Aunque la implementación progresiva de soluciones de seguridad cada vez más avanzadas ha hecho que los delincuentes también hayan evolucionado sus técnicas, aún vemos como tácticas bien conocidas desde hace años siguen resultando efectivas para conseguir robar credenciales tanto a usuarios domésticos como corporativos.
Durante estos últimos años hemos observado cierta evolución en el phishing dirigido a empresas para tratar de hacerlo más creíble, y los consejos que se daban hace no tanto y que consistían en revisar el remitente o la redacción del mensaje ya no sirven en muchos casos actuales de suplantación de identidad.
De esta forma vemos que algunos delincuentes preparan con detalle sus campañas, tratando de imitar servicios legítimos de almacenamiento de ficheros o utilizando plantillas genéricas. A pesar de esto, la sencillez sigue estando muy presente en las campañas que se han observado durante las últimas semanas, lo que demuestra que queda mucho trabajo por hacer para evitar que los usuarios caigan en este tipo de trampas.
Durante el último mes hemos vuelto a comprobar que los casos de phishing bancario no solamente se dirigen a las grandes entidades, sino que incluso los clientes de las cajas de ahorros más modestas también pueden ser objetivo de una campaña de phishing dirigida a ellos. Tal fue el caso del phishing analizado a final de mes y que suplantaba la identidad de Caixa Ontinyent, entidad regional con presencia casi exclusiva en la Comunidad Valenciana.
Pero, además, los delincuentes saben aprovechar la fama de sitios webs que se usan, precisamente, para revisar si nuestros correos o credenciales se han visto afectados en alguna filtración. El caso más destacado ha sido el del sitio web fraudulento que se hacía pasar por Have I been pwned, todo un referente a la hora de revisar filtraciones de datos personales.
