GoPhish, una herramienta libre para aprender a identificar y evitar el Phishing

GoPhish, una herramienta libre para aprender a identificar y evitar el Phishing

Rubén Velasco

Una de las técnicas más utilizadas por los piratas informáticos para infectar a sus víctimas es la que se conoce como Phishing, una técnica mediante la cual los piratas informáticos buscan engañar a sus víctimas para que pulsen enlaces o descarguen archivos haciéndose pasar por quien en realidad no son (un banco, una empresa, Hacienda, una ONG, etc) con el fin de robar datos personales o infectar los sistemas de las víctimas.

El phishing, por lo general, se lleva a cabo a través del correo electrónico y cada vez es más complicado de detectar e identificar debido a que los piratas informáticos tienen cada vez más cuidado en los detalles, llegando a enviar correos electrónicos totalmente idénticos a los que puede mandar una entidad real. Este tipo de ataques informáticos suelen ser muy complicados de detectar y mitigar, además de la correspondiente formación que se debe impartir en entornos empresariales para evitar que los propios trabajadores caigan en estos engaños y pueda repercutir en la seguridad de la empresa.

GoPhish es una plataforma gratuita y de código abierto diseñada especialmente para facilitar la formación de terceras personas en cuanto a seguridad. Gracias a esta herramienta vamos a poder lanzar campañas de phishing simuladas y monitorizadas y analizar los resultados según aquellas que hayan tenido éxito y las que no, teniendo una idea más clara de hacia dónde enfocar una posible formación adicional. Puedes usar extensiones para el navegador contra el Phishing.

Las principales características de esta herramienta son:

  • Cuenta con un gran número de plantillas por defecto, idénticas pixel a pixel.
  • Permite configurar campañas de Phishing automáticas.
  • Multiplataforma, disponible para Windows, Linux y Mac.
  • Totalmente gratuito y de código abierto.

Cómo funciona GoPhish

Para hacer uso de esta herramienta no tenemos más que descargarla desde su página web principal, descomprimirla, ejecutar los binarios y listo. Nos conectamos desde el navegador a localhost a través del puerto 3333 con los credenciales admin/gophish y listo, ya estaremos dentro del panel de administrador de GoPhish.

login en GoPhish

Una vez dentro, lo único que tenemos que hacer es crear un grupo de usuarios y agregar a él todas las cuentas de correo a las que mandaremos el correo de engaño.

Una vez creado el grupo, simplemente diseñamos el correo electrónico (o importamos un sitio web o cargamos alguna de las plantillas disponibles) y listo. A continuación, enviamos los correos a todo el grupo y esperamos a que el programa empiece a registrar la actividad según las personas que caigan en él y las que no.

Línea de tiempo GoPhish

Como podemos ver, una herramienta muy sencilla y útil gracias a la cual vamos a poder saber si de verdad nosotros o las personas más cercanas a nosotros (por ejemplo, la familia o los trabajadores de una empresa) saben detectar correctamente este tipo de ataques y, de no ser así, poder enfocar un plan de aprendizaje para protegernos de este tipo de ataques cada vez más complicados de diferenciar.

¿Crees que sabes diferenciar correctamente los correos falsos o Phishing de los correos reales?

¡Sé el primero en comentar!