29 sep, 2022 · Equipo de Ciberseguridad de Correos

“Los malos no son los hackers, son los ciberdelincuentes”, phishing o el fraude de toda la vida vía Internet I

Una conversación sobre ciberseguridad da para muchas horas, minutos y segundos. Pero, hay dos cosas que podrás percibir en un solo instante de la entrevista de Raúl Gómez. La primera es que la pregunta correcta no es si puedes sufrir un ataque sino, cuándo lo recibirás. La segunda, que la única solución al phishing es empoderar la cultura de la ciberseguridad en la sociedad.

¿Qué es realmente el phishing?

Aquí la definición académica es la que es, pero el phishing es algo que conocemos de toda la vida, es un fraude o una suplantación de un tercero para robar datos o dinero. Un tercero o ciberdelincuente, los malos no son hackers, son ciberdelincuentes.

Un ejemplo de phishing tradicional es el caso típico del engaño de la persona que decía que venía a comprobar el gas pero que en realidad lo que hacía era robarte o engañarte cobrando un servicio que no era tal.

Ahora con Internet, es ese mismo fraude adaptado a las nuevas tecnologías. Parece que cuando hablamos de phishing estamos hablando de algo super extraño, metiendo acrónimos y palabras en inglés, pero es sencillamente un fraude utilizando medios electrónicos

Si es algo tan básico, ¿cómo consiguen que nos lo creamos?

Es un melón muy grande. Primero de todo hay que entender que estos fraudes no son azar, son campañas bien controladas. Lo que se intenta es jugar con nuestro cerebro. Es mucho más fácil atacar a un ser humano que a una máquina o tecnología porque las personas somos seres emocionales.

Por eso intentan jugar con sesgos emocionales a través de amenazas, temor, pero también premios, suerte, felicidad. Y es ese segundo en el que nuestra cabeza se despista por un estímulo positivo o negativo, justo el que estudian para ver cómo pueden (jugando con los tiempos, el mensaje o haciendo un correo creíble) aprovechar que bajamos la guardia para lograr su objetivo.

Es por eso que no existe un botón mágico que podamos pulsar para frenar los fraudes y protegernos al momento, ya que son ataques que apelan a seres humanos por lo que cada situación es distinta.

Es cierto que la tecnología avanza y que por ejemplo Gmail es capaz de detectar muchos de estos emails fraudulentos enviándolos a Spam o borrándolos y haciendo que sea más difícil que te llegue. Pero siempre existen vulnerabilidades como un sistema operativo desactualizado, un móvil viejo o fallos de diseño que terminarán provocando que esto te pueda afectar.

Esto sumado al comportamiento humano tiene como única solución ir poco a poco aprendiendo a identificar estos fraudes y ganar en una cultura de ciberseguridad que sirva como la mejor barrera para frenar estos ataques. Será un proceso que con el paso de los años terminará por convertirse en un hábito más (al igual que con el paso de los años hemos aprendido a reconocer que la botella de plástico va al contenedor amarillo).

“Se trata de lograr un trabajo colectivo para que no existan fallos que puedan aprovechar los ciberdelincuentes”.

¿Puede Correos o cualquier otra empresa evitar este tipo de fraudes?

Aquí la pregunta debería ser más bien, si te puede pasar, cuándo te va a pasar y cómo de preparado estarás cuando ocurra.

Si cogemos de nuevo el ejemplo del gas y las personas que llaman a tu casa intentando engañarte, no existe en España (ni en otro país del mundo) ningún decreto o ley que prohíba que tú llames al timbre de cualquier lugar. En el caso de este tipo de fraudes ocurre lo mismo, no existe ninguna ley que prohíba enviar emails, al igual que desde Correos no podemos frenar que otras personas envíen emails u otras comunicaciones haciéndose pasar por nosotros.

Lo que sí se puede es prevenir mediante la tecnología, con unos medios suficientemente preparados para que este tipo de fraudes se frenen cuanto antes y ocurran lo menos posible. Por otro lado, y esto es algo que hacemos en Correos día a día, es contar con un equipo especializado en ciberseguridad donde podamos prevenir y actuar lo más rápido posible.

En Correos, por ejemplo, trabajamos para que, si aparece un enlace fraudulento, lo podamos detectar y frenar cuanto antes, así si tú llegas a clicar o recibir ese enlace ya no estará operativo.

¿Qué podemos hacer si pese a todas las prevenciones caemos en un ataque de phishing?

Lo primero que pasará es que nos pondremos muy nerviosos, pensaremos que nos van a robar mucho dinero o todo tipo de datos personales. Sin embargo, hay que intentar siempre mantener la calma.

También deberemos actuar de diferente manera en función de lo que nos hayan pedido. Si han conseguido nuestra contraseña para algún servicio, lo primero que deberemos hacer es cambiarla para que no puedan usarla.

Si entramos en el robo de datos bancarios y económicos, que suele ser el phishing más común (y el que más nervioso nos pondrá), lo primero que habrá que hacer es bloquear cuanto antes la tarjeta de crédito o cuenta bancaria que hayamos proporcionado y denunciar ante la policía.

Posteriormente, es recomendable avisar a la empresa a la que han suplantado la identidad para que esté al tanto de lo ocurrido y pueda prevenir futuros ataques.

¿Cómo lucháis a nivel interno para garantizar la seguridad en Correos?

En Correos contamos un personal muy amplio de profesionales del ámbito de ciberseguridad junto con la colaboración de bastantes proveedores para servicios más técnicos, como el Centro Criptológico o el Instituto Nacional de ciberseguridad.

Con todo este equipo lo que hacemos es, no solo ofrecer un servicio a los usuarios sino también a nivel interno, desde que tecnológicamente Correos esté preparada para defenderse o frenar cualquier vulnerabilidad, y también ayudar a que Correos esté preparada y formada desde la parte organizativa y humana, con charlas, ejercicios éticos, etc.