Phishing: así suplantan a tus marcas favoritas para robarte el dinero y los datos personales

más habituales y peligrosas para un usuario en internet. Si no lo cree, únicamente tiene que abrir su correo electrónico y consultar la bandeja de spam. Allí, probablemente, encuentre varios correos de dudosa procedencia en los que se le advierte de que (supuestamente) su cuenta bancaria ha sido bloqueada. Así como otros en los que se afirma que ha sido ganador de un sorteo, y tiene que compartir una serie de datos para adquirir el premio, o que debe realizar un pago para que le llegue a su domicilio un paquete que está transportando DHL. Y solo se trata de un puñado de ejemplos. «El phishing, desafortunadamente, es la forma más sencilla de atacar a un usuario. Desde el punto de vista tecnológico no hace falta contar con una gran infraestructura ni unos grandes conocimientos. Lanzar una campaña a gran escala es muy sencillo. Solo hace falta encontrar el gancho adecuado para que el usuario caiga en el timo», explica a ABC Eusebio Nieva, director ténico de la empresa de ciberseguridad Check Point en España y Portugal. Precisamente, esta firma acaba de compartir su último informe, el Brand Phishing Report, en el que se analiza el estado de este tipo de amenazas a nivel global, cuando se suplanta a una marca conocida, durante el tercer trimestre de 2020. Según la empresa de ciberseguridad, la compañía más suplantada ha sido Microsoft. El 19% de todos los intentos de «phishing» se relacionaron con el gigante de la informática, aprovechando el gran número de empleados que aún trabajaban en remoto por culpa de la pandemia de Covid-19. «En estos momentos hay muchísimos usuarios de Microsoft empleando herramientas como, por ejemplo, Office 365. Esa plaforma como fuente de phishing para robar credenciales está siendo una de las más atacadas. En parte porque muchas empresas han encontrado en ella una forma de dar soporte en remoto a sus trabajadores para llevar a cabo sus labores desde casa. Obviamente, una de las formas más sencillas de atacar a una empresa es robando las contraseñas de sus empleados», apunta el director técnico de Check Point. Apple, Facebook, Netflix... Para que sus ciberestafas tengan el mayor éxito posible, los criminales tienden a hacerse pasar por empresas especialmente populares. Así lo demuestra que las segundas empresas más suplantadas sean el servicio de mensajería postal DHL y Google (con un 9% de todos los intentos de phishing cada una). A estas las siguen Paypal (6%), Netflix (6%), Facebook (5%), Apple (5%), WhatsApp (5%), Amazon (4%) e Instagram (4%). Nieva apunta que robar cuentas de plataformas populares puede resultar un negocio redondo para los estafadores: «Los cibercriminales tienden a hacerse pasar por compañías conocidas porque son las que les pueden dar dinero. Una base de datos de cuentas de Netflix o de Spotify tiene un precio determinado en el mercado. Por eso es común encontrar campañas contra este tipo de empresas». En el informe de Check Point se señala que el 44% de las ciberestafas en las que los criminales suplantan a una marca conocida se realizan a través de correo electrónico. Se encuentran cerca (con un 43%) las que se llevan a cabo a través de páginas web. Aunque, como señala Nieva, estas dos técnicas «se solapan en muchas ocasiones», cada una suele buscar unos fines concretos: «Para robar contraseñas, lo más habitual es que los ciberdelincuentes falsifiquen la página web de una empresa conocida, para que la víctima ingrese sus credenciales sin darse cuenta. Para infectar con virus un dipositivo, se suele emplear el correo electrónico; donde puedes insertar ficheros dañinos». Por detrás, con un 12%, se encuentra el phishing especializado contra móviles, que es el que le llega al usuario a través de SMS, WhatsApp o aplicaciones de redes sociales. «Vemos que este tipo de ataques están aumentando bastante. Es una tendencia que venimos observando en los últimos informes sobre el estado del phishing. Aunque están creciendo de forma constante, todavía tienen mucho recorrido», dice el director técnico de Check Point. Respecto a las plataformas preferidas de los cibercriminales en las campañas de este tipo, el informe destaca servicios como WhatsApp, PayPal y Facebook.