El ‘phishing’ se cuela en los servicios de almacenamiento de nube pública
Al alojar páginas falsas en estos servicios, que cuentan con la confianza de los usuarios, los ciberdelincuentes dificultan las tareas de detección.
Los cibercriminales están utilizando los servicios de nube pública para favorecer la propagación de software malicioso. En concreto, aprovechan los servicios de almacenamiento para alojar páginas web falsas y lanzar campañas de phishing.
Así lo advierte la firma de seguridad Check Point, que ha llevado a cabo una investigación al respecto y destaca que este tipo de herramientas se ha convertido uno de los principales objetivos de los delincuentes informáticos. “Sacan partido del hecho de que estos servicios suelen utilizarse con fines legítimos y no parecen sospechosos, por lo que tanto las víctimas como los administradores de la red tienen más dificultades para identificar y defenderse de esos ataques”, explica Eusebio Nieva, director técnico de Check Point para España y Portugal.
Hace unos años, las campañas de phishing se ponían en marcha directamente a través de páginas maliciosas. Ahora se respaldan en diferentes servicios de almacenamiento cloud para dificultar la detección.
Por ejemplo, ya no valdría con perseguir dominios de aspecto sospechoso o sitios sin certificado HTTPS. Los autores de los ataques superan esta primera barrera y van a por víctimas de diferentes niveles, incluso las más concienciadas con la seguridad.
Para que no se salgan con la suya, Check Point recomienda tomar precauciones con los mensajes que llegan a través del correo electrónico, desconfiar de los remitentes desconocidos, sospechar si hay errores ortográficos y no abrir los archivos adjuntos ni pinchar en los enlaces incrustados por defecto.
También hay que ser riguroso en las compras online y evitar seguir los enlaces promocionales. Lo mejor sería recurrir a un buscador de confianza para localizar las webs oficiales de los minoristas y hacer clic desde la página de resultados.
Además, cualquier oferta especial demasiado buena para ser cierta o un anuncio demasiado prometedor, así como la utilización de ciertos temas de actualidad, pueden ser señal inequívoca de phishing. Check Point pone por caso el de la “cura exclusiva para el coronavirus por 150 dólares”, que no es cierta.
Otras medidas que pueden ayudar son usar contraseñas distintas para cada aplicación e implementar soluciones de protección, mejor sin son de extremo a extremo y tienen capacidad para bloquear ciertas páginas.