En los últimos meses hemos detectado un incremento significativo en la cantidad de correos de phishing recibidos. Por este motivo, desde el Equipo de Seguridad de la Subsecretaría de Informática queremos compartir algunas recomendaciones para que los usuarios puedan identificar y lidiar con esta amenaza adecuadamente.
¿Qué es el phishing?
El phishing es un tipo de ataque en el que una persona se hace pasar por alguien más para obtener información o lograr que la víctima instale software malicioso en su sistema. Es una de las estafas más antiguas y populares en Internet. Además, por su efectividad, es una de las amenazas más persistentes a lo largo del tiempo y se mantiene vigente hasta la actualidad.
¿Cómo funciona?
Este tipo de fraude emplea trucos de ingeniería social para obtener datos privados y/o sensibles de sus víctimas. Típicamente se trata de un correo con un enlace o un archivo adjunto malicioso que infecta la computadora de la víctima al abrirse. Entre los datos de interés para los atacantes se incluye:
- Credenciales de acceso
- Información personal
- Información de empleado
- Información de infraestructura
- Información de procesos o flujos de trabajo
Estos pueden utilizarse para acceder a sistemas o información de carácter reservado que en última instancia puede reutilizarse para vulnerar la seguridad y/o confidencialidad de los sistemas y los datos que contienen, tanto en la organización para la que trabaja como en su computadora personal.
¿Tengo que enviar mi contraseña? ¿Tengo que validar mi cuenta?
NO, NUNCA. La Subsecretaría de Informática (que administra el servicio de correos oficial) NUNCA pide la contraseña a sus usuarios. Las credenciales de acceso a cualquier sistema son únicas e intransferibles. En caso de pérdida, se blanquean.
Muchos correos de phishing también hablan de una actualización de sistema que requiere validar cuentas e incluye un enlace para tal fin (ver figura 1). Sin embargo, la identidad de los agentes se valida durante la creación de las cuentas. NUNCA vamos a pedirles que validen su cuenta accediendo a un enlace (y mucho menos cuando no pertenece al dominio santacruz.gob.ar).
Algunos ejemplos
A continuación podemos ver algunos de los ejemplos más recientes que llegan a cuentas de correo oficial:
Como se puede observar en la figura 2, se utiliza un saludo genérico y se hace una solicitud poco específica que deja suficiente incertidumbre como para que el usuario se vea tentado a abrir el archivo adjunto. Vale notar que no se menciona organización de procedencia ni detalle de los productos mencionados.
Los adjuntos en formato .zip pueden contener ejecutables y otros archivos propensos a explotación debido a su funcionamiento.
En la figura 3 vemos otro ejemplo con una supuesta orden de compra. Esta vez no se incluye nombre del remitente ni organización de procedencia; el archivo tiene un nombre genérico y la redacción emula familiaridad.
¿Qué hacer al respecto?
La estrategia fundamental es validar la fuente: siempre debemos asegurarnos de que el correo fue enviado por la persona que figura como remitente. Para ello podemos utilizar canales de comunicación alternativa: llamada, SMS, mensaje de WhatsApp, etc. Si no hay forma de verificar la identidad del remitente, debemos asumir que no se trata de un correo legítimo y marcarlo como spam.
Otras recomendaciones:
- Si no esperás un correo, no lo abras hasta verificar el origen. Si no podés verificarlo, mandalo a spam.
- Analizá con detenimiento cualquier correo de origen desconocido y reportá cualquier elemento que te resulte extraño.
- Ante la duda, NUNCA hagas click en un enlace ni abras un adjunto sospechoso.
- Nunca compartas tus credenciales de acceso a ningún sistema.
Si tenés dudas, enviá una consulta a la dirección de soporte de CSIRT-SC. Compartí este artículo con todas las personas que puedan beneficiarse de esta información y ayudanos a generar una cultura de buenas prácticas en seguridad informática.