Así ha evolucionado el phishing para sacar provecho del COVID-19

Desde el inicio de la pandemia del COVID-19, los casos de phishing se han multiplicado

Utilizar los miedos de los usuarios como anzuelo es uno de los métodos de phishing preferidos por los delincuentes. La pandemia de COVID-19 ha abierto una nueva ventana de posibilidades de engaño que ponen en riesgo la información y la seguridad de personas y empresas. ¿Cómo ha cambiado el escenario del phishing con el coronavirus y cómo podemos hacerles frente a las nuevas amenazas?

Phishing y COVID-19

Solo hacía cuatro días que en España se había decretado el estado de alarma por emergencia sanitaria y el INCIBE, el Instituto Nacional de Ciberseguridad, ya publicaba su primera alerta relacionada con la pandemia: distribución de malware vinculado a Covid-19 suplantando varias empresas. El instituto había detectado una campaña de envío masivo de emails fraudulentos que suplantaban la identidad de varias empresas aprovechando la situación de incertidumbre y los cambios en las organizaciones.

Ya antes, la Agencia Española de Protección de Datos había avisado de que la situación de alerta generada por el COVID-19 en todo el mundo era un “caldo de cultivo peligroso para ataques de phishing a través de servicios de mensajería instantánea, email y otros medios”. En este caso, cambia el anzuelo con el que los ciberdelincuentes llaman la atención del usuario, pero el proceso es siempre parecido.

El objetivo es que el usuario abra un archivo fraudulento o siga un enlace para que los delincuentes puedan acceder a información relevante

Los cibercriminales tratan de suplantar organizaciones legítimas (ministerios, consejerías o fuerzas del orden) o empresas con información relevante sobre el COVID-19. Lo hacen a través de diferentes plataformas de mensajería, incluyendo redes sociales como WhatsApp o Telegram, pero el método preferido sigue siendo el correo electrónico. El objetivo final es que el usuario abra un archivo fraudulento o siga un enlace para que los delincuentes puedan tomar el control de un dispositivo o acceder a información relevante.

El auge del phishing durante la pandemia del COVID-19

La situación no es única en España y se ha experimentado, en mayor o menor medida, en todo el mundo. De acuerdo con el informe The State of Email Security Report for 2020, el número de casos de phishing denunciados se ha triplicado desde el inicio de la pandemia. De hecho, ya en los 100 días que siguieron a la detección del coronavirus se detectó un aumento del 30% del fraude por suplantación de identidad. A mediados del mes de abril, se enviaban cada día 1,5 millones de emails fraudulentos relacionados con la pandemia.

“Las campañas de ingeniería social y phishing siguen siendo un método eficaz para los ciberdelincuentes porque se aprovechan de la psicología humana. El COVID-19 les ha dado a los ciberdelincuentes una ventaja única: les permite aprovecharse de los miedos”, señala Courtney Maugé, Assistant Vice President de Willis Towers Watson. “Además, el cambio repentino a un entorno de teletrabajo ha provocado un aumento de las distracciones y un aumento de las probabilidades de que los trabajadores no autentiquen la validez de los correos electrónicos”.

Con el objetivo de ser creíbles, los ataques de phishing utilizan todo tipo de tretas, que sacan a relucir la creatividad de los ciberdelincuentes. Según la agencia de ciberseguridad de Estados Unidos (CISA), los mensajes de phishing detectados durante los últimos meses prometen desde acceso a información relevante de última hora para una determinada localización, hasta mensajes de aseguradoras, nuevas alertas sanitarias o avisos gubernamentales anunciando medidas para contener la pandemia.

“Aunque es cierto que los mensajes relacionados con el COVID-19 irán disminuyendo, las empresas deben tomarse en serio la mitigación de riesgos en relación con la pandemia”

¿Cómo hacer frente al phishing?

Sea cual sea la excusa, el objetivo del phishing es siempre el mismo: ganarse la confianza del usuario para adquirir las credenciales de acceso a una red, robar información relevante o tomar el control de un dispositivo. Afortunadamente, el método para hacer frente a esta ciberamenaza es siempre similar. Como pautas generales, el INCIBE recomienda:

• Nunca abrir correos de remitentes desconocidos o no solicitados.
• Recordar que los correos de organismos oficiales o entidades bancarias legítimas no suelen contener enlaces de descarga o documentos adjuntos.
• No contestar nunca a correos sospechosos.
• Mantener actualizado el antivirus y el sistema operativo.
• Utilizar contraseñas robustas y, en el caso de empresas, tener control de los permisos que tiene cada trabajador.
• Mantener las mismas precauciones en cualquier dispositivo y en otras plataformas, incluyendo redes sociales o servicios de mensajería como WhatsApp.

Además, mediante su decálogo antiphishing, el Instituto Nacional de Ciberseguridad recuerda que se debe estar atento a algunos signos característicos de la ingeniería social como la urgencia, las adulaciones o las amenazas. Por último, si nos quedan dudas, siempre se puede contactar por otro medio con el remitente para comprobar si realmente han enviado algo.

“Las tácticas de los ciberdelincuentes son cada vez más sofisticadas y seguirán aprovechando todo tipo de eventos para las campañas de phishing. Aunque es cierto que los mensajes relacionados con el COVID-19 irán disminuyendo con el tiempo, las empresas deben seguir tomándose en serio la mitigación de riesgos en relación con la pandemia”, concluye Courtney Maugé. “Además, las empresas deben implementar las lecciones aprendidas del COVID-19 en las capacitaciones de sus empleados y en los simulacros de phishing”.