Spam y Phishing: diferencias entre los tipos de email fraudulentos
El Phishing sigue siendo ¡°la forma preferida de comprometer las organizaciones¡° y no es meramente publicidad basura.
El pasado junio vimos que Espa?a tr¨ªstemente figura en el Top 10 de los pa¨ªses que m¨¢s correos no deseados generan en todo el mundo, con China a la cabeza del listado. Y es que los emails basura del SPAM o los correos fraudulentos del Phishing, arma adorada por los hackers para robarnos los datos online, son una plaga, una aut¨¦ntica plaga. Para hacerse una idea, seg¨²n un informe reciente de la divisi¨®n de ciberseguridad de la multinacional de Telecomunicaciones Cisco, s¨®lo durante el mes de abril pasado el 85% del correo mundial era ¡®spam¡¯, y en Espa?a se enviaron en esas 4 semanas hasta 42 millones de emails fraudulentos o no deseados.
Diferencia entre SPAM y Phishing
Y es que las estad¨ªsticas que el Informe de Ciberamenazas y Tendencias 2019 del CCN-CERT espa?ol (Centro Criptol¨®gico Nacional), un documento extenso de m¨¢s de 128 p¨¢ginas en el que se realiza un an¨¢lisis de las ciberamenazas, nacionales e internacionales, de su evoluci¨®n y tendencias futuras, son demoledoras, rese?ando que los ataques de phishing se han hecho m¨¢s espec¨ªficos. Desde el a?o 2011 hasta el 2018, los ataques de phishing a dispositivos m¨®viles: han aumentado en torno al 85% anual , y los llamados ¡®actores avanzados¡¯ -cibergrupos y/o campa?as de la escena hacker conocidos- ya usan t¨¦cnicas de phishing m¨®vil, por ejemplo, Dark Caracal y Pegasus.
Pero aunque tendamos a meterlos en el mismo saco, lo cierto es que no todo el spam es phishing y viceversa. Dentro del t¨¦rmino generalista ¡®Spam¡¯ que usamos para denominar a los ¡°correos electr¨®nicos no solicitados¡° el CNN-CERT hace una divisi¨®n entre tres categor¨ªas:
Spam Convencional
La parte menos ¡®da?ina¡¯ por as¨ª decirlo de todo el circo de emails que engloba el spam, el Spam Convencional es el que ha menudo se utiliza para anunciar productos o servicios, as¨ª como en intentos de fraude.
Malspam o Malware Spam
Conocido como Malspam, este tipo de spam m¨¢s da?ino es utilizado por ¡°los agentes de las amenazas para infectar los sistemas de los destinatarios con c¨®digo da?ino¡±. El malware puede estar en un adjunto a un correo electr¨®nico o introducirse indirectamente a trav¨¦s de un enlace en el cuerpo del correo o en los archivos adjuntos. Este enlace conduce al malware o a un sitio web que contiene exploits.
Phishing o Suplantaci¨®n de Identidad
Casi que el peor de los tres, el phishing es una t¨¦cnica tan vieja como el email, conducida por actores m¨ªticos como el Pr¨ªncipe Nigeriano, y el peligro de estos correos es que enga?an a los usuarios para que revelen informaci¨®n personal, privada y financiera en sitios web controlados por quienes han distribuido esa estafa Phishing precisamente.
Phishing, el arma favorita de muchos
En la mayor¨ªa de los casos, el correo no deseado se env¨ªa a trav¨¦s de servidores comprometidos, sistemas cliente infectados, o de cuentas de correo electr¨®nico leg¨ªtimas, utilizando informaci¨®n de inicio de sesi¨®n robada. Se ha demostrado que el phishing es la forma preferida de comprometer a las organizaciones, ya que el 75% de los Estados miembros de la UE revelaron casos de phishing en 2018.
Y un ¨²ltimo dato: m¨¢s del 90% de las infecciones de c¨®digo da?ino y el 72% de las violaciones de datos en organizaciones se originaron a partir de ataques de phishing.