Índice
Threats

¿Qué es un ataque de phishing?

Índice

El phishing es un ciberdelito en el que los atacantes se disfrazan de organizaciones de confianza para engañar a la gente y conseguir que facilite información confidencial como nombres de usuario, contraseñas y números de tarjetas de crédito. Estas estafas suelen producirse a través del correo electrónico, pero también pueden ocurrir mediante llamadas telefónicas, páginas web y redes sociales.

El objetivo principal es el robo de identidad, permitiendo a los atacantes acceder a cuentas personales o sistemas de la empresa, lo que puede provocar pérdidas financieras o daños a la reputación. El phishing explota la confianza y la urgencia humanas. A pesar de los avances en ciberseguridad, sigue siendo una amenaza, por lo que es crucial mantenerse alerta y precavido.

 

La evolución del phishing

Los ataques de phishing, una forma de ingeniería social, han evolucionado significativamente desde su aparición a mediados de la década de 1990, marcados por una mayor sofisticación de los objetivos. Los atacantes llevan a cabo una investigación meticulosa para elaborar mensajes personalizados a la medida de sus víctimas, un método conocido como spear phishing.

Originalmente, las estafas de phishing eran relativamente poco sofisticadas y solían consistir en correos electrónicos distribuidos en masa con la intención de engañar a usuarios desprevenidos para que facilitaran información confidencial, como contraseñas o datos de tarjetas de crédito.

A medida que ha aumentado el uso de Internet, también lo han hecho las tácticas de los phishers, que ahora implementan técnicas más avanzadas, utilizando la suplantación del correo electrónico, el phishing de voz (vishing) e incluso el phishing por SMS (smishing). Estos métodos engañan a las víctimas haciéndoles creer que interactúan con fuentes legítimas y de confianza.

Esta adaptación muestra la naturaleza dinámica de la actividad ciberdelictiva, impulsada por los avances tecnológicos y la búsqueda incesante de la explotación de las vulnerabilidades humanas en la comunicación digital.

The Steps in a Phishing Attack | The image above describes the steps an attacker or bad actor will take to accomplish their specific phishing goals and objectives.

 

¿Cómo funciona el phishing?

El phishing funciona engañando a las víctimas para que proporcionen información confidencial como nombres de usuario, contraseñas, números de tarjetas de crédito u otros datos personales. Los atacantes suelen utilizar correos electrónicos, mensajes o sitios web engañosos que parecen legítimos.

He aquí un desglose paso a paso:

  1. Creación de cebos: Los atacantes crean un mensaje o un sitio web convincente que imita a una entidad de confianza, como un banco, un sitio de medios sociales o un servicio en línea.

  2. Entrega: El cebo del phishing se entrega a las víctimas potenciales a través del correo electrónico, mensajes de texto, redes sociales u otros canales de comunicación.

  3. Engaño: El mensaje suele tener un contenido urgente o tentador, que incita al destinatario a hacer clic en un enlace, descargar un archivo adjunto o facilitar información personal.

  4. Explotación: Si la víctima muerde el anzuelo, es dirigida a un sitio web o formulario fraudulento donde introduce su información confidencial.

  5. Recogida de datos: Los atacantes recopilan la información enviada y la utilizan con fines maliciosos, como el robo de identidad, el fraude financiero o nuevos ciberataques.

Los ataques de phishing se han convertido en uno de los métodos más frecuentes y eficaces de la ciberdelincuencia debido a su capacidad para evitar los métodos de detección. Caer en estas estafas aumenta el riesgo de perder información confidencial y la posibilidad de robo de identidad, pérdida de datos o infecciones por malware.

La disponibilidad de kits de phishing de bajo costo ha contribuido a su facilidad de implementación. Estos kits son colecciones de herramientas, como software de desarrollo de sitios web, codificación, software de spam y contenidos, que pueden utilizarse para recopilar datos y crear sitios web y correos electrónicos convincentes.

La incorporación de técnicas de phishing más sofisticadas y misteriosas ha permitido incluso a los actores de amenazas más novatos eludir las defensas de seguridad tradicionales.

Types of Phishing Attacks | The image lists the ever-growing phishing attacks available to cybercriminals today.

 

Compromiso del correo electrónico comercial (BEC) frente a phishing

Business Email Compromise (BEC) y phishing son ataques engañosos por correo electrónico que se dirigen a públicos diferentes y tienen objetivos distintos. BEC está dirigido y motivado económicamente, mientras que el phishing arroja una red más amplia en busca de datos personales.

BEC se centra en individuos específicos dentro de una organización, como ejecutivos o personal financiero, para manipular los procesos empresariales con el fin de obtener beneficios financieros. Los atacantes recopilan información para crear mensajes convincentes que pueden conducir a transacciones no autorizadas o a la revelación de información confidencial.

Por el contrario, los ataques de phishing pretenden llegar a un público amplio para recopilar información personal, como contraseñas o datos de tarjetas de crédito. Estos correos electrónicos son menos personalizados e intentan engañar a muchas personas a la vez, lo que hace que el phishing tenga más que ver con la recopilación de datos que con la manipulación directa de las operaciones comerciales.

 

Tipos de ataques de phishing

Aunque no se trata de una recopilación completa, a continuación se enumeran las técnicas de phishing más comunes que emplean los atacantes. La comprensión de estas técnicas puede ayudar a individuos y organizaciones a reconocer y defenderse mejor contra los ataques de phishing.

Phishing por correo electrónico

Los atacantes envían correos electrónicos fraudulentos que parecen proceder de una fuente de confianza. Piden a los destinatarios que hagan clic en un enlace, descarguen un archivo adjunto o faciliten información confidencial. Los atacantes utilizan diversas tácticas, como crear una sensación de urgencia o miedo, para manipular al destinatario para que acceda a sus peticiones. Los enlaces pueden redirigir a los usuarios a sitios web legítimos falsificados, mientras que los archivos adjuntos podrían contener malware que infecte el dispositivo del destinatario.

Spear Phishing

Spear phishing es una forma selectiva de ciberdelincuencia en la que los atacantes utilizan información personal para elaborar mensajes convincentes dirigidos a personas u organizaciones concretas. A diferencia del phishing genérico, que se dirige a muchos destinatarios, el phishing con arpón es altamente personalizado.

Los atacantes recopilan información de fuentes como las redes sociales o los sitios web de las empresas para que sus mensajes parezcan legítimos y relevantes. Esto aumenta las posibilidades de que la víctima se comprometa con el contenido, revele información sensible o haga clic en enlaces maliciosos, lo que hace que el spear phishing sea más eficaz que las estrategias de phishing más amplias.

Estudio de caso: Campaña de spear phishing de secuestro de conversaciones FreeMilk

La caza de ballenas

El whaling es una forma de phishing dirigida a ejecutivos de empresas de alto perfil. La caza de ballenas pretende acceder a información altamente confidencial a través de la comunicación por correo electrónico. El mensaje suele parecer urgente para convencer al receptor de que actúe con rapidez. En este caso, la víctima puede hacer clic en un enlace malicioso sin pensarlo previamente, lo que permite al atacante robar credenciales de inicio de sesión y datos confidenciales o descargar malware.

Smishing (phishing por SMS)

El smishing actúa como otros ataques de phishing, pero se presenta en forma de mensaje SMS. A menudo, el mensaje contendrá un archivo adjunto o un enlace fraudulento, incitando al usuario a hacer clic desde su dispositivo móvil.

Vishing (phishing de voz)

El vishing, también llamado "phishing de voz", se produce cuando un atacante se dirige a las víctimas por teléfono para obtener acceso a los datos. Para parecer legítimo, el atacante puede fingir que llama del banco de la víctima o de una agencia gubernamental.

Phishing de clones

El phishing de clonación es un método sofisticado en el que los atacantes crean una copia casi idéntica de un correo electrónico legítimo, sustituyendo los enlaces o archivos adjuntos por otros maliciosos. El correo electrónico clonado parece proceder de una fuente de confianza, lo que hace más probable que la víctima confíe en el mensaje y siga las instrucciones.

Pharming

En lugar de engañar directamente a las personas, los atacantes redirigen el tráfico de sitios web legítimos a sitios web fraudulentos sin el conocimiento del usuario, a menudo mediante el envenenamiento de DNS. Muchas medidas de ciberseguridad no se percatan de ello.

Phishing HTTPS

El phishing HTTPS es un ataque en el que los atacantes crean sitios web fraudulentos que utilizan HTTPS, el protocolo que indica una conexión segura, para parecer legítimos y dignos de confianza. Al proteger sus sitios maliciosos con certificados HTTPS, los atacantes engañan a las víctimas haciéndoles creer que los sitios web son seguros y auténticos.

Ataques basados en credenciales

Un ataque basado en credenciales utiliza credenciales de inicio de sesión robadas o comprometidas (nombres de usuario y contraseñas) para obtener acceso no autorizado a sistemas, redes o cuentas. Estos ataques suelen implicar tácticas como:

  • Phishing: Los correos electrónicos o mensajes engañosos engañan a los usuarios para que proporcionen sus datos de acceso.
  • Registro de teclas: Malware que registra las pulsaciones del teclado para capturar las credenciales a medida que se teclean.
  • Relleno de credenciales: Utilizar listas de credenciales robadas de una violación para acceder a otros sistemas, aprovechando el hecho de que la gente suele reutilizar las contraseñas en varios sitios.
  • Ataques de fuerza bruta: Probar sistemáticamente todas las combinaciones posibles de nombres de usuario y contraseñas hasta encontrar la correcta.
  • Ataques Man-in-the-Middle: Interceptar la comunicación entre el usuario y el sistema para capturar las credenciales.
How to Spot and Protect Against Phishing | Organizations can protect themselves against phishing by using these top 3 identifiers to quickly identify and spot a phishing email.

 

Cómo reconocer las técnicas de phishing

Los ciberdelincuentes han evolucionado mucho a lo largo de los años. Pueden producir mensajes y archivos adjuntos fraudulentos capaces de convencer a casi cualquiera. Las personas bien formadas que siguen los protocolos de seguridad adecuados pueden detectar a menudo incluso los intentos de phishing más sofisticados. Incluso a los profesionales de la ciberseguridad más avezados les resultan difíciles de detectar. Los objetivos potenciales pueden buscar signos comunes para detectar un mensaje de phishing.

A Standard Phishing Attack | The diagram shows the steps a phishing attacker goes through to collect personal information from victims.

Señales comunes del phishing

La mejor protección contra los ataques de phishing es comprender e identificar los indicios comunes de un correo electrónico de phishing que puede parecer sospechoso o no. A continuación le ofrecemos algunos regalos:

  • Los mensajes en los que se detallan problemas con las cuentas, los datos bancarios, las transacciones financieras y los envíos son frecuentes durante las fiestas, cuando la mayoría de la gente espera una entrega.
  • El lenguaje parece incorrecto y el mensaje carece de la fluidez propia de un hablante nativo. Presenta faltas de ortografía, gramática deficiente y problemas de uso.
  • El mensaje parece provenir de una marca de confianza, pero contiene elementos desconocidos, como colores, formatos o tipos de letra no del todo correctos.
  • El mensaje parece poco profesional, pero se presenta como una comunicación de un ejecutivo u otra persona influyente.
  • El remitente es una agencia del gobierno federal de EE.UU. que le pide que proporcione información personal identificable (IPI) por correo electrónico o que siga un enlace a una URL que no termina en .gov.
  • El remitente le pide inmediatamente su número de la seguridad social o de identificación fiscal.
  • La dirección, el nombre o la dirección de correo electrónico del remitente tienen un aspecto extraño.
  • El mensaje procede de alguien a quien no reconoce y le pide información sobre tarjetas regalo, transferencias de dinero, operaciones bancarias o tarjetas de crédito.
  • El mensaje contiene un enlace para hacer clic o un archivo adjunto para descargar, pero la dirección o el nombre del archivo parecen inusuales.
  • Los adjuntos inesperados o los archivos con nombres inusuales o desconocidos son signos reveladores de que son maliciosos.
Why Protecting and Responding to Phishing is Hard | Discover three main reasons why protection from and response to phishing attacks is very difficult.

 

Cómo protegerse contra los ataques de phishing

El phishing es una amenaza polifacética que requiere una estrategia integral para vencerla. Superar el reto del phishing implica un proceso integrado de principio a fin, que va de lo proactivo a lo reactivo. Si tiene uno y no el otro, no está preparado para hacer frente a la amenaza.

Pila de seguridad para phishing

Reconocer que el phishing no es sólo un problema de correo electrónico es vital. Es esencial contar con una pila de seguridad que pueda hacer frente a los ataques avanzados de phishing y phishing invasivo. Utilizar un sistema basado en bases de datos de URL y rastreadores web no va a funcionar. Se necesitan tecnologías como el aprendizaje automático en línea para analizar el contenido de la página que se entrega al usuario final para garantizar que no hay riesgo de phishing y evitar el paciente cero.

Enfoque del ciclo de vida de la seguridad

Reducir el riesgo de phishing no consiste únicamente en implementar una tecnología concreta, sino en adoptar un enfoque que abarque todo el ciclo de vida. Eso significa que la organización necesita tener capacidades tanto proactivas como reactivas. Por mucho que implemente o invierta en seguridad, debe planificar para que algo pase. Si un empleado sufre phishing y le roban una credencial, ¿tiene la organización la capacidad de detectar un acceso malicioso y responder a él?

La administración ejecutiva debe trabajar con los equipos de la organización para garantizar que se dispone de la tecnología, el personal y los procesos necesarios para ayudar a prevenir el mayor número posible de ataques de phishing entrantes.

A continuación encontrará algunas estrategias adicionales de defensa contra el phishing:

  • Emplear filtros antispam y establecer protocolos de autenticación del correo electrónico puede reducir significativamente el riesgo de que los correos electrónicos de phishing lleguen a las bandejas de entrada de los usuarios.
  • Actualizar regularmente el software y los sistemas con los últimos parches ayuda a cerrar las brechas de seguridad que los ciberdelincuentes suelen aprovechar.
  • La implementación de la autenticación multifactor añade una capa extra de seguridad al requerir una forma de verificación adicional más allá de las contraseñas.
  • Educar a los usuarios sobre la naturaleza de las amenazas de phishing es crucial. Las sesiones de capacitación y las actualizaciones periódicas pueden ayudar a las personas a reconocer correos electrónicos, enlaces o sitios web sospechosos.
  • La implementación de sistemas de filtrado de correo electrónico resistentes puede reducir significativamente el número de correos electrónicos de phishing que llegan a la bandeja de entrada.
  • Es vital asegurarse de que las redes están protegidas con firewalls y software antivirus actualizado para bloquear posibles ataques de phishing.
  • Adoptar herramientas y estrategias antiphishing, como extensiones del navegador y software de ciberseguridad, puede ofrecer protección en tiempo real alertando a los usuarios de posibles sitios de phishing y bloqueando el contenido malicioso antes de que se produzcan daños.

Minimizar el riesgo con una plataforma integral

Una plataforma de seguridad integral, como Cortex XSIAM, que se centre en las personas, los procesos y la tecnología puede minimizar el éxito de los ataques de phishing.

En el caso de la tecnología, herramientas de seguridad como sandboxing analizan el enlace o archivo desconocido e implementan una política para impedir el acceso si es malicioso. Otros procesos, como el filtrado de URL, bloquean los sitios web maliciosos conocidos y los sitios web desconocidos para evitar ataques desde el principio. El acceso a una nube de inteligencia de amenazas proporciona los conocimientos combinados de la comunidad mundial, lo que permite protegerse si ya se ha visto un ataque similar con anterioridad.

Las soluciones basadas en la reputación de la puerta de enlace del correo electrónico pueden detectar y clasificar los correos electrónicos de phishing basándose en la pésima reputación conocida de las URL incrustadas. Sin embargo, los mensajes de phishing bien elaborados con URL de sitios web legítimos comprometidos no tendrán mala reputación en el momento de la entrega y pasarán desapercibidos para estas herramientas.

Los sistemas más eficaces identifican los correos electrónicos sospechosos basándose en análisis, como los patrones de tráfico inusuales. A continuación, reescriben la URL incrustada y la comprueban constantemente en busca de exploits y descargas dentro de la página.

Estas herramientas de supervisión ponen en cuarentena los mensajes de correo electrónico sospechosos para que los administradores puedan investigar los ataques de phishing en curso. Si se detectan muchos correos electrónicos de phishing, los administradores pueden alertar a los empleados y reducir las posibilidades de éxito de una campaña de phishing dirigida.

 

Preguntas frecuentes sobre los ataques de phishing

Si recibe un correo electrónico de phishing, no haga clic en ningún enlace ni descargue archivos adjuntos. Informe del correo electrónico a su departamento informático o a su proveedor de correo electrónico y elimínelo. Si participa accidentalmente en el contenido, cambie inmediatamente sus contraseñas y controle sus cuentas en busca de actividad inusual.
Ser víctima de un ataque de phishing puede provocar el robo de información personal o financiera (usurpación de identidad), el acceso no autorizado a sus cuentas, pérdidas económicas, la exposición a nuevos ciberataques y la puesta en peligro de la seguridad de los datos. Una respuesta y una notificación rápidas son cruciales para mitigar los daños.
Para informar de un intento de phishing, puede reenviar el correo electrónico sospechoso al departamento de abusos de su proveedor de correo electrónico (por ejemplo, abuse@domain.com), notificarlo a su departamento informático si está relacionado con el trabajo, o utilizar herramientas de información en línea como el servicio de denuncia de phishing del Grupo de Trabajo Anti-Phishing (APWG). Además, puede denunciarlo a la Comisión Federal de Comercio (FTC) a través de su página web.
Sí, los correos electrónicos de phishing pueden contener archivos adjuntos o enlaces que, al abrirlos o hacer clic en ellos, pueden descargar e instalar malware en su computador. Este tipo de malware puede robar información confidencial, vigilar sus actividades o incluso conceder a los atacantes el control remoto de su dispositivo.

Contenido relacionado

Obtenga las últimas noticias, invitaciones a eventos y alertas de amenazas