En el mundo tecnológico y social en el que vivimos, las redes sociales forman parte de nuestro día a día. Las reglas del marketing digital nos enseñan que si no estamos en la parte online del mercado, si no estamos en Google, somos invisibles. Es por ello que en las redes sociales se encuentran tanto usuarios individuales como empresas y los ciberdelincuentes lo saben, por eso siempre están en constante actualización para atraernos, de alguna forma u otra, hacia sus redes para que caigamos en sus estafas. En este caso, hablaremos de otra modalidad de hacer phishing diferente a la que ya conocemos: a través de las redes sociales.
Phishing en las redes sociales
Al igual que con los correos electrónicos fraudulentos, el objetivo de los phishers en las redes sociales es el de recoger información personal como las credenciales de entrada a los perfiles, información de tarjetas de crédito y/o datos personales que utilizarán para suplantar la identidad de las personas o las webs de las empresas para la creación de nuevas estafas. Este tipo de ataques son peligrosos porque generan una falsa sensación de confianza y seguridad. Veamos cómo funciona el phishing en las diferentes redes sociales:
El phishing en Facebook
Al tratarse de una de las redes sociales que más se popularizó cuando el social media tomó impulso en la red, es una de las más utilizadas hasta el momento; aquí los usuarios conectan directamente con amigos, familiares, e incluso con clientes. Esta es la baza que juegan los ciberdelincuentes, pues hackean perfiles para llegar a otros perfiles de su red de amistades.
La primera víctima recibe un enlace o un mensaje en el que se pide las credenciales de la plataforma con el pretexto de solucionar un supuesto problema en su cuenta de Facebook, por ejemplo. Cuando la víctima clica en dicho enlace, una landing page lo trasladará a otro sitio que tal vez en apariencia no lo sea, pero será fraudulento, y aquí se le pedirá que inicie sesión mediante sus credenciales. Este es el momento en que las claves son robadas y el phisher puede lanzar sus campañas en masa a sus contactos. Aquí es donde nosotros debemos percibir este tipo de mensajes que pueden llegar a través de nuestro muro, a través de Messenger… y que siempre contendrán un enlace en el que hacer clic por diferentes causas y que nos redirigirá directamente a la misma página de aterrizaje (falsa) a la que llegó nuestro contacto, en este caso, la primera víctima.
Phishing en Instagram
Esta red social en la que se comparten fotos y vídeos del día a día pone en contacto tanto a usuarios conocidos como a desconocidos. En esta red social los ciberdelincuentes juegan muchas cartas; veamos algunas:
Utilizan los derechos de autor como excusa para que entremos en una página en la que tenemos que iniciar sesión con nuestras credenciales, pues si no lo hacemos nuestro vídeo o nuestro post será eliminado. También en los sorteos realizados por las cuentas profesionales juegan con la estafa emulando la misma cuenta que ha lanzado el concurso, con la misma fotografía de perfil, la misma biografía… para anunciarnos en nuestras cuentas que hemos sido los ganadores del premio y que para reclamarlo debemos pinchar en el enlace que nos facilitan y ¡sorpresa! verificar nuestra cuenta. Cuando los hackers ya tienen acceso a nuestras cuentas pueden utilizar nuestro perfil para suplantar nuestra identidad y pedir informaciones personales a nuestros seguidores, pero no lo sabremos, pues los mensajes que vayan dejando serán eliminados para no dejar rastro alguno.
El phishing en Twitter
Twitter es la red social que más se utiliza para mantenerse al día en las últimas tendencias o noticias. Es cierto que la plataforma lanza mensajes de advertencia cuando detecta que hay enlaces que te van a llevar a páginas externas a Twitter, pero en ocasiones es demasiado tarde. Aquí, la forma de phishing más común es la de verificación de la cuenta. La misma plataforma advierte de que nunca pedirá credenciales a través de un correo electrónico.
El phishing en LinkedIn
Como ya comentamos, las empresas deben tener presencia en la red, y LinkedIn es una plataforma muy utilizada para la búsqueda de empleo o la investigación de perfiles de candidatos para las empresas; es por ello por lo que esta red social es la que más ataques de phishing recibe. El método más utilizado es la excusa de la desactivación de la cuenta y la necesidad de pulsar un enlace para demostrar que nuestro perfil está activo. Otro formato de correo electrónico fraudulento de esta plataforma es el de que nuestra cuenta profesional ha sido comprometida y que nuestro correo está constantemente enviándoles mensajes de spam, así que deberemos clicar en un link que nos facilitarán para que no nos desactiven la cuenta en horas, en el que por supuesto, deberemos iniciar sesión.
Como vemos, la red está llena de peligros, pero afortunadamente son fácilmente evitables. Tener en cuenta los remitentes, los cuerpos de los mensajes y contar con un buen antivirus puede salvarnos de muchas. Eso sí; deberemos tener mucho cuidado con las contraseñas de nuestras redes sociales, pues una vez que los ciberdelincuentes tienen acceso, probarán en otros perfiles que tengamos en otras aplicaciones sociales, lo que llevará a que nos suplanten la identidad en todas las cuentas e incluso si investigan un poco, a conocer nuestros movimientos y rastro en la red, lo que puede derivar en robo de nuestras cuentas bancarias.
D. Eduardo García de la Beldad Sanchis
Experto Universitario en Análisis Forense Web y Redes Sociales en Ciberseguridad y Peritaje Informático Judicial, en Derecho Informático y Peritaciones Judiciales, en Hacking Ético de Sistemas y Redes de la UDIMA. Experto Universitario en Delegado de Protección de Datos LOPD. Master en Informática Forense y Delitos Informáticos (UDIMA).
