OUCH!

| Diciembre de 2011

E N E S T A E D I C I N
Phishing
Scams
Cmo protegerse?

Phishing y Scams en el Correo Electrnico

EDITOR INVITADO
Pieter Danhieux es el editor invitado para esta edicin.
Trabaja para BAE Systems stratsec en Australia
(www.stratsec.net), y es instructor de cursos de pruebas de
penetracin en el SANS Institute.

RESUMEN
El correo electrnico es una de las principales formas de
comunicacin. No slo lo utilizamos todos los das en el
trabajo, sino tambin para mantenernos en contacto con
amigos y familiares. Adems, el correo electrnico es la
forma en que las compaas proveen muchos de sus
productos o servicios; por ejemplo, confirmaciones de
compras en lnea o actualizaciones para nuestras cuentas
bancarias. Por ello, muchas personas alrededor del mundo
dependen del correo electrnico, esto lo convierte en uno
de los principales mtodos que los cibercriminales utilizan
para realizar ataques. En esta entrega explicamos los
peligros y pasos que puedes seguir para protegerte.

evolucionado, y ahora se refiere a casi cualquier

ciberataque enviado por correo electrnico.
Un ataque de phishing comienza con un correo electrnico
que pretende proceder de alguna persona u organizacin
que conoces y en quien confas, como tu banco o tienda
favorita en lnea. Estos correos electrnicos tratan de
convencerte para realizar una accin, como dar clic sobre
un enlace, abrir un archivo adjunto, o responder a un
mensaje. Los cibercriminales elaboran estos correos
electrnicos de manera convincente, despus los envan a
miles, si no es que a millones de personas alrededor del
mundo. Los criminales no tienen un objetivo especfico en
mente, ni saben exactamente quienes sern las vctimas.
Simplemente, saben que entre ms correos electrnicos
enven, ms gente podr ser engaada. Comnmente, los
ataques de phishing tienen uno de los siguientes objetivos:

Recoleccin de informacin: El objetivo de estos

atacantes es convencerte de dar clic en un enlace
y llevarte a un sitio web que solicite tu usuario y
contrasea, o quizs tu color favorito o el nombre
de soltera de tu mam. Estos sitios web pueden
parecer legtimos y tener exactamente el mismo
aspecto de tu banca en lnea, pero estn
diseados para robar informacin que podra
darles acceso a tu cuenta.

Control de tu computadora a travs de enlaces

maliciosos: Una vez ms, el objetivo de los
ciberatacantes es que des clic en un enlace. Sin

PHISHING
El phishing es uno de los ataques ms comunes presentes
en el correo electrnico. Utiliza ingeniera social, una
tcnica en la que los ciberatacantes intentan engaarte
para que realices alguna accin determinada. El phishing
es un trmino originalmente utilizado para describir un
ataque diseado para robar informacin de tus
credenciales de banca en lnea. Sin embargo, el trmino ha

The SANS Institute 2011

http://www.securingthehuman.org

OUCH! | Deciembre de 2011

Phishing y Scams en el Correo Electrnico

embargo, en lugar de obtener tu informacin, su
objetivo es infectar tu computadora. Si das clic en
el enlace, sers dirigido a un sitio web que, de
manera silenciosa, lanza un ataque contra tu
navegador y, si es exitoso, obtendrn el control
completo de tu equipo.

Control de tu computadora a travs de adjuntos

maliciosos: Estos correos electrnicos de
phishing vienen acompaados de archivos
adjuntos infectados, como archivos PDF o
documentos de Microsoft Office (Word, Excel o
PowerPoint). Si abres estos adjuntos pueden
atacar tu computadora, y si resulta exitoso, dar al
atacante control sobre tu equipo.

Usa el sentido comn, si un

correo electrnico parece extrao
o demasiado bueno para ser

SCAM
El scam (estafa) no es nada nuevo, son intentos
fraudulentos realizados por los criminales. Algunos
ejemplos clsicos incluyen avisos que te indican que has
ganado la lotera (cuando ni siquiera has participado), o
que alguien necesita transferir millones de dlares a tu pas
y le gustara pagarte para que lo ayudes con la
transferencia. Entonces, te dirn que tienes que pagar
primero una tarifa de procesamiento antes de poder
obtener tu dinero. Despus de pagar estos honorarios, los
criminales desaparecen y nunca ms vuelves a saber de
ellos.

verdad lo ms probable es que se

trate de un ataque.

A continuacin, te presentamos algunos puntos que

podran indicar si un correo electrnico es en realidad un
ataque.

Sospecha de cualquier correo electrnico que

requiera una accin inmediata o que cree una
sensacin de urgencia. Este es un mtodo muy
comn que se utiliza para engaar a la gente.

Sospecha de direcciones de correo que digan

Estimado Cliente o algn otro saludo genrico.

Sospecha de errores gramaticales u ortogrficos.

La mayora de las empresas deben revisar sus
mensajes con mucho cuidado.

Si el enlace en un correo electrnico es

sospechoso, pasa el ratn sobre el enlace. Esto te
mostrar el destino al que te llevar si haces clic.

CMO PROTEGERSE?
En la mayora de los casos, abrir un correo electrnico es
seguro. Para que la mayora de los ataques funcionen,
tienes que hacer algo despus de leer el correo electrnico
(por ejemplo, abrir un archivo adjunto, hacer clic en un
enlace, o responder a una solicitud para obtener
informacin). Si despus de leer un correo electrnico
piensas que es un ataque o una estafa, simplemente
elimnalo.

The SANS Institute 2011

http://www.securingthehuman.org

OUCH! | Deciembre de 2011

Phishing y Scams en el Correo Electrnico

El enlace que est escrito en el correo electrnico
probablemente puede ser muy diferente al lugar
donde realmente te enviar.

TinyURL. Con el fin de mitigar problemas de seguridad,

OUCH! siempre utiliza la caracterstica de vista previa de
TinyURL (preview), la cual muestra el enlace destino
solicitando permiso antes de abrirlo.

No des clic en enlaces. Lo recomendable es copiar

la URL del correo electrnico y pegarlo en el
navegador. Aun mejor, es escribir el nombre en el
navegador. Por ejemplo, si tienes un correo
electrnico de UPS dicindote que tu paquete est
listo para ser entregado, no debes de hacer clic en
el enlace. En lugar de eso, dirgete al sitio web de
UPS, y copia y pega el nmero de seguimiento.

Sospecha de archivos adjuntos. Solo se deben

abrir archivos adjuntos que ests esperando.

Si recibiste un correo electrnico de tus amigos,

esto no significa que precisamente ellos lo
enviaron. Las computadoras de tus amigos podran
estar infectadas, o sus cuentas probablemente
comprometidas, en cuyo caso un cdigo malicioso
estara enviando correos electrnicos a todos sus
contactos.
Si
recibes
correo
electrnico
sospechoso de la cuenta de un amigo o un colega
confiable, comuncate o confirma con ellos la
veracidad del envo.

Usuario Casero UNAM/CERT - Phishing Scam:

http://preview.tinyurl.com/7a9brgw
Alerta en lnea Evite estafas:
http://preview.tinyurl.com/82wdbgu
Anti-Phishing Working Group:
http://preview.tinyurl.com/7qoqfew
OSI Fraude e Ingeniera Social:
http://preview.tinyurl.com/6v27dz3
Clic Seguro Qu es? Diccionario de Trminos:
http://preview.tinyurl.com/89z2r79

MS INFORMACIN
Suscrbete al boletn mensual OUCH!, el boletn de
consejos sobre seguridad. Accede a los archivos de
OUCH! y aprende ms acerca de las soluciones
preventivas de seguridad que SANS tiene para ti.
Vistanos en http://www.securingthehuman.org.

Finalmente, el uso seguro del correo electrnico se reduce

al sentido comn. Si algo te parece sospechoso o muy
bueno para ser verdad, lo ms probable es que se trate de
un ataque. Lo que debes hacer es simplemente eliminar
ese correo electrnico.

VERSIN EN ESPAOL
UNAM-CERT, equipo de respuesta a incidentes en Mxico
reconocido ante FIRST, es una referencia en seguridad de
la informacin en este pas. Sitio web
http://www.seguridad.unam.mx, sguelo en Twitter
@unamcert.

RECURSOS
Algunos de los enlaces mostrados a continuacin, se
redujeron para mejorar la legibilidad a travs del servicio de

OUCH! es publicado bajo el programa Securing The Human de SANS y es distribuido bajo la licencia Creative Commons BY-NC-ND 3.0. Se
concede el permiso para distribuir este boletn siempre y cuando se referencie la fuente, la distribucin no sea modificada ni
usada con fines comerciales. Para traduccin o ms informacin, por favor contacte a: ouch@securingthehuman.org.
Consejo Editorial: Bill Wyman, Walt Scrivens, Phil Hoffman, Lance Spitzner, Carmen Ruyle Hardy
Versin en espaol a cargo de UNAM-CERT: Mayra Villeda, Francisco Martnez, Galvy Cruz, Ivn Alvarado

The SANS Institute 2011

http://www.securingthehuman.org