I. Introducción
El continuo desarrollo de las Tecnologías de la Información y Comunicación (en adelante, TIC) y el uso generalizado que estamos llevando a cabo, sobre todo, en esta situación de excepcionalidad que atravesamos, implica la aparición del nacimiento «nuevos riesgos» para los usuarios agravada por la evolución y crecimiento de los ya existentes.
Con fecha de nacimiento en 1987, lejos de su desaparición, el phishing no ha hecho más que crecer y evolucionar hasta convertirse en uno de los delitos informáticos más en boga en la actualidad. A pesar de que, en un inicio, estos ataques iban dirigidos, principalmente, a entidades bancarias, su desarrollo ha ido de la mano de una ampliación de sus objetivos convirtiéndose la Administración Pública en una de sus principales víctimas.
En este sentido y a raíz de la publicación del Real Decreto 463/2020, de 14 de marzo, por el que se declaraba el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19 en España, gran parte de la población incorporó el teletrabajo a su actividad habitual generalizándose así un uso diario de las TIC y el consecuente cambio en sus hábitos laborales de forma que, en numerosas ocasiones, el desconocimiento y la falta de costumbre en el uso de estos particulares los ha convertido en víctimas potenciales.
Si añadimos a esta ecuación la alarmante preocupación sufrida por la población buscando —sin importar la fiabilidad de la fuente— información sobre este virus, se convirtió en el caldo de cultivo idóneo para que los ciberdelincuentes realizaran ataques de phishing originándose un repunte considerable de los mismos afectando, esta suplantación de identidad, a numerosas entidades e instituciones del sector público.
II. Concepto de phishing
Basada en el engaño, el fraude y el timo, el phishing es una de las estafas más antiguas y populares en la Red.
Mediante el uso de herramientas de ingeniería social se convierte en una técnica consistente en la suplantación de la identidad de entidades, instituciones y/u organizaciones legítimas y de confianza con el fin de obtener datos e información personal y confidencial de las víctimas.
Caracterizada esta técnica por suplantar o duplicar un sitio o página web, previamente dispuesta por el phisher con la ayuda de telecomunicaciones engañosas dirigidas a las victimas en las que se incluyen enlaces a estos sitios o páginas web fraudulentos obtienen la información confidencial deseada de una manera sencilla al inducir al engaño al usuario que proporciona la información —con la creencia de que se trata de la entidad legítima— sin ser consciente de que está siendo víctima de una estafa informática. El objetivo perseguido, normalmente, consiste en causar, posteriormente, un perjuicio a la víctima.
Principalmente, este ataque presenta tres elementos claves:
- • El envío de comunicaciones electrónicas —siendo la más habitual el envío masivo de correos electrónicos— para llevar a cabo este ciberataque.
- • La suplantación de una entidad o institución de confianza.
- • La obtención de información personal confidencial (información financiera, información personal, credenciales de acceso…) como finalidad última.
En base a este engaño obtiene esta denominación el phishing siendo la finalidad perseguida con esta estafa la de «pescar» a los usuarios de Internet, lanzando un «cebo atractivo» para que «muerdan el anzuelo» revelando así voluntariamente sus datos e información personal.
El phishing se ha desarrollado tanto en modalidades como en víctimas
El origen de este término viene del concepto «fishing» (pescar, en inglés) sin embargo, pese a la similitud con este término la razón por la que varía el vocablo y se hace uso del dígrafo «ph» en lugar de «f» en este delito informático obedece a la denominación que se atribuía a los primeros hackers: phreaks (phone + freaks) que, a mediados del siglo XX, con un desarrollo de las telecomunicaciones incipiente y centrado en un pequeño sector de la población, se dedicaban al análisis y estudio de las redes de telecomunicación y sistemas telefónicos buscando conocer y descubrir su funcionamiento. Esta práctica obtuvo el nombre de «phreaking». Phishing = phreaking + fishing.
Al basarse en técnicas de ingeniería social, los phishers no centran sus esfuerzos en la búsqueda de vulnerabilidades técnicas ni fallos en la seguridad que puedan presentar los diferentes sistemas informáticos y sus códigos sino en engañar a las personas para que divulguen voluntariamente sus datos personales.
En este sentido, Adam Kujawa, director de Malwarebytes Labs, señala que «el phishing es la forma más sencilla de ciberataque y, al mismo tiempo, la más peligrosa y efectiva. Eso se debe a que ataca el ordenador más vulnerable y potente del planeta: la mente humana».
A lo largo de los años, esta técnica ha ido evolucionado a la vez que aumentando el número de modalidades, de manera que se ha podido establecer una clasificación de estos ataques en función del modus operandi o el medio usado y la manera de hacerse con dicha información o en base a la información perseguida por los phishers.
La sofisticación y complejidad actual de este ciberataque ha llevado no solo a un aumento en las modalidades para su realización —más de 10.000 a día de hoy— sino también a situarlo en una posición de gran relevancia dados los grandes perjuicios causados y el incremento en el número de víctimas.
III. Modalidades y prevención
La facilidad para su comisión y el éxito conseguido por los ciberdelincuentes ha llevado a posicionar el phishing entre los ataques informáticos más populares al constituir tanto un fin como un medio para cometer otros delitos
Como ya hemos expuesto anteriormente, las modalidades que presenta son numerosas y diversas —al igual que la pesca—, pudiendo diferenciarse tanto en función de la víctima del ataque como del modus operandi del phisher.
Centrándonos en la víctima mediante la que se lleva a cabo el phishing, enumeramos diez de los servicios más atacados por los ciberdelincuentes teniendo en cuenta que, los objetivos y excusas utilizadas varían en función del servicio: servicios de bancas y cajas, pasarelas de pago online, redes sociales, páginas de compra/venta y subastas, juegos online, soporte técnico y de ayuda de empresas y servicios, servicios de almacenamiento en la nube, servicios o empresas públicas, servicios de mensajería y falsas ofertas de empleo.
En este sentido y haciendo una llamada de atención en relación al phishing en el sector público destacar que el objetivo perseguido en este ámbito es infectar el ordenador de la víctima, haciéndose con sus datos, siendo una de las excusas más utilizadas, informar sobre una multa.
Por otro lado, en función del modus operandi existen diversas modalidades siendo las más comunes deceptive phishing (phishing tradicional); malware-based phishing; spear phishing, vishing, SMiShing, SEO phishing, CEO impostor y pharming y prevaleciendo, entre todas ellas, el ataque de malware-based basado en la recepción por parte de la víctima de un correo electrónico de una entidad de confianza u organismo público —suplantada previamente— con la peculiaridad de llevar adjunto un archivo o documento que infecta el dispositivo del usuario al abrirlo.
Dado lo expuesto, a la vista de la cantidad de modalidades para llevar a cabo este ataque, el inmenso número de víctimas potenciales unido a las técnicas de ingeniería social empleadas, nos encontramos ante la falta de medidas de seguridad para impedirlo resultando fundamental concienciarse de la realidad este problema, siguiendo los consejos aportados por los expertos así como las herramientas y técnicas de ciberseguridad que tenemos a nuestro alcance (cerciorarnos de la legitimidad y fiabilidad del enlace, correo, sitio web, cambio de claves y contraseñas…) y, la peligrosidad y riesgo que entraña revelar datos e información por correos electrónicos, llamadas telefónicas o SMS, más aún, si tenemos en cuenta que los organismos y/o entidades suplantadas no solicitan este tipo de información por estas vías.
IV. La Administración Pública ante el phishing: casos reales.
El desarrollo del phishing ha llevado a que entre sus principales víctimas nos encontremos con diferentes entidades e instituciones del sector público, mostrando a continuación, algunos de los ataques de phishing recientes de los que ha sido víctima la Administración Pública.
• Phishing a la Agencia Tributaria:
A pesar de no ser la primera vez que la Agencia Tributaria ha sufrido un ataque de phishing, la más reciente es la relacionada con la epidemia del Covid-19.
A través del envío de correos electrónicos fraudulentos —suplantando a la Agencia Tributaria— en los que se adjuntaba un archivo con las supuestas nuevas medidas en materia tributaria como consecuencia del Covid-19 que el usuario debía imprimir y firmar para devolverlo dentro del plazo dispuesto, el dispositivo electrónico quedaba infectado tras pinchar el usuario el citado adjunto obteniendo el atacante datos e información personal contenidos en el dispositivo.
Este tipo de modalidad se conoce con el nombre de malware-based phishing.
• Phishing al Ministerio de Trabajo:
Concretamente, nos referimos al Organismo Estatal de Inspección de Trabajo y Seguridad Social (ITSS).
Este ataque consistió en el envío de correos electrónicos fraudulentos a empresas haciéndose pasar por el ITSS y advirtiéndoles acerca de una supuesta investigación de la que era objeto la empresa en cuestión derivada de su incapacidad de cumplir y respetar la legislación en vigor. Se exponía una falsa queja recibida por el Ministerio debido a las hipotéticas infracciones legales, a la que se accedía a través de un enlace a un sitio web fraudulento donde se detallaban los pasos a seguir para solventar la citada situación.
Con el fin de asegurarse que se accedía al citado enlace, se advertía de las sanciones a las que se podría ver expuesto el usuario de manera que, mediante un malware-based phishing, al pincharlo se infectaba el dispositivo instalándose un malware que tomaba control del mismo y con el que se obtenían datos personales e información bancaria de la víctima.
• Phishing a la Organización Mundial de la Salud (OMS):
A nivel internacional y en relación con la pandemia del Covid-19 llama la atención, en el ámbito sanitario, el phishing a la OMS. Aprovechándose del desconocimiento existente, se enviaron correos electrónicos suplantando a dicha organización, adjuntando un enlace y/o un archivo con supuestas medidas de seguridad a llevar a cabo para evitar el contagio y la propagación del virus. Al abrir tanto el documento como el enlace, se instalaba en el dispositivo un malware-based phishing con el objetivo de hacerse con los datos, información y credenciales del afectado.
Resulta necesaria una regulación específica del phishing
No obstante, éste no ha sido el único pretexto con el que se han enviado correos electrónicos suplantando a la OMS encontrándonos con otros en los que, supuestamente se ofrece información novedosa acerca del Covid-19 y, al abrir los archivos adjuntos, aparecen idénticas consecuencias que en los anteriores supuestos.
Dado lo expuesto, resulta necesaria una regulación específica del phishing ya que, debido a la falta de tipificación penal de este ataque, en la práctica, se trata de encajar dentro del delito de estafa informática del Código Penal (CP) —artículo 248.2—. Sin embargo no podemos ceñirnos, únicamente, a este precepto, dada la amplitud y el carácter pluriofensivo del phishing, por lo que habrá que tener en cuenta otros artículos del citado código como son el delito de daños informáticos regulado en el artículo 264.2, la falsedad documental de los artículos 390 y siguientes y el artículo 197 y 197 bis CP englobados en el título sobre los delitos contra la intimidad, el derecho a la propia imagen y la inviolabilidad de domicilio, todo ello unido a necesidad de estar a lo dispuesto en textos normativos de ámbito transnacional debido al alcance que pueden presentar este tipo de delitos informáticos.
V. Conclusiones
Desde su nacimiento el phishing ha crecido y se ha desarrollado tanto en modalidades como en víctimas, ocupando así gran parte de la actividad de todos los ciberdelincuentes.
El hecho de que cualquiera —tanto una persona física como jurídica— pueda ser víctima de este ataque agrava —aún más si es posible— la situación, por lo que no podemos ser ajenos a este problema y resulta necesario prevenirlo. Debemos, por tanto, ser conscientes de su peligrosidad, de los riesgos que acarrea y hacer uso de todos los recursos disponibles para evitar caer en este engaño.
No siendo suficiente el mero conocimiento de esta realidad resulta crucial la concienciación de todos los ciudadanos, ayudándonos tanto de los consejos que nos aportan los expertos como de las herramientas y técnicas de ciberseguridad que tenemos a nuestro alcance.
Asimismo, circunstancias como la desinformación masiva junto con el escenario de incertidumbre generado por la crisis y epidemia del Covid-19 en toda la población han sido aprovechadas por los ciberdelincuentes para aumentar sus ataques y asegurar su éxito colocando, en estos momentos, a la Administración Pública, en su punto de mira.
El alcance de los daños que genera un ataque a las distintas entidades del sector público puede ser de gran calado y su éxito suele estar asegurado, situación que reporta grandes beneficios a los ciberdelincuentes y, probablemente, razón por la que se hayan focalizado muchos de estos ataques en la Administración Pública, convirtiéndose en uno de los servicios más utilizados para la comisión del phishing.