Phishing y pharming: ¿son un riesgo para ti y tus clientes?

A lo largo de la historia, las personas han utilizado la pesca (fishing) y la agricultura (farming) como medios de supervivencia. En la era informática actual, los ciberdelincuentes perfeccionan sus técnicas de phishing y pharming para sobrevivir de otra manera: engañando a personas desprevenidas para que revelen datos confidenciales que los ciberdelincuentes utilizan después para robar fondos o identidades.

Estos ciberataques comunes pueden ser devastadores para los clientes, pero pueden ser igual de perjudiciales para las empresas: En 2022, hubo 300 497 víctimas de phishing con una pérdida total de USD 52 089 159 solo en EE. UU..

Para evitar que sus clientes (y ellos mismos) sean víctimas, las empresas de ecommerce deben comprender cómo funcionan estos ciberataques, qué efectos pueden tener en sus empresas y qué medidas deben tomar para ayudar a proteger los datos de sus clientes.

Cómo los ataques de phishing comprometen los datos personales

Las estafas de phishing, que son una forma de ingeniería social y robo de identidad, intentan engañar a las personas para que revelen información personal, como números del Seguro Social, nombres de usuario y contraseñas o números de tarjetas de crédito. Los estafadores suelen ponerse en contacto con las víctimas mediante mensajes de texto, correo electrónico o teléfono, y se hacen pasar por una figura de autoridad o una empresa aparentemente legítima para obtener los datos confidenciales de la víctima. Incluso pueden utilizar logotipos de empresas reales, direcciones de correo electrónico de retorno que suenen auténticas y enlaces de aspecto realista en sus comunicaciones para “engañar” a clientes desprevenidos y hacerles facilitar datos confidenciales. Y estos correos electrónicos funcionan: en su quinto año de pruebas a los consumidores para ver si eran capaces de distinguir un correo electrónico de phishing de uno legítimo, KnowBe4 informó que el 32 % no pasó la prueba.

Pero los correos electrónicos no son más que una parte de la estafa para que las víctimas envíen sus datos confidenciales directamente a la base de datos del estafador. Los phishers también pueden instalar software malicioso en las computadoras, infectarlas con virus o incluso robar información personal de estas.

Aunque muchos de estos ataques se aprovechan de debilidades del software y de la seguridad, en esencia no dejan de ser simples estafas en las que los estafadores se disfrazan de personas o empresas confiables. Y, una vez que tienen en sus manos los datos de un cliente, los utilizarán para abrir nuevas cuentas de tarjetas de crédito o incluso para cometer robos de identidad.

Cada mes se crean casi 1.4 millones de nuevos sitios de phishing y el 36 % de todas las filtraciones de datos involucraron phishing en 2022. Los ataques de phishing, pharming y whaling (phishing dirigido a altos ejecutivos) mostraron un aumento significativo en la incidencia global en 2023, y un 43 % de los comerciantes experimentaron este tipo de fraude, frente al 35 % de 2022, prueba de que los destinatarios siguen cayendo en ellos. El mes pasado, el sitio de reservas de viajes Booking.com confirmó un reciente ataque de phishing en el que los hackers consiguieron robar la información de las tarjetas de crédito de los consumidores.

Los riesgos generalizados del pharming

Otra estafa habitual de los estafadores son los ataques pharming, que también se basan en los mismos sitios web falsos y en el robo de información. Los objetivos de ambos ataques son los mismos: robar datos personales y utilizarlos para solicitar nuevas tarjetas de crédito, retirar fondos de las cuentas de las víctimas o incluso vender los datos a compradores en la web oscura.

Pero hay dos formas en las que el pharming difiere significativamente del phishing.

1. No requiere ninguna acción por parte de la víctima

Los ataques de phishing requieren que las víctimas hagan clic en un enlace que las lleva al sitio web fraudulento, pero los ataques de pharming instalan automáticamente código malicioso en una computadora.

Al “corromper” la caché DNS (la lista almacenada de sitios web visitados anteriormente) de computadoras, servidores o redes, los pharmers pueden desviar a los usuarios a sitios web fraudulentos, incluso cuando escriben la dirección correcta. Cuando los usuarios empiezan a escribir una dirección web, como “PayP”, una sugerencia automática redirige al usuario al sitio web falso, donde el usuario iniciará sesión como de costumbre y, sin saberlo, entregará sus credenciales.

Como este código no requiere consentimiento ni conocimiento para ejecutarse, muchas víctimas nunca se dan cuenta de que su servidor DNS local ha redirigido su solicitud a un sitio web fraudulento.

2. Puede afectar a un mayor número de personas

Los phishers también operan a menor escala, y envían miles de correos electrónicos con la esperanza de que una víctima crédula muerda el anzuelo y haga clic en un enlace. Pero los pharmers pueden estafar a cualquiera que visite un sitio web en particular (o incluso comience a escribir el nombre de una dirección web), lo que les da un alcance mucho más amplio.

Estos ataques de “suplantación de dominio” están aumentando, en parte, porque los estafadores están buscando nuevas formas de recopilar datos personales confidenciales de los usuarios de Internet que están aprendiendo a evitar los ataques de phishing. Un ataque de pharming afectó a más de 50 instituciones financieras y sus clientes en Estados Unidos, Europa y Asia-Pacífico. Antes de ser detenido, el ataque infectó más de 3000 computadoras en solo tres días.

Pero no solo las grandes empresas son vulnerables. Los hackers pueden incluso cambiar la configuración DNS del enrutador doméstico inseguro de un cliente, lo que permite redirigirlo a sitios web fraudulentos.

Cómo el phishing y el pharming afectan a tus clientes

El phishing es una táctica habitual en los fraudes de ecommerce. Los estafadores envían correos electrónicos falsos, que parecen legítimos, en los que les piden a los clientes que faciliten datos personales o financieros haciendo clic en un enlace o descargando algo. Una vez obtenidos, los datos robados, como los datos de inicio de sesión y los números de tarjetas de crédito, pueden utilizarse indebidamente en diversos engaños fraudulentos:

Fraude de apropiación de cuenta

Los ataques de fraude de apropiación de cuenta aumentaron un 354 % interanual en 2023, y el 73 % de los consumidores cree que la marca es responsable de estos ataques y de proteger las credenciales de las cuentas.

Los ataques de fraude de apropiación de cuenta suelen comenzar con phishing y pueden dar lugar a elevadas tasas de contracargo para las empresas. Entre los objetivos comerciales más frecuentes se encuentran los servicios de suscripción y los pagos recurrentes. Una vez que las empresas establecen los pagos iniciales, es posible que presten menos atención a los cambios a lo largo del tiempo. Aquí es donde los estafadores pueden atacar fácilmente.

Fraude de triangulación

El fraude de triangulación se produce cuando clientes inocentes realizan compras en un mercado de terceros fraudulento, o pharmed, que roba su información de envío y pago. El cliente recibe el artículo después de que el estafador lo haya pedido con información de pago robada en un sitio legítimo. Pero es probable que ahora la información de pago robada se utilice en otra transacción de fraude de triangulación.

El fraude de triangulación es un problema creciente, y el 17 % de los comerciantes en línea de todo el mundo sufrirán este tipo de ataques en 2022.

Fraude de compra en línea con retiro en la tienda

El fraude de compra en línea con retiro en la tienda es una especie de híbrido entre el fraude de apropiación de cuenta y el fraude de triangulación. Este tipo de fraude ha ido en aumento, con una tasa de intentos de fraude del 7 % frente al 4.6 % con otros canales de entrega, lo que obliga a las empresas a distinguir entre pedidos sospechosos y legítimos.

El estafador utiliza los datos de la tarjeta de crédito robada para realizar una compra en línea que se recogerá en la tienda. El estafador puede retirar rápidamente la mercancía antes de que la víctima vea algún cargo o cancele el pedido justo antes de que entre a la tienda para recogerlo. Al no haber una dirección de envío que confirmar, este tipo de fraude no se detecta con facilidad hasta que se alerta a la empresa sobre un posible contracargo.

En la transición hacia la era de la inteligencia artificial, los estafadores están llevando sus tácticas a un nivel más avanzado.

Fraude de spear phishing

Desde el cuarto trimestre de 2022, cuando se introdujo ChatGPT, se ha producido un aumento del 1265 % en los correos electrónicos maliciosos de phishing, y un aumento del 967 % en el phishing de credenciales. Los ciberdelincuentes están aprovechando las herramientas de IA generativa para generar mensajes de phishing convincentes que imitan el estilo de la correspondencia oficial de los comerciantes, aunque son más dirigidos.

La mayoría de los 3400 millones de correos electrónicos de phishing que se envían a diario están automatizados y se dirigen a una gran audiencia sin demasiado contexto. El spear phishing, una forma de phishing altamente dirigida, aprovecha la IA para analizar grandes cantidades de datos y elaborar mensajes más personalizados y convincentes dirigidos a una audiencia de una sola persona.

Cómo las empresas y los clientes pueden ayudar a prevenir estos ataques

Los clientes pueden fácilmente pensar que están en contacto con una empresa legítima y compartir información con ella. Después de todo, los estafadores utilizan logotipos reales, direcciones web que parecen legítimas y enlaces que parecen realistas.

Una forma de ayudar a reducir el riesgo de ataques es que las empresas les aseguren a sus clientes que nunca les enviarán ninguna comunicación electrónica en la que se les soliciten datos personales, y que los clientes notifiquen a las empresas si reciben alguna comunicación sospechosa.

Las empresas también pueden ayudar a los clientes a evitar ser víctimas de un fraude indicándoles que hagan lo siguiente:

1. Evitar hacer clic en cualquier enlace de un correo electrónico y, en su lugar, abran una nueva ventana del navegador y escriban la dirección web de la empresa.
2. Si deben hacer clic en un enlace, primero colocar el mouse sobre él para asegurarse de que se los dirige a una fuente confiable.
3. Informar los correos electrónicos sospechosos directamente a la empresa de donde supuestamente proviene el correo electrónico. Muchas empresas, como PayPal, tienen incluso una dirección de correo electrónico exclusiva para que los clientes envíen comunicaciones sospechosas.
4. No responder a solicitudes de datos de empresas con las que no tengan relación.
5. Ingresar datos confidenciales solo en sitios web seguros. Los clientes deben buscar nombres de sitios web que comiencen con “https”, tengan el símbolo del candado o cuenten con un certificado de una empresa como Verisign.

En lo que respecta a la prevención del fraude, también es importante que las empresas mejoren su ciberseguridad e implementen herramientas que funcionen las 24 horas del día, los 7 días de la semana, los 365 días del año para identificar los indicadores de riesgo emergentes y proteger los ingresos y la reputación de la empresa.

Los minoristas en línea deben proteger sus empresas y sus marcas

En lo que respecta a la prevención del fraude, también es importante que las empresas mejoren su ciberseguridad e implementen herramientas que funcionen las 24 horas del día, los 7 días de la semana, los 365 días del año para identificar los indicadores de riesgo emergentes y proteger los ingresos y la reputación de la empresa. Ahí es donde ClearSale se destaca.

Uso de la IA y el aprendizaje automático

Empleamos un algoritmo basado en IA que utiliza las tendencias, la inteligencia y los datos recopilados durante décadas de lucha contra el fraude en las regiones de mayor riesgo del mundo. Los datos específicos del cliente también se utilizan para “enseñar” a nuestro sistema cuáles de sus transacciones deben considerarse fraudulentas.

Gracias a esta tecnología, podemos aprobar o rechazar automáticamente la mayoría de los pedidos con rapidez y con un alto grado de precisión. En lugar de rechazar los pedidos sospechosos, se marcan para que se realicen revisiones contextuales.

Revisiones contextuales por expertos

El pequeño porcentaje de pedidos marcados (alrededor del 2 % al 3 %) es evaluado por nuestros más de 2000 analistas de fraude, que tienen la experiencia necesaria para reconocer algunos de los patrones de fraude más difíciles de detectar. Si es necesario, nuestros analistas pueden ponerse en contacto con los clientes, pero lo hacen de un modo acorde con una experiencia del cliente excepcional.

Validación de clientes

La mayoría de los clientes que realizan una compra en línea ya han efectuado una previamente, y el historial de compras puede utilizarse para validar que un cliente es real, aumentar la confianza y reducir los rechazos erróneos. Incluso si ese historial está en otro sitio. Por ejemplo, un cliente que realiza su primera compra en Wish.com puede validarse verificando su historial de compras en Amazon.

Uso de los nuevos datos

Los datos adicionales obtenidos de esas revisiones contextuales se aprovechan para ayudar a nuestro sistema a distinguir las transacciones válidas de las fraudulentas con una precisión aún mayor. Con el tiempo, nuestro sistema se vuelve “más inteligente” a medida que procesamos cada vez más transacciones del cliente, lo que aumenta su tasa de aprobación y sus ingresos.

Antiphishing

Aunque evitar los ataques de phishing suele implicar buenas dosis de sentido común y escepticismo, eso no significa que la tecnología no sea esencial para defender a tu empresa de los estafadores. El software antiphishing puede analizar los correos electrónicos en busca de contenido sospechoso, como enlaces ocultos o solicitudes falsas, y marcarlos como spam o ponerlos en cuarentena. Brand Protection de ClearSale identifica a los estafadores que son amenazas potenciales para tu marca y continúa monitoreando si vuelven a estar en línea.

Si no estás seguro de si tu solución de prevención del fraude puede seguir el ritmo de la rápida evolución del mundo del fraude, ponte en contacto con un analista de ClearSale hoy mismo. Puede ayudarte a analizar las diferentes soluciones de protección contra fraude disponibles para ti y demostrar por qué el sólido enfoque híbrido de ClearSale es la solución elegida por los proveedores de todo el mundo.