¿Qué es el Clone Phishing? Cómo funciona y cómo evitar estafas

Todos hemos recibido correos electrónicos sospechosos que dicen proceder de fuentes fiables, como mercados en línea, marcas minoristas, servicios de redes sociales y entidades bancarias.

Los estafadores crean estos correos electrónicos clónicos de phishing para imitar a empresas auténticas, con la esperanza de embaucarnos para que hagamos clic en enlaces engañosos y descarguemos programas maliciosos, todo ello ideado para robar nuestra información personal y financiera.

Echemos un vistazo más de cerca al phishing de clones, explorando los aspectos clave, como su funcionamiento en la práctica, y las medidas preventivas cotidianas que puede tomar para evitar convertirse en víctima.

¿Qué son las estafas de phishing clónico?

En resumen, el phishing de clones es una técnica habitual de suplantación de identidad mediante la cual los ciberdelincuentes intentan aprovecharse de la confianza de un objetivo imitando la correspondencia de empresas, marcas, organismos e instituciones legítimos.

Estas estafas basadas en el correo electrónico, que pueden ser muy convincentes, contienen un tema esencial de llamada a la acción, que suele instar al destinatario a rectificar un problema compartiendo datos de acceso e información personal, o descargando archivos adjuntos dañinos sin saberlo.

Por ejemplo, un correo electrónico clónico de banca en línea puede pedir al destinatario que inicie sesión para cancelar una transacción sospechosa (aunque inexistente); una estafa en las redes sociales puede pedir a su objetivo que se dirija a una cuenta sospechosa de haber sido pirateada, y una estafa en Amazon puede pedir a su objetivo que cancele un pedido accidental.

Si el destinatario cae en la trampa del estafador y sigue el enlace proporcionado, por supuesto no será conducido a una fuente auténtica, sino a un sitio web duplicado "falsificado" con el propósito de robar cualquier información introducida.

Además de utilizarse para llevar a cabo estafas de phishing cada vez más centradas en objetivos concretos, los datos robados de los usuarios -ya sean facilitados voluntariamente o extraídos por programas maliciosos- pueden utilizarse para llevar a cabo diversas actividades fraudulentas, entre ellas la usurpación de identidad y el robo financiero.

¿Clon Phishing o Spear Phishing?

Antes de profundizar en los detalles del funcionamiento de las campañas de phishing clónico, veamos en qué se diferencian de otro tipo de estafa similar basada en el correo electrónico: el spear phishing.

Empecemos con las características clave de las estafas de correo electrónico de phishing clónico:

• Enfocado a gran escala: Aunque a algunos destinatarios les puedan parecer incidentes aislados, estas estafas suelen dirigirse a listas de correo electrónico enormes que se distribuyen a miles de millones de personas en todo el mundo cada año.
• Saludos genéricos: A los destinatarios no se les suele llamar por su nombre, sino que los mensajes empiezan con saludos generales como "Estimado señor/señora/cliente", lo que les hace muy sospechosos desde el principio.
• Suplantación: Los estafadores se hacen pasar por fuentes oficiales, normalmente conocidas y de confianza, como marcas de comercio electrónico, plataformas de redes sociales, bancos/empresas financieras, empresas de servicios públicos e incluso organismos gubernamentales.
• Señales de phishing: Dirección del remitente extraña, posibles faltas de ortografía, enlaces/adjuntos sospechosos y solicitudes de que se tomen medidas urgentes para rectificar problemas como actividad sospechosa en la cuenta, pagos no autorizados, compras accidentales, reembolsos y premios pendientes, etc. (más información sobre las señales de alarma de phishing un poco más adelante).

Aunque las estafas por correo electrónico de spear phishing comparten el mismo objetivo, sus características clave revelan un enfoque más personal:

• Enfocado al Ataque Estrecho: A diferencia de las estafas de phishing clónico, el spear phishing implica un método de ataque más personalizado, dirigido a individuos específicos de empresas y organizaciones con amplio acceso a información privilegiada.
• Saludos personales: La investigación de un estafador sobre el negocio le permite utilizar un saludo personal real para el destinatario, como "Estimado Sr. Johnson"; los objetivos comunes incluyen administradores de sistemas, ejecutivos e incluso figuras de alto perfil como directores ejecutivos.
• El toque personalizado: La investigación del estafador también puede permitirle utilizar un tono más informal y familiar, mencionando el nombre de la empresa del destinatario y haciendo referencia a colegas, socios y clientes reales para ganarse su confianza.
• Señales de phishing: El spear phishing puede vestirse de forma un poco diferente a la variedad clon, pero sigue conteniendo señales de alarma similares, como una dirección de remitente extraña, mala gramática, solicitudes para que se realice un nuevo pago o para que se solucione algún problema urgente compartiendo información confidencial o descargando un archivo adjunto, etc.

Aunque es útil ser capaz de detectar estafas clonadas y de phishing selectivo, la lección más importante que hay que aprender es la siguiente: cuando reciba cualquier tipo de correo electrónico sospechoso, no se involucre en su contenido hasta que lo haya examinado a fondo.

¿Cómo funcionan las estafas de phishing clónico?

Una estrategia eficaz para evitar una forma concreta de ciberdelincuencia consiste en comprender cómo se elabora, y lo mismo puede decirse de las estafas de phishing clónico. 

He aquí cómo los estafadores suelen crear estas campañas, paso a paso:

• Suplantación de identidad: El estafador crea un sitio o página web falsos diseñados para imitar una fuente auténtica y de confianza (como una empresa de comercio electrónico, una plataforma de redes sociales, un organismo gubernamental, etc.); el sitio tendrá una conexión no segura (prefijo "http" en lugar de "https"), y el estafador también puede crear y enumerar direcciones de correo electrónico de aspecto convincente para reforzar el engaño.
• Creación de correo electrónico clonado: El estafador crea una réplica de un correo electrónico auténtico de la misma fuente, imitando la estructura, el estilo, el lenguaje y el tono, a la vez que realiza cambios sutiles como alterar la URL del hipervínculo de inicio de sesión de la cuenta (para redirigir a los destinatarios al sitio malicioso del estafador); utilizará saludos genéricos y también puede añadir archivos adjuntos inyectados con malware.
• Clonar distribución de correo electrónico: Una vez que el orquestador pulsa enviar, los engranajes de la estafa se ponen en marcha; con el correo electrónico clonado ya entregado a una gran lista de víctimas potenciales (probablemente miles o más), el estafador se sienta y espera
• El receptor muerde el anzuelo: Convencido de que el correo electrónico engañoso y su llamada a la acción son auténticos, el destinatario se siente atraído por la estafa y comienza a participar; sigue sus instrucciones, ya sea haciendo clic en un enlace (que conduce al sitio web falso) o descargando un archivo adjunto aparentemente inocuo (en realidad repleto de malware).
• Interacción con contenidos maliciosos: Una vez en el sitio falso, la víctima involuntaria introduce su información personal/financiera en los campos de entrada de datos, como el nombre de usuario de la cuenta y otros detalles como el nombre, la dirección, la fecha de nacimiento y el número de la seguridad social, etc.; si ha descargado un archivo adjunto con malware del correo electrónico, el software malicioso puede haberse instalado silenciosamente.
• El estafador roba los datos: La conexión insegura del sitio falso hace que cualquier dato personal/financiero introducido sea potencialmente vulnerable a ser robado por el estafador y posteriormente explotado con fines nefastos; si la víctima descargó un archivo adjunto malicioso, el malware podría haberse instalado automáticamente y comenzado a recopilar datos de su dispositivo, que también podrían terminar siendo robados a distancia por el estafador.

Cómo evitar las estafas de phishing de clones

Aunque las estafas de phishing clónico no muestran signos de desaceleración, la buena noticia es que la mayoría de ellas -incluso las más convincentes- pueden identificarse. 

A continuación se indican varias señales de alarma a las que hay que prestar atención cuando se trata de correos electrónicos sospechosos, además de algunas medidas preventivas para garantizar la seguridad de sus datos:

• Saludo genérico: Un correo electrónico que dice ser de una empresa legítima y no se dirige a usted por su nombre (Estimado señor/señora/cliente/usuario, etc.) es muy sospechoso.
• Sentido de la urgencia: Los estafadores quieren que actúe ahora y piense más tarde, por lo que a menudo intentarán sacudir su buen juicio advirtiéndole de que un asunto urgente, como un presunto pago no autorizado o la violación de una cuenta, debe resolverse rápidamente.
• Pedir información: Tenga cuidado con cualquier correo electrónico o sitio web (al que se le dirija) en el que se le solicite información personal o financiera, sin importar el motivo, especialmente si el sitio web al que se accede tiene una conexión no segura, un dominio desconocido o cualquier cosa que le resulte extraña.
• Ortografía, estilo, gramática: Es muy poco probable que un correo electrónico con demasiados errores (ortográficos, gramaticales, de formato, tipográficos, etc.) proceda de una fuente legítima que valora mucho su reputación.
• Dirección del remitente: Compruebe cuidadosamente la dirección del remitente, incluida la extensión del dominio, prestando atención a las direcciones abiertamente extrañas y a las que intentan imitar sutilmente la de la empresa real.
• Imágenes de baja calidad: Los correos electrónicos de empresas auténticas suelen tener un diseño profesional; por lo tanto, las imágenes poco nítidas o de baja resolución (como logotipos, banners, etc.) podrían indicar una posible amenaza de suplantación de identidad.
• Comparaciones de correos electrónicos auténticos: Si has recibido un correo electrónico sospechoso que dice ser de una empresa con la que ya tratas, comprueba cómo se compara con un correo anterior en tu bandeja de entrada que sabes que es auténtico.
• Escanear archivos adjuntos: Si sospecha que un correo electrónico podría ser una estafa de phishing clonada, no descargue ningún archivo adjunto hasta que lo haya analizado primero en busca de software dañino mediante una aplicación antivirus como TotalAV; si, por el contrario, está preocupado por un archivo adjunto que ha descargado, asegúrese de ejecutar inmediatamente un análisis completo del sistema.
• Verificar enlaces: Los estafadores pueden cambiar fácilmente las URL de destino de los hipervínculos ("amaazon1ogin.co" en lugar de "amazon.com"), por lo que siempre es mejor pasar el ratón por encima de la dirección real o verla antes de hacer clic.
• Sitios web inseguros: Si ha sido redirigido (a través de un enlace) a un dominio que pretende ser una empresa legítima, asegúrese de que dispone de una conexión segura ("https" - no "http"), especialmente si la página solicita información personal/financiera; las herramientas de navegación contra estafas de phishing, como Total WebShield, pueden ayudarle a evitar el robo de datos detectando y bloqueando al instante los sitios falsos incluidos en listas negras.
• El gestor de contraseñas no rellena automáticamente: La función principal de los gestores de contraseñas es crear contraseñas seguras, almacenarlas de forma segura y proporcionar inicios de sesión automáticos; sin embargo, otra ventaja es que si la función de rellenado automático no rellena los campos, esto puede indicar que has aterrizado en un sitio falso; asegúrate de utilizar una aplicación de confianza como Contraseña total para optimizar la gestión de sus inicios de sesión
• Pensar, Escrutar, Actuar: Los estafadores se aprovechan del miedo, la ignorancia y la impaciencia, por lo que nunca hay que actuar precipitadamente ante un correo electrónico de crisis. En lugar de ello, hay que sentarse, mantener la lógica y el pensamiento crítico intactos, comprobar si hay señales de alarma de phishing y decidir la mejor forma de actuar.
• Compruebe su cuenta: Si ha recibido un mensaje de correo electrónico advirtiéndole de un problema relacionado con su cuenta, la forma más rápida de verificarlo suele ser simplemente accediendo a su cuenta (manualmente, no utilizando los enlaces del propio mensaje sospechoso).
• Verifíquelo con la empresa: Si sigues dudando de la legitimidad de un correo electrónico, ponte en contacto con el servicio oficial de atención al cliente para verificarlo (de nuevo, no utilices los enlaces del correo sospechoso); también puedes pedir una segunda opinión a un colega o amigo de confianza, lo que tiene la ventaja añadida de advertirles de la posible amenaza.
• Activar filtros de spam: Asegúrese de utilizar el filtro automático de spam de su cliente de correo electrónico; aunque estas herramientas no son infalibles, pueden ser muy eficaces a la hora de detectar mensajes de phishing y spam en general.
• Utilice un antivirus de confianza: Añada una capa de protección vital a sus actividades en línea con una ciberseguridad de confianza; el El galardonado antivirus TotalAV y su familia de aplicaciones, como Total WebShield, AdBlock y Total VPN, ofrece una defensa innovadora y líder en el sector contra las amenazas actuales, como estafas de phishing, sitios web falsos y malware oculto.