Cómo identificar y evitar el Phishing en correos electrónicos

Cómo identificar y evitar el Phishing en correos electrónicos



A pesar de ser una de las técnicas de ingeniería social y ciberataques más comunes en la actualidad, el phishing sigue siendo un fuerte vector de entrada de ataque utilizado por muchos ciberdelincuentes. Esta técnica pretende obtener de manera fraudulenta información personal o empresarial de los usuarios mediante correos y páginas webs aparentemente fiables, donde dichos usuarios introducen sus datos confiando en su legitimidad.

En un boletín publicado por el Instituto Nacional de Ciberseguridad de España (INCIBE) respecto al Balance de Ciberseguridad del pasado año 2022, se gestionaron un total de 118.820 incidentes de ciberseguridad, de los cuales casi 17.000 incidentes (un 14 % del total) fueron ocasionados por phishing. No es de extrañar que con la constante digitalización de los servicios y la ingente cantidad de información que los usuarios manejan en sus dispositivos, las cifras de phishing se incrementen en 2023.

Por todo ello, es indispensable que exista un adecuado conocimiento en materia de ciberseguridad, o una serie de pautas a seguir, que ayuden a identificar y evitar ser víctimas de este tipo de ciberataques.

En lo relativo al contenido del correo electrónico recibido, es importante identificar características que serían determinantes para dicho correo, como son: remitente que lo envía, dirección de correo electrónico que utiliza (antes del @), dominio de la dirección de correo electrónico (después del @) o pie de firma. Si el cuerpo del correo contiene múltiples faltas de ortografía o exige una urgencia o respuesta inmediatas, son señales de alerta.

Ocasionalmente, existen ficheros adjuntos al correo en cuestión. Es fundamental desconfiar de dichos documentos, por lo que hay que evitar su apertura o ejecución en un principio. Para distinguir si se trata de un archivo legítimo o no, se recomienda como buena práctica observar tanto el nombre del documento como su extensión.

Si el fichero tiene nombres genéricos del tipo “nóminas”, “facturas”, “documentación” o similares, es un primer punto de partida para sospechar. Normalmente cuando recibimos archivos adjuntos en un correo electrónico, suelen incluir características distintivas que ofrecen un mayor detalle; como nombre de la empresa que lo envía, tema del documento, o año o mes que lo relaciona.

Las prisas nunca son buenas consejeras, si alguien te pide algo por correo y expone una situación de última hora o te mete prisas para que accedas a un enlace o hagas algo, desconfía y llama al peticionario a un teléfono que tengas tú guardado de ocasiones anteriores, nunca al que indica en el correo.

Por otro lado, el factor clave de identificación es la extensión. Si se espera recibir un archivo de una extensión en concreto, hay que asegurarse de que el fichero adjunto es de ese tipo. Para ello, además de comprobar el icono que lo identifica, se recomienda activar la visualización de extensiones en el sistema para verificarlo, también Configurar las aplicaciones para que no se ejecuten macros de forma automática. Es una buena práctica tener especial precaución con los archivos que solicitan la habilitación de macros deben ser descartados, ya que pueden contener comandos que extiendan virus o malware en el equipo o red.

En el caso de los ficheros ejecutables, hay que tener especial cuidado ya que pueden contener scripts o instalar contenido en los sistemas que contengan código malicioso. Para ello, se recomienda utilizar antimalware o herramientas como Virustotal, la cual permite analizar archivos descargados en el equipo previo a ejecutarlos.

Adicionalmente, es posible que en el cuerpo del correo se incluyan enlaces externos a páginas web, las cuales pueden ser maliciosas. Para evitarlo, se aconseja atender a la sintaxis de dicho enlace, y, además, nunca hacer clic directamente en éste; sino en su lugar escribir manualmente la dirección legítima en el navegador. De esta forma, además de evitar el posible phishing se evitan técnicas como typosquatting donde se incluyen caracteres o símbolos en el enlace que pasan desapercibidos a simple vista.

Si se requiere una confirmación adicional del enlace, pueden usarse herramientas como unshorten.me la cual permite ver un mensaje acortado en su versión extendida.

En ámbitos empresariales, se recomienda hacer campañas de phishing simulado con cierta regularidad con el objetivo de crear concienciación directa en la plantilla. El beneficio adicional de esta práctica es que permite tomar datos estadísticos del nivel de riesgo que existe en la empresa frente a ciberataques de este tipo, y tomar las medidas adecuadas en base a dicho riesgo.

Por último, se recomienda mantener los sistemas con los antivirus (especialmente con características de XDR) y aplicaciones actualizadas en su última versión, e instalar filtros antispam, así como desactivar la vista previa de correos en HTML para las cuentas de usuario que se consideren críticas.

A pesar de que todos estos consejos disminuyen exponencialmente el peligro de caer frente a este tipo de amenazas, es fundamental tener en cuenta que el phishing cada vez está refinándose más; y que el error humano siempre es un factor a tener en cuenta en el uso de una herramienta tan extendida y usada a nivel personal y empresarial como es el correo electrónico.

Tips de buenas prácticas para no caer en el phishing:

1.       Revisa el email (tanto la dirección como el domino).

2.      Desconfía de asuntos genéricos.

3.      No tengas prisa, si te meten prisa desconfía y comprueba la situación descrita en el correo.

4.      Revisa las faltas de ortografía y gramaticales en el contenido del correo.

5.      Si no esperas un fichero en un correo, no lo abras.

6.      Si recibes adjuntos sin hacer una revisión pormenorizada del correo.

7.       Activa la visualización de extensiones.

8.      Verifica con tu antivirus los adjuntos.

9.      No ejecutes macros si tienes plena confianza en el adjunto y en el remitente.

10.  No hagas click en los enlaces que veas en un correo, puede haber sorpresas, con los acortadores emplea unshorten.me o herramientas similares.

11.     En entorno empresarial, conciencia y haz campañas de phishing simulados.

12.   Mantén tu antivirus actualizado.

Si necesitáis cualquier ayuda con tareas de concienciación, tienes alguna duda o quieres hacer campañas de phishing en tu empresa no dudéis en contactar con www.zerolynx.com, y sobre todo: ¡abrid bien los ojos!

Fco Javier Pérez Sánchez, Consultor de Ciberseguridad

Regresar al blog

Deja un comentario

Ten en cuenta que los comentarios deben aprobarse antes de que se publiquen.