Google te pone a prueba: ¿sabes detectar un ataque de phishing?

Una de las expresiones que más me llamaban la atención era eso de lobos con piel de cordero. Siendo todavía un niño la interpretaba de manera literal, algo así como la imagen superior. Con los años, desgraciadamente, fui conociendo a algunas personas que me hicieron entender la metáfora que subyace en el concepto. Con el cambio de siglo, descubrí una nueva aplicación práctica de este concepto: el phishing.

Por aquellos tiempos, eso sí, los ataques eran bastante menos sofisticados que hoy en día. Y sí, menos sofisticados es un eufemismo que en realidad quiere decir que eran bastante chapuceros y lamentables. Aún recuerdo uno, en el que se me informaba de que mi «Membresia del Bank de Espana Madrid Inc. habia fallecido» (véase todo con un enorme SIC), y me urgía a facilitar determinados datos para solucionar tan acuciante problema. Eran buenos tiempos: si sabías un poco de haches y tildes, estabas protegido).

Lamentablemente, pero también lógicamente, el phishing ha evolucionado mucho en todos estos años, y a día de hoy es bastante sencillo caer en un ataque de este tipo. Y esto supone un serio problema tanto para quienes son víctimas directas de dichos ataques, como para las empresas y entidades que ven cómo sus usuarios y clientes se ven amenazados, e incluso pueden llegar a dejar de operar sus servicios online. Y no hay que olvidar, además, que el phishing puede ser solo el punto de entrada para ataques de mayor escala.

Aunque la persecución de los delincuentes es muy importante, un factor clave para mitigar sus riesgos es que los usuarios sean conscientes de su existencia, así como de identificar determinados elementos que sirven de alerta para discernir si un mensaje es legítimo o, por el contrario, se trata de un ataque basado en la suplantación de identidad. Recientemente, Google ha publicado este mensaje en su perfil oficial de Twitter:

Al hacer click en el enlace del tweet, se accede a una página web en la que Google propone al usuario enfrentarse a un total de ocho mensajes de correo electrónico, todos aparentemente legítimos, para que intente averiguar si son confiables o, por el contrario, forman parte de un ataque de suplantación de identidad a través del email.

¿Cómo se identifica el phishing?

Lo de la suplantación de identidad en el correo electrónico no es una guerra «nueva» para Google. Como ejemplo, hace ya la friolera de 12 años te contábamos los planes de la tecnológica para luchar contra el phishing en Gmail. Pero, desgraciadamente, no basta con medidas tomadas desde el lado del suplantado, o de la herramienta empleada para la difusión y lectura de esos correos, el usuario es un elemento clave en esa cadena de seguridad.

La estrategia implica a todas las partes. De un tiempo a esta parte ya hemos visto cómo muchas empresas informan periódicamente a sus clientes de los riesgos del phishing y, por ejemplo, les recuerdan que nunca les pedirán sus claves a través de correo electrónico. El usuario debe tomar buena nota de estas indicaciones y, ante la más mínima sospecha, ponerlo en cuarentena.

Con el test que te propone Google en la página del tweet, podrás ver no solo unos mensajes que podrían ser phishing o no, también sabrás dónde y qué tienes que mirar para hacer tus propias pesquisas. Enlaces, direcciones «raras», nombres parecidos pero no iguales… la verdad es que, según cómo lo mires, tiene hasta un punto lúdico: «Sherlock Holmes contra el suplantador del email«. Bueno, bromas aparte, sí que es muy, muy recomendable aprender a identificar este tipo de mensajes.

¿Recibes muchos correos con phishing? ¿Alguna vez han logrado engañarte? ¿Cuál es tu técnica para identificarlo? Y, si ya has hecho el test de Google, una duda personal… ¿qué opinas del octavo y último supuesto? Y para que se vea que no es por presumir, ya te adelanto que yo en esa… ¡he fallado!