Una de las recomendaciones para eludir el phishing es comprobar las direcciones desde las que se envían los correos, porque usualmente son ilegítimas. Por ejemplo, un mensaje que asegura provenir de una entidad bancaria desde una dirección de email que ni siquiera tiene el nombre del banco (o que lo tiene, aunque con una forma que no usan oficialmente y/o ligeras modificaciones) es evidentemente un intento de fraude.
Leé también: Estas son las palabras que delatan a un email fraudulento, según el FBI
Una nueva campaña que suplanta la identidad de Google es especialmente peligrosa porque aquel consejo de seguridad resulta literalmente inútil. Ocurre que los atacantes envían correos a sus víctimas desde una dirección de email con aspecto auténtico, una que habitualmente usa la compañía estadounidense: [email protected].
Suplantan la identidad de Google en una campaña “extremadamente sofisticada”
En las redes sociales, víctimas de este intento estafa encendieron las alarmas. Según contaron, recibieron correos de la mencionada dirección con una supuesta solicitud de seguridad, con enlaces a páginas supuestamente legítimas. Tal como observa la publicación Genbeta, lo más desconcertante es que los mensajes pasaron los mecanismos de verificación de Gmail, permitiéndoles hacer pie en las bandejas de entrada, sin alertas y burlando los filtros.
¿Cómo lograron hacerlo? En el detrás de escena de este phishing que suplanta a Google hay algunos aspectos técnicos. En concreto, los atacantes emplean una técnica conocida como “ataque de reproducción DKIM”, que aprovecha una falencia en el sistema de autenticación de los correos.
Las tres claves del fraude
- ¿Qué es DKIM? Es un sistema de seguridad que agrega una especie de marca al contenido de los correos, y sirve para validar que el mensaje fue realmente enviado desde un dominio autorizado, sin modificaciones en el camino.
- ¿Qué es el ataque de reproducción DKIM? La mencionada barrera de seguridad solo verifica el contenido, pero no desde qué servidor se reenvía. De este modo, los atacantes toman un correo legítimo (en este caso de Google) y lo reenvían a más direcciones ocultando su rastro con servicios intermediarons, por ejemplo Outlook. La firma DKIM sigue siendo válida y no genera alertas. Además, emplean una herramienta que permite editar el campo “desde”, es decir, el remitente.
- ¿Cómo afecta a los usuarios? Una vez rebasadas las barreras, actúa como un phishing clásico. La intención es engañar a las víctimas para que crean que se trata de una comunicación auténtica. En el correo hay enlaces que llevan a formularios y/o sitios maliciosos, diseñados para robar información sensible, como datos personales y credenciales de acceso.
Consejos para identificar el phishing
En función de lo señalado, podríamos caer en el desconcierto. Si las recomendaciones habituales para detectar la suplantación de identidad ya no son válidas, ¿qué hacer para proteger nuestros activos digitales y eludir las estafas?
Es cierto que las campañas de phishing han evolucionado considerablemente (el auge de la Inteligencia Artificial Generativa tiene mucho que ver en esto) y que ciertos “vicios” que permitían detectar a los fraudes ya no aparecen. Por ejemplo, era usual decir que los correos engañosos incluían usualmente errores ortográficos y que se enviaban desde casillas con direcciones evidentemente no legítimas.
Leé también: Diccionario TN Tecno: qué es y cómo funciona el pharming, la amenaza de ciberseguridad indetectable
En tal contexto, las claves en ciberseguridad son el sentido común, el espíritu crítico y la disponibilidad de información. Un usuario con esas tres variables siempre será una presa más difícil de atrapar por los ciberatacantes. En cualquier caso, hay una serie de características que sirven como alertas.
- Cuando los correos exigen acciones urgentes.
- Cuando se ofrecen beneficios demasiado tentadores.
- Cuando se incluyen enlaces que llevan a formularios “fuera de contexto”.
El consejo final: chequear siempre con la fuente oficial. Por ejemplo, si llega a tu casilla un mensaje que dice provenir de tu banco y te pide información, lo mejor es consultar en forma directa con la entidad. “¿Ustedes solicitaron datos por email?”. En la mayoría de los casos, la respuesta será la siguiente: “Nunca pedimos información a nuestros clientes a través de correo electrónico”.
