El phishing es una de las técnicas más frecuentes en ciberdelincuencia. Se trata de uno de los ejemplos más conocidos de lo que se conoce como “ingeniería social”, una modalidad de ataque que apunta a los usuarios, antes que a los sistemas o dispositivos. Un caso reciente y de gran visibilidad es la intrusión en los sistemas de la Universidad de Harvard que se concretó con un tipo específico de suplantación de identidad y expuso datos personales de estudiantes y docentes de esa institución.
¿Cómo fue el phishing contra la Universidad de Harvard?
¿Cualquiera puede ser víctima de ataques basados en ingeniería social? El incidente que tiene como protagonista a la Universidad de Harvard inclina la balanza hacia una respuesta afirmativa. Fundada en 1636 en Massachusetts, Estados Unidos, es una de las instituciones educativas de mayor renombre en el mundo. En la actualidad, tiene más de 20.000 empleados, casi 25.000 estudiantes y más de 400.000 exalumnos.
Leé también: Una filtración masiva expone más de 183 millones de contraseñas de emails: ¿qué hacer para evitar los riesgos?
El ataque a Harvard ocurrió el 18 de noviembre. Tras descubrir la intrusión, las autoridades de la universidad confirmaron que “un tercero no autorizado accedió a los sistemas utilizados por el área de Asuntos y Desarrollo de Exalumnos, como resultado de un ataque de phishing de voz”.
“La Universidad actuó de inmediato para retirar el acceso del atacante (...) y evitar futuros accesos no autorizados. Escribimos (este correo) para informar que es posible que se haya accedido a su información y para que esté alerta ante cualquier comunicación inusual que supuestamente provenga de la Universidad”, alertaron en un comunicado que enviaron a los afectados.
Como consecuencia del ciberataque, quedó expuesta información personal de estudiantes, exalumnos y sus familiares, personal y cuerpo docente de la Universidad de Harvard. Entre los datos vulnerados figuran direcciones de correo electrónico, números telefónicos, direcciones postales, registros de asistencia a eventos y detalles sobre donaciones de dinero en actividades de recaudación de fondos.
La directora de Información de la universidad, Klara Jelinkova, aseguró que los intrusos no accedieron a contraseñas ni a datos financieros.
Leé también: Así se envenena a la Inteligencia Artificial: no importa tanto el tamaño de la víctima, sino la dosis
Según informó Bleeping Computer, las autoridades de la institución educativa no especificaron cuántas personas vieron expuesta su información. Por otra parte, recomendaron que los afectados presten atención a mensajes y llamadas que supuestamente provengan de la universidad, especialmente aquellos que soliciten el reestablecimiento de contraseñas o pidan datos confidenciales.
Qué es un phishing de voz, la técnica que vulneró los sistemas de la Universidad de Harvard
A esta modalidad también se la conoce como “vishing”, por “voice phishing”. Básicamente, es una estafa en la que los ciberdelincuentes llaman por teléfono haciéndose pasar por una persona, organización o empresa de confianza con el objetivo de conseguir información confidencial. Por ejemplo, credenciales para acceder a servicios digitales.
Leé también: Qué es el “vishing” y cómo evitar caer en la trampa
Esta modalidad ha incrementado su peligrosidad debido a los avances en Inteligencia Artificial que, entre otras capacidades, permiten emular voces con un alto grado de fidelidad.
Tal como señalamos, es una de las muchas variantes del phishing y, a su vez, una forma de ingeniería social. En la mayoría de los casos, los actores maliciosos generan una sensación de urgencia y apelan a las emociones de sus víctimas.
El ardid no se basa tanto en aspectos técnicos, sino en las debilidades humanas. “Los ataques de phishing son muy efectivos en principio porque tienen una gran capacidad de generar confianza, ya sean empleados de organizaciones y empresas o usuarios hogareños”, explicó a TN Tecno Mario Micucci, especialista en ciberseguridad de la firma ESET.
La peligrosidad del phishing no se agota en la instancia del robo. En línea con las recomendaciones de las autoridades de Harvard, los ciberdelincuentes habitualmente usan la información que obtuvieron para canalizar otros ataques y así expandir el alcance de sus maniobras maliciosas.
