, como credenciales de inicio de sesión o números de tarjetas de crédito, haciéndose pasar por una entidad confiable, como una organización o una empresa.

Hasta ahora la mayoría de los ataques del denominado ‘phishing’ de marca se enfocaban a un puñado de grandes corporaciones dedicadas a la tecnología, el comercio electrónico, el entretenimiento, las búsquedas en internet y la paquetería.

Pero últimamente, y debido al creciente número de personas que trabajan y se comunican en línea y a distancia con la pandemia, las redes sociales se sitúan por primera vez en la lista de los 10 marcas más utilizadas para ataques de ‘phishing’ a nivel mundial, según la firma de ciberseguridad Check Point Software Technologies (CPST), de Israel.

Las estafas de ‘phishing’ más habituales se efectúan replicando un sitio web que se asemeje a la página de inicio de sesión de una empresa existente, pero con una URL un poco diferente. Si se logra engañar a un usuario final, este puede introducir su nombre de usuario y contraseña.

Otros intentos de ‘phishing’ habituales consisten en enviar un correo electrónico a una persona, simulando ser una figura de autoridad en un sitio web conocido o una institución de confianza para solicitarle información, así como intentar iniciar una conversación con un usuario a través de una aplicación de mensajería instantánea, según esta fuente.

Uno de los canales más habituales para esta modalidad de estafa son los dispositivos móviles. En sus pantallas pequeñas los enlaces y páginas web fraudulentas son más difíciles de distinguir de los verdaderos, por lo que los usuarios tienen más posibilidades de ser víctimas de un engaño.

En el tercer trimestre de 2021 se registró una nueva tendencia en lo que respecta a las marcas más imitadas por los ciberdelincuentes, según la división de Inteligencia de Amenazas de CPST. Por primera vez, las redes sociales están entre los sectores más imitados. WhatsApp, LinkedIn y Facebook aparecen en la lista de las diez marcas más imitadas, encabezada por Microsoft, Amazon, DHL, Bestbuy y Google. También figuran Netflix y Paypal.

“Los ciberdelincuentes intentan innovar constantemente para robar los datos personales y las redes sociales están ahora entre las categorías más explotadas por la creciente cantidad de personas que trabajan y se comunican en línea debido a la pandemia”, según Omer Dembinsky, director de Inteligencia de datos de CPST. “Desafortunadamente no hay mucho que estas empresas puedan hacer para ayudar a combatir los intentos de ‘phishing’”, ya que, a menudo, es el usuario el que no detecta un dominio mal escrito, una fecha incorrecta u otro detalle sospechoso en un texto o correo electrónico”.

Se recomienda a los usuarios que sean precavidos a la hora de divulgar datos personales y credenciales a aplicaciones o sitios web de empresas, que se lo piensen dos veces antes de abrir archivos adjuntos o enlaces, especialmente los que dicen ser de empresas como Amazon, Microsoft o DHL, las más propensos a ser suplantadas. El informe ‘Q3 Brand Phishing’ de Check Point, también insta a los consumidores a “estar atentos a cualquier correo u otro tipo de comunicaciones que parezcan proceder de canales de redes sociales como Facebook o WhatsApp.

Mucha atención al abrir enlace

En un ataque de ‘phishing’ de marca, los ciberdelincuentes intentan imitar la página web oficial conocida. El enlace a la web falsa puede ser enviado por correo electrónico o mensaje de texto y el usuario puede ser redirigido durante la navegación web o ser engañado desde una aplicación móvil fraudulenta. Un ejemplo de intento de robo por medio de un email que en apariencia es de LinkedIn ocurrió así: el texto del mensaje, enviado desde la dirección de email Linkedln (linkedin@connect[.]com), contenía el asunto “You have a new Linkedln business invitation from”. El atacante intentaba atraer a la víctima para que hiciera clic en un enlace malicioso, que lo redirigía a una página de inicio de sesión. En el sitio web se apreciaba que no se había cambiado el año (“LinkedIn 2020”).