1.1. ¡Que no te pesquen con el phishing! 502k4n

UPV Podcast.

Descobréis la mejor universidad tecnológica de España.

Ciberseguridad en la UPV.

Un podcast para sentirte con seguridad en el mundo digital.

Ciberseguridad en la UPV.

Un podcast presentado y dirigido por Sandra Barrancos.

Phishing, bullying, smishing...

Son palabras que a todos los ajenos a la informática nos suenan a chino.

Términos que encierran peligros en nuestros propios ordenadores y móviles.

Pero que nadie desespere, se pueden prevenir y solucionar.

Y desde Ciberseguridad en la UPV te ayudamos a entender qué son, cómo proteger tus datos personales, archivos, fotografías e incluso tu dinero.

Soy Sandra Barrancos, periodista del área de Comunicación.

Y para darnos las claves sobre este tema, está aquí Ismael Ripoy, profesor de la Universidad Politécnica de Valencia, experto en ciberseguridad, que nos resolverá todas nuestras dudas.

¿Qué tal, Ismael? ¿Cómo estás? Hola, muy bien. Encantado de estar aquí contigo.

En este primer podcast os hablamos del ataque a la seguridad digital más conocido y que seguro que habéis oído mencionar alguna vez, el phishing.

Escuchemos en qué consiste.

Consiste en el envío de mensajes, generalmente correos electrónicos, para engañar a la víctima haciéndose pasar por una organización o persona en la que confía.

El fin es manipularla y hacer que realice acciones que no debería, como revelar información confidencial o hacer clic en un enlace.

Yo creo que he recibido alguno de estos mensajes.

Cuéntanos más sobre el phishing, para que sepamos reconocerlo.

El phishing está muy de moda últimamente, estamos recibiendo muchos, y es un tipo de ataque que se conoce como ingeniería social.

Y aunque parezca que la ingeniería social no tiene mucho que ver con la informática, porque quizás tenga aspectos más psicológicos, realmente es un tipo de ataque informático en el que la víctima somos las personas y el objetivo final son los sistemas informáticos.

Por eso sí que se considera como un ciberataque, aunque el medio del ataque somos las personas, somos nosotros, y juegan con nuestras debilidades.

O con nuestra incertidumbre a la hora de trabajar con los ordenadores.

Básicamente consiste en que recibimos un correo, típicamente es un correo o algún tipo de mensaje que contiene un enlace o alguna información relacionada con el sistema, con los ordenadores, y nos creemos en la veracidad de esa información y a partir de ahí hacemos acciones con ellas.

Típicamente, pues, o hacemos un clic y nos visitamos una página que nos han recomendado en ese correo, o directamente nos descargamos un software y lo instalamos pensando que es benigno, que nos interesa, y a partir de ahí empiezan a suceder cosas malas.

Realmente es un tipo de ataque que se basa en una cosa que hacemos convencionalmente en el trabajo, que es intercambiar información con nuestros compañeros o gente que conocemos, pero que se pone en medio un atacante y abusando de esa confianza nos obliga a hacer ciertas acciones que son dañinas.

Por eso se llama ingeniería social, es nosotros trabajando contra nosotros mismos.

Eso es el fiche.

Sí, da un poco de miedo porque antes este tipo de correos electrónicos eran más fáciles de detectar, tenían errores gramaticales o contaban historias rocambolescas, como la del príncipe africano que te pedía los datos de tu cuenta para alegarte millones de patrimonio, pero ahora cuesta más distinguirlos, están bien redactados, perfectamente maquetados, ¿no? Sí, la verdad es que hay que decir que con toda la explosión de la IA y las nuevas herramientas y el perfeccionamiento de las técnicas de los atacantes, pues lo que antes nos hacía un poco de risa recibir algún correo diciendo que nos habían donado millones de algún príncipe africano, ahora ya no somos capaces de distinguir correos buenos de malos.

Entonces, en la medida en que la IA es capaz de generar texto muy razonable, muy próximo a los humanos, por una parte eso, y por la otra, los atacantes están fabricando una industria, por desgracia, están desarrollando su industria de los ataques, hacen que esos mails son mucho más efectivos.

Entonces, por eso estamos reviviendo una campaña nueva de phishing.

Eso también unido a los ataques que han habido en robots de bases de datos y esa información.

Por lo tanto, los atacantes tienen todas las herramientas, tienen nuevas capacidades IA, nuevas habilidades, somos gente que le dedica tiempo y está viendo que le funciona, y nuevos conocimientos, nos conocen mejor, de tal forma que son capaces de hacer mails mucho más dirigidos, mucho más target.

Y por eso hay que volver a llevar cuidado, hay que volver a subir el nivel de la awareness, que se diría en inglés, de la confiabilidad, para estar atentos, es un nuevo vector de ataque.

Sí, y además parece que hay formas más sofisticadas.