Protege tu empresa del phising que simula a Movistar

Hemos hablado en anteriores ocasiones sobre las diferentes prácticas que los piratas informáticos siguen para acosar a los usuarios de la red. El caso de hoy nos hace volver a hablar del phising. Este tipo de fraude se caracteriza por suplantar la identidad de una persona o compañía que las víctimas del pirata conozcan, de manera que estas faciliten sus datos personales al delincuente.  Si bien este tipo de amenazas no se aprovechan de fallos técnicos de los equipos de las personas afectadas, sí es verdad que utilizan la ingeniería social para abrirse paso vulnerando la seguridad endpoint hasta conseguir lo que quieren.

El protagonista del caso de hoy es la compañía de telefonía Movistar.  Desde hace varios días, algunos de sus clientes, tanto empresas como particulares, han recibido una serie de correos electrónicos haciéndose pasar por ellos. En al asunto del mail se puede leer el mensaje “información de interés de su factura móvil”. Tras abrir el mensaje, este informa al cliente de que su cuenta de Movistar ha sido suspendida debido a motivos de seguridad y que para poder reactivarla es necesario volver a introducir su usuario y contraseña en el enlace que facilitan más abajo. Una vez pinchado el enlace, este dirige al cliente a una página web muy similar a la página oficial de Movistar en la que una vez ingresados los datos que piden, estos quedan a merced del phisher.

*Foto del mail falso hecha por el Instituto Nacional de Ciberseguridad de España

No hay que olvidar que Movistar es el primer proveedor a nivel nacional de servicios de telefonía fija, móvil, internet y entretenimiento. Con este perfil es muy sencillo que algunos de sus clientes acaben siendo engañados mediante esta nueva campaña de fraudes. Con tal de evitar esta nueva andanada contra la seguridad endpoint de empresas y particulares la mejor solución es combinar medidas de seguridad técnicas efectivas en los equipos a la vez que se siguen una serie de pautas de prevención muy sencillas:

1. No abrir mails de personas que no conozcamos.
2. Eliminar los mails sospechosos sin abrirlos.
3. Sospechar de los correos acompañados de enlaces de descargas. Sobre todo, cuando son desconocidos.
4. Sospechar de los mails que soliciten información personal en el propio correo y no en una plataforma oficial aparte.
5. Si aún así no estás del todo seguro, llama a la compañía del mail para corroborar la veracidad del mensaje.

Con todo, es recomendable tomar precauciones añadidas cuando se interactúa con cualquier tipo de empresa a través de internet.

1. Cerrar todas las sesiones de las diferentes aplicaciones que se encuentren abiertas en ese momento antes de facilitar ningún dato.
2. Escribir a mano o copiar en el navegador de internet la dirección que ofrecen en el correo electrónico en vez de pinchar en él.
3. Evitar en la medida de lo posible realizar estas prácticas en puntos públicos donde haya ordenadores conectados a redes wifi comunes a todos.

Aún así es posible recibir el mensaje de la falsa Movistar. En ese caso, lo más sensato será verificar los puntos anteriormente comentados y dar parte a la Oficina de Seguridad del Internauta o a la policía para que deriven el caso a sus técnicos y puedan tratarlo de manera adecuada.

Este tipo de prácticas se vuelven mucho más peligrosas en el caso de las compañías que tienen acceso a grandes volúmenes de dinero, ya que el phishing tiene una variable mucho más ambiciosa llamada “whaling” o  estafa del CEO.

El funcionamiento es similar al del phishing. El pirata informático se hace pasar por el jefe de la compañía con el objetivo de vulnerar su seguridad endpoint y hacerse con los datos bancarios de la empresa. Los afectados son empleados del grupo con poder para ejecutar transacciones bancarias. Normalmente reciben un mail haciéndose pasar por el CEO de la empresa que les pide a modo de favor personal hacer una transferencia desde los fondos corporativos. Si este correo llega al móvil, es más difícil corroborar el origen del mismo debido al formato de la información, ya que viene limitada por el propio dispositivo.

Las precauciones a tomar por parte de las empresas son diferentes a las del caso de Movistar, a pesar de que en esencia tienen como objetivo la concienciación. Ejecutar una campaña de comunicación interna con pautas para todos los empleados que les explique cómo detectar el fraude es muy importante. Del mismo modo, es una buena idea implantar un sistema de verificación para que las operaciones bancarias no dependan de una única persona y que requieran llamar al CEO para validar la transacción. Por último, y debido a la naturaleza de las pymes grandes y compañías con volúmenes de facturación altos, es recomendable instalar una solución de seguridad perimetral en redes que intercepte los anzuelos que los piratas puedan poner en los correos electrónicos u otras plataformas corporativas a las que los empleados puedan tener acceso.