‘Phishing’: cuando el ‘hacker’ se viste de Prada

Un usuario recibe un e-mail de Prada avisándole de una promoción única en la que podrá acceder a los productos de la marca con un atractivo descuento. La dirección de correo es de Prada, la imagen es de Prada, incluso la web a la que redirige parece de Prada. Pero no lo es. El cliente que pica está en realidad cediendo sus datos (en el peor caso, los de la tarjeta de crédito) a un hacker malintencionado que nada tiene que ver con la firma italiana.

El phishing (de fishing, pescar, en inglés) es una de las formas de hackear más antiguas, pero, en un mundo dominado por la digitalización, está más de actualidad que nunca. Los ataques se concentran ahora en el comercio electrónico, con páginas web falsas como anzuelo y, lo que es todavía más peligroso, con el back office de las compañías, que hoy tienen a menudo toda su información en la nube. En total, cada mes se registran 100.000 nuevos casos de ataques, según el Anti-Phishing Working Group.

Uno de los últimos afectados en el sector de la moda ha sido Tous, que se vio obligada a provisionar diez millones de euros en sus cuentas de 2017 por un ciberataque financiero. Según el informe Internet Security Threat, elaborado por la empresa estadounidense de software Symantec, el retail es, junto con la banca, el sector más expuesto a los ataques de phishing.

La digitalización de las operaciones y la gestión han hecho a las empresas más vulnerables al ‘phishing’

Junto a los titanes de la Red como Amazon, entre los operadores más afectados por este tipo de delitos se encuentran marcas de moda deportiva como Nike y Adidas. Ambas han sufrido este año un ataque muy similar, con comunicaciones que anunciaban a los usuarios que una serie de zapatillas deportivas se distribuiría gratis con motivo de un aniversario de la compañía.

El lujo es otro de los sectores más afectados por el phishing y, en particular, por el spoofing, una de sus variantes. Esta modalidad hace referencia a la creación de una página web con aspecto original con la intención de engañar al consumidor. A diferencia del phisihing, donde el objetivo es captar datos, en esta modalidad se incluye también el click fraud (robar publicidad de pago por click) y la venta de falsificaciones. El año pasado,  un informe de las compañías de ciberseguridad DomainTools y Farsight Security descubrió 538 dominios fraudulentos de ocho marcas de lujo. 

Pese a la proliferación de este tipo de delitos, su penalización es relativamente reciente. El primer caso que se llevó a juicio data de 2004, cuando la Comisión Federal de Comercio de Estados Unidos se querelló contra un adolescente de California que supuestamente creó y utilizó una web engañosa de America Online para robar números de tarjetas de crédito.