Phishing (Ataque de suplantación de identidad)

¿Qué significa phishing?

La suplantación de identidad (phishing) es una vulnerabilidad de seguridad en la que un delincuente se hace pasar por una empresa legítima o una persona de confianza para obtener información privada y confidencial, como números de tarjetas de crédito, números de identificación personal (PIN) y contraseñas.

El phishing se basa en el engaño técnico, así como en tácticas de ingeniería social diseñadas para manipular a la víctima para que realice una acción específica en nombre del delincuente, como hacer clic en un enlace malicioso, descargar y/o abrir un archivo adjunto de correo electrónico malicioso, o divulgar información que el delincuente pueda utilizar en un ataque futuro.

Según un proyecto conjunto de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (“Cybersecurity and Infrastructure Security Agency” o “CISA“) de Estados Unidos, el 90% de los ciberataques comienzan con phishing. Una de las razones clave de la prevalencia de los ataques de phishing es la versatilidad del vector de ataque y el alto rendimiento de la inversión para los ciberdelincuentes.

Para mitigar los riesgos asociados al phishing, las personas y las organizaciones deben dar prioridad a la educación sobre el phishing, implementar un sólido filtrado del correo electrónico, considerar el uso de servicios en la nube antiphishing y seguir las mejores prácticas para un comportamiento seguro en línea.

Cómo funciona el phishing: Indicadores de ataque de phishing

En un intento de phishing con éxito, uno de los principales objetivos del estafador es ganarse la confianza de la víctima. Para lograrlo, los delincuentes utilizan tácticas tanto técnicas como psicológicas para que la comunicación con las víctimas potenciales parezca creíble y legítima.

Para protegerse contra los ataques de phishing, es importante que las personas conozcan los indicadores de un ataque de phishing en el correo electrónico y los mensajes de texto y de voz. Es importante desconfiar de los mensajes que solicitan datos personales como credenciales de inicio de sesión, números de tarjetas de crédito o números de la Seguridad Social. Uno de los mayores signos reveladores es que la comunicación no ha sido solicitada y pide información sensible o pide a la víctima que verifique información sensible. Las organizaciones legítimas no suelen hacer este tipo de solicitudes por correo electrónico, mensajes de texto o de voz.

Si la información de contacto del remitente no coincide exactamente con lo que cabría esperar de la fuente legítima, es otro indicio de que la comunicación no solicitada podría ser también un intento de phishing. Los delincuentes suelen utilizar direcciones de correo electrónico engañosas que se parecen mucho a las de entidades legítimas y números de teléfono que no coinciden con el prefijo de la entidad legítima.

Sin embargo, algunos delincuentes utilizan cuentas de correo electrónico o números de teléfono legítimos comprometidos para llevar a cabo sus ataques. Esto puede dificultar la detección de discrepancias en la información de contacto.

Por eso, al evaluar la autenticidad de una comunicación también deben tenerse en cuenta otros factores, como el contenido del mensaje, la apariencia y el contexto general de la solicitud. Cualquier comunicación no solicitada que pida que se verifique información sensible debe considerarse un posible intento de phishing.

Tipos y ejemplos de exploits de phishing

Los ataques de phishing pueden adaptarse para responder a los distintos tipos de víctimas y objetivos de ataque. Es esta versatilidad la que permite a los ciberdelincuentes elegir el medio de comunicación que mejor se adapte a su público objetivo y los objetivos del ataque, y lanzar o bien una red amplia diseñada para aumentar las posibilidades de encontrar un objetivo vulnerable, o bien una red estrecha diseñada para atrapar a una víctima específica.

Los tipos más populares de ataques de phishing incluyen:

tipos de phishing

 

Phishing por correo electrónico

Este es el tipo más común de ataque de phishing. El delincuente envía un correo electrónico que parece proceder de una fuente legítima, como un banco, una empresa de tarjetas de crédito o una agencia gubernamental. El correo electrónico suele contener un enlace que, al hacer clic, lleva a la víctima a un sitio web falso que se parece al verdadero. Una vez que la víctima introduce sus credenciales de inicio de sesión u otra información confidencial en el sitio web falso, los delincuentes pueden robarla.

Los chatbots que utilizan IA generativa han facilitado más que nunca a los delincuentes la creación de comunicaciones por correo electrónico que parecen proceder de una fuente legítima.

A continuación se muestran algunos ejemplos de estafas de phishing por correo electrónico:

  • Estafa de facturas: El delincuente envía un correo electrónico que parece proceder de una empresa legítima, como una compañía de servicios públicos o de tarjetas de crédito. El mensaje dice que la víctima tiene una factura impagada y le pide que haga clic en un enlace para pagarla. El enlace lleva a la víctima a un sitio web falso que parece real. Una vez que la víctima introduce su información de pago en el sitio web falso, los delincuentes pueden robarla.
  • Estafa de restablecimiento de contraseña: El delincuente envía un correo electrónico que parece proceder de una empresa legítima, como un banco o un sitio web de redes sociales. El mensaje dice que se ha restablecido la contraseña de la víctima y le pide que haga clic en un enlace para cambiarla. El enlace lleva a la víctima a un sitio web falso que parece real. Una vez que la víctima introduce su nueva contraseña en el sitio web falso, los delincuentes pueden robarla.
  • Estafa de soporte técnico: El delincuente envía un correo electrónico que parece proceder de una empresa legítima de asistencia técnica. El mensaje dice que el ordenador de la víctima tiene un problema y le pide que llame a un número determinado para obtener ayuda. Cuando la víctima llama al número, se pone en contacto con un delincuente que intentará convencerla de que le dé acceso remoto a su ordenador. Una vez que el delincuente tiene acceso remoto al ordenador de la víctima, puede robar su información personal o instalar malware
Email phishing example
Ejemplo de phishing por correo electrónico del Departamento de Vehículos Motorizados de Nueva York.

Spear Phishing

Se trata de un tipo de ataque de phishing más selectivo en el que el delincuente elabora una comunicación específicamente adaptada a la víctima. Por ejemplo, el correo electrónico del delincuente puede tratar sobre un tema por el que la víctima haya mostrado interés anteriormente porque es relevante para su trabajo. Cuando se utilizan la inteligencia artificial (IA) y el aprendizaje automático (“Machine Learning” o “ML“) para la personalización, es más probable que se abra el correo electrónico y que la víctima caiga en la estafa.

A continuación se muestran algunos ejemplos de estafas de spear phishing:

  • Estafa por correo electrónico dirigido: El delincuente envía un correo electrónico específicamente dirigido a la víctima. El mensaje puede mencionar el nombre de la víctima, su empresa u otra información personal. La personalización hace que sea más probable que se abra el correo electrónico y que la víctima caiga en la estafa.
  • Estafa de correo electrónico comercial comprometido (BEC): El delincuente envía un correo electrónico que parece proceder de un socio comercial legítimo, como un proveedor o un cliente. El mensaje puede pedir a la víctima que realice un pago o cambie su contraseña. El estafador suele utilizar una sensación de urgencia para presionar a la víctima para que actúe con rapidez.
  • Estafa de apelación a la autoridad: El delincuente envía un correo electrónico que parece proceder de un ejecutivo de alto nivel cuyo nombre es probable que la víctima conozca. El mensaje pide a la víctima que transfiera dinero a una cuenta específica, normalmente en el extranjero. El delincuente suele utilizar una sensación de urgencia para presionar a la víctima para que actúe con rapidez.

Phishing de ballenas

Este tipo de ataque de spear phishing busca explotar a un “pez gordo“, como el Director Financiero (CFO) de una gran empresa u otro ejecutivo de alto nivel.

A continuación se muestran algunos ejemplos de estafas de phishing de ballenas:

  • Fraude del CEO: El delincuente envía un correo electrónico al Vicepresidente de Finanzas que parece proceder del CEO de la empresa. En el mensaje se pide a la víctima potencial a realizar inmediatamente una acción específica en nombre del delincuente que, en última instancia, provocará pérdidas económicas o la divulgación no autorizada de información confidencial.
  • Estafa de suplantación de vendedores: El delincuente envía un correo electrónico al Vicepresidente de Compras que parece ser de alguien con quien la empresa de la víctima hace negocios. El mensaje pide a la víctima que autorice el pago de una factura supuestamente “vencida” o que cambie la dirección de entrega de un pedido importante.
  • Estafa interna de los empleados: El delincuente se dirige al vicepresidente de ventas y le envía un correo electrónico diseñado para engañarle para que realice una acción específica que dará al delincuente acceso a información sensible de los registros de clientes.

Smishing

Este tipo de phishing utiliza mensajes de texto SMS para comunicarse con la victima potencial. Los mensajes de texto suelen contener un enlace que, al pulsarlo, lleva a la víctima a un sitio web falso o le pide que proporcione información confidencial.

A continuación se muestran algunos ejemplos de estafas de smishing:

  • Estafa de entrega de paquetes: El delincuente envía un mensaje de texto que parece ser de una empresa de transporte, como UPS o FedEx. El mensaje dice que la víctima tiene un paquete esperándole y le pide que haga clic en un enlace para rastrearlo. El enlace lleva a la víctima a un sitio web falso que parece el de una empresa de transporte real. Una vez que la víctima introduce sus datos personales en el sitio web falso, los delincuentes pueden robarlos.
  • Estafa bancaria: El delincuente envía un mensaje de texto que parece ser de un banco, como Bank of America o Wells Fargo. El mensaje dice que la cuenta de la víctima ha sido comprometida y le pide que haga clic en un enlace para verificar su información. El enlace lleva a la víctima a un sitio web falso que parece el del banco real. Una vez que la víctima introduce sus credenciales de acceso en el sitio web falso, los delincuentes pueden robarlas.

Estafa de restablecimiento de contraseña: El delincuente envía un mensaje de texto que parece ser de una empresa popular como Amazon o eBay. El mensaje dice que la contraseña de la víctima ha sido comprometida y le pide que haga clic en un enlace para cambiarla. El enlace lleva a la víctima a un sitio web falso que parece real. Una vez que la víctima introduce su antigua contraseña para cambiarla por una nueva en el sitio web falso, los delincuentes pueden robarla.

Smishing scam examples
Ejemplo de smishing del Departamento del Fiscal General de Michigan.

Vishing

Este tipo de phishing se realiza por teléfono. El delincuente utiliza su propia voz, o una voz generada por IA, para hacerse pasar por un representante de una empresa u organización legítima.

A continuación se muestran algunos ejemplos de estafas de vishing:

  • Estafa de soporte técnico: El delincuente llama a la víctima y pretende pertenecer a una empresa legítima de asistencia técnica. Informa a la víctima de que su ordenador tiene un problema y le pide permiso para acceder a él de forma remota. Una vez que el delincuente ha obtenido acceso remoto al ordenador de la víctima, puede robar su información personal o instalar malware.
  • Estafa de suplantación de identidad: El delincuente llama a la víctima y pretende pertenecer a una agencia gubernamental, como el Servicio de Impuestos Internos (“Internal Revenue Service” o “IRS“) o la Administración de la Seguridad Social. Informa a la víctima de que debe dinero y le pide que lo pague por teléfono. En este tipo de estafa de phishing, el delincuente puede utilizar amenazas o intimidación para presionar a la víctima para que pague.
  • Estafa de sorteos: El delincuente llama a la víctima y le comunica que ha ganado un premio en un sorteo o lotería. Le pide que facilite información personal, como su número de la seguridad social o de cuenta bancaria, para reclamar el premio. A continuación, el delincuente utiliza la información de la víctima para robar dinero o realizar un robo de identidad.

Phishing de criptomonedas

Este tipo de estafa se dirige a inversores y comerciantes de criptodivisas. Los delincuentes envían correos electrónicos o mensajes que parecen proceder de una fuente legítima, como un intercambio de criptomonedas o un proveedor de monederos. Los correos electrónicos o mensajes a menudo contienen un enlace que, al hacer clic, lleva a la víctima a un sitio web falso que se parece al sitio web real. Cuando la víctima introduce sus credenciales de inicio de sesión u otra información confidencial en el sitio web falso, los delincuentes pueden robar la información.

A continuación se muestran algunos ejemplos de estafas de phishing de criptomonedas:

  • Estafa de advertencia de seguridad: El delincuente envía un correo electrónico que parece proceder de un intercambio de criptomonedas, advirtiendo a la víctima de que su cuenta ha sido comprometida. El correo electrónico pide a la víctima que haga clic en un enlace para verificar su cuenta. El enlace lleva a la víctima a un sitio web falso que se parece al sitio web real del intercambio. Una vez que la víctima introduce sus credenciales de acceso en el sitio web falso, los delincuentes pueden robarlas.
  • Estafa del sorteo: El delincuente envía un mensaje en las redes sociales que parece provenir de una celebridad o persona influyente. El mensaje pide a la víctima que envíe criptomoneda a una dirección determinada para participar en un concurso o sorteo de criptomonedas. La dirección pertenece al delincuente y la criptomoneda de la víctima se roba.
  • Estafa de sitio web falsificado: El delincuente crea un sitio web falso de criptomoneda que parece un proveedor legítimo de intercambio o monedero. A continuación, el delincuente anuncia el sitio web falso en las redes sociales u otras plataformas online. Cuando las víctimas visitan el sitio web falso e introducen sus credenciales de inicio de sesión, los delincuentes pueden robarlas.

Ataques de abrevadero

Este tipo de estafa de phishing se dirige a sitios web que los profesionales de un sector o segmento de mercado específico suelen visitar.

A continuación se muestran algunos ejemplos de ataques de abrevadero (o “whaling hole attacks” en ingles):

  • Estafa de foro comunitario: El delincuente compromete un foro específico de la industria o un sitio web de la comunidad que los profesionales en un campo particular son propensos a visitar. Cuando las personas objetivo visitan el foro, sus dispositivos se infectan con malware o se les dirige a una página de inicio de sesión falsa que recogerá sus credenciales.
  • Estafa del portal de empleados: El objetivo del delincuente es un portal de beneficios para empleados o un sitio de intranet al que los empleados acceden con frecuencia para gestionar sus beneficios, ver los recibos de pago o acceder a los recursos de la empresa. Al comprometer este portal, el delincuente puede potencialmente robar las credenciales de inicio de sesión de los empleados y su información personal o incluso inyectar malware en sus dispositivos. Esta información puede utilizarse para el espionaje corporativo o para otros ataques dentro de la red de la organización.
  • Estafa VPN maliciosa: El delincuente crea un sitio web falso que ofrece acceso a VPN gratuitas. Las personas que se registran para utilizar las VPN falsas corren el riesgo de que les roben los datos de sus tarjetas de crédito, de que se filtren o vendan en línea fotos y vídeos privados, y de que se graben conversaciones privadas y se envíen al servidor del delincuente .

Anuncios maliciosos

Este tipo de ataque de phishing coloca anuncios maliciosos en sitios web legítimos. Cuando las víctimas hacen clic en los anuncios, se les lleva a un sitio web falso que les infectará con malware.

A continuación se muestran algunos ejemplos de estafas de anuncios maliciosos:

  • Estafa de descargas no autorizadas: Este tipo de estafa se produce cuando un programa malicioso se instala automáticamente en el ordenador de un usuario cuando visita un sitio web infectado con código malicioso. El malware puede utilizarse para robar información personal, instalar otro malware o tomar el control del ordenador.
  • Estafa de anuncios pop-up: Este tipo de estafa consiste en mostrar anuncios pop-up no deseados en el ordenador del usuario. Los anuncios pueden contener código malicioso para secuestrar el navegador de la víctima o permitir al delicuente acceder a la red de la víctima y buscar otras vulnerabilidades que explotar.
  • Estafa de clickjacking: Este tipo de estafa consiste en engañar al usuario para que haga clic en un enlace malicioso o en un botón de un sitio web. El enlace o botón puede parecer legítimo, pero en realidad está diseñado para instalar malware o robar información personal.

Angler Phishing

Este tipo de ataque de phishing utiliza sitios web de redes sociales populares como Facebook y TikTok como vector de ataque. El delincuente crea cuentas falsas en las redes sociales para interactuar con usuarios reales y ganarse su confianza. Finalmente, el delincuente envía un mensaje directo (DM) o publica algo en el sitio que contenga un enlace a un sitio web de phishing.

A continuación se muestran algunos ejemplos de estafas de angler phishing:

  • Quejas en redes sociales: En esta estafa, el delincuente crea una cuenta falsa en las redes sociales que parece una cuenta legítima de atención al cliente de una empresa. A continuación, se pone en contacto con personas que han publicado quejas sobre la empresa en las redes sociales y les ofrece “ayudarles” a resolver sus problemas. A continuación, el delincuente redirige a la víctima a un sitio web de phishing en el que se le pide su dirección de correo electrónico, número de teléfono u otra información personal que pueda utilizar para robar su identidad.
  • Estafas de páginas comunitarias: En esta estafa, el delincuente crea una página de comunidad falsa que requiere información personal como nombre, dirección o número de teléfono antes de conceder el acceso. Una vez que el delincuente ha recopilado la información de la víctima, puede utilizarla junto con otra información para cometer fraude o robo de identidad.
  • Estafas de reembolso: En esta estafa, el delincuente envía un correo electrónico o un mensaje de texto que parece proceder de una empresa legítima, como un banco o una compañía de tarjetas de crédito. El correo electrónico o mensaje de texto dice que a la víctima se le debe un reembolso y le proporciona un enlace para reclamarlo. El enlace lleva a la víctima a un sitio web falso que parece el de la empresa legítima. Una vez que la víctima introduce su información personal en el sitio web falso, el delincuente puede robarla.

Estrategias psicológicas utilizadas en el phishing

Las estrategias de phishing para conseguir que una víctima lleve a cabo una acción específica en nombre del delincuente suelen explotar la psicología humana. Haciéndose pasar por entidades de confianza, creando una sensación de urgencia o apelando al deseo de las víctimas de ayudar o formar parte de un grupo, un delincuente puede provocar respuestas impulsivas.

Aunque las tácticas técnicas como la suplantación del correo electrónico, la imitación de dominios o la distribución de malware son componentes fundamentales, es la manipulación psicológica la que a menudo determina el éxito del ataque. Curiosamente, la mayoría de las estrategias que utilizan los phishers son técnicas de marketing bien conocidas.

Las estrategias psicológicas utilizadas para llevar a cabo ataques con éxito incluyen:

  • Crear una sensación de urgencia: Los delincuentes suelen diseñar su comunicación para que tenga un sentido de urgencia. Las personas tienden a dar prioridad a los asuntos urgentes y es más probable que actúen impulsivamente cuando perciben una amenaza urgente.
  • Inspirar miedo: La comunicación del delincuente afirma que la cuenta de la víctima será suspendida o que se emprenderán acciones legales a menos que actúe inmediatamente. Las personas temerosas son más propensas a reaccionar impulsivamente.
  • Inspirar curiosidad: La comunicación del delincuente está diseñada para despertar la curiosidad de la víctima proporcionándole información incorrecta o detalles tentadores que le incitarán a hacer clic en un enlace o abrir un archivo adjunto para obtener más información.
  • Apelar a la autoridad: La comunicación del delincuente parece provenir de una figura de autoridad, como un director general, un administrador de TI o un funcionario del gobierno.
  • Apelando a la familiaridad: El delincuente aprovecha la confianza de la víctima en una marca, organización o persona conocida para crear una falsa sensación de seguridad.
  • Crear una sensación de escasez: El delincuente crea la percepción de exclusividad o disponibilidad limitada para motivar a las víctimas a actuar rápidamente.
  • Inspirar culpabilidad: La comunicación del delincuente está diseñada para hacer que la víctima se sienta culpable o avergonzada por no cumplir con una solicitud al alegar que la comunicación no es la primera que se envía.
  • Utilizar pruebas sociales: El delincuente proporciona testimonios, avales o referencias falsas para hacer que la solicitud parezca digna de confianza y socialmente validada.
  • Fomentar la reciprocidad: El delincuente ofrece algo de valor percibido a la víctima (como un descuento o un regalo) a cambio de que realice una acción deseada.
  • Apelar al pasado: La comunicación del delincuente contiene una petición que es coherente con una acción anterior con la que la víctima está familiarizada.
  • Apelar a la amistad: La comunicación del delincuente imita fielmente el estilo de escritura de un colega o amigo con el fin de bajar la guardia de la víctima.
  • Inspirar simpatía: La comunicación del delincuente está diseñada para aprovechar el sentimiento de simpatía de la víctima y su deseo de ayudar al delincuente solucionar un problema.
  • Utilizar el miedo a perderse algo: La comunicación del delincuente se aprovecha del miedo de la víctima a perderse una oportunidad o un evento. Normalmente, el estafador afirmará que se requiere una acción inmediata para participar.
  • Apelar a los prejuicios del grupo: La comunicación del delincuente está diseñada para inspirar un sentimiento de pertenencia a un grupo social o “ingroup” con el que la víctima está familiarizada. El delincuente elaborará correos electrónicos o mensajes de phishing que parezcan proceder de fuentes que comparten una identidad o característica común con la victima.

Técnicas utilizadas en el phishing

Las estrategias psicológicas anteriores, combinadas con las tácticas técnicas que se describen a continuación, son las que hacen que los ataques de phishing sean tan eficaces. Cuando los destinatarios actúan en función de desencadenantes psicológicos, a menudo caen víctimas de las trampas técnicas ocultas en los correos electrónicos de phishing, las llamadas telefónicas de vishing y los mensajes de texto SMS. (Nota del editor: Los atacantes que carecen de los conocimientos técnicos necesarios para llevar a cabo un ataque pueden adquirir equipos de phishing en la dark web).

Entre las tácticas técnicas utilizadas habitualmente en los ataques de phishing se incluyen:

Email Spoofing: El delincuente manipula las cabeceras de los correos electrónicos para que parezcan proceder de una fuente de confianza. La suplantación del correo electrónico se ve facilitada por los puntos débiles del protocolo estándar para el envío de correos electrónicos, el Protocolo Simple de Transferencia de Correo (“Simple Mail Transfer Protocol” o “SMTP“). SMTP no requiere que los remitentes de correo electrónico verifiquen la exactitud de la dirección “De” que proporcionan, lo que hace que sea relativamente fácil para los delincuentes falsificar esta información.

Manipulación de enlaces: El delincuente utiliza enlaces falsos en los correos electrónicos para dirigir a las víctimas a sitios web maliciosos. Los delincuentes suelen introducir URL falsas con subdominios legítimos para eludir los filtros de URL.

Suplantación de dominios: El delincuente compra nombres de dominio con apariencia legítima porque se parecen mucho a nombres de dominio legítimos y conocidos.

Adquisición de subdominios: El delincuente identifica los subdominios vulnerables de una organización y toma el control de ellos para alojar sitios de phishing.

Ataques basados en archivos adjuntos: El delincuente envía correos electrónicos de phishing con archivos adjuntos que contienen macros o secuencias de comandos que ejecutan código malicioso. Los correos electrónicos suelen emplear tácticas de ingeniería social diseñadas para convencer al destinatario de que active las instrucciones de la macro o los scripts maliciosos que contiene el archivo adjunto.

Redirecciones maliciosas: El delincuente utiliza iframes ocultos o JavaScript para redirigir a las víctimas desde sitios legítimos a páginas de phishing.

Descargas no autorizadas: El delincuente aprovecha las vulnerabilidades del navegador o del software de la víctima para descargar e instalar malware sin su conocimiento.

Técnicas de ofuscación: El delincuente emplea técnicas de codificación u ofuscación para ocultar código malicioso en correos electrónicos o sitios web.

Carga dinámica de contenidos: El delincuente utiliza un servicio web o un framework JavaScript, como React o Angular, para crear contenido dinámico que no está integrado en el código del sitio web. El contenido dinámico generado sobre la marcha no se puede detectar mediante análisis estático.

Ataques basados en JavaScript: El delincuente inserta código JavaScript malicioso en correos electrónicos o en sitios web comprometidos para entregar malware que permite un ataque de ransomware.

Ataques de intermediario (“Man-in-the-Middle” o “MitM“): El delincuente intercepta la comunicación entre la víctima y un sitio web legítimo para capturar datos confidenciales.

Exfiltración de datos: El delincuente envía los datos robados de los dispositivos de las víctimas a un servidor controlado por el delincuente, para que la información pueda ser utilizada posteriormente.

Captación de credenciales: El delincuente crea páginas de inicio de sesión falsas para servicios populares con el fin de capturar nombres de usuario, contraseñas y otras credenciales.

Secuestro de sesión: El delincuente roba cookies o tokens de sesiones activas para hacerse pasar por un usuario y obtener acceso no autorizado a sus cuentas.

Tabnabbing: El delincuente se aprovecha de la confianza del usuario en las pestañas del navegador sustituyendo las pestañas inactivas por páginas de phishing.

Ataques homógrafos: El delincuente utiliza caracteres Unicode similares a caracteres latinos en nombres de dominio para engañar a las víctimas.

Suplantación de contenido: El delincuente manipula el contenido de un sitio web comprometido para engañar a los visitantes y hacer que realicen acciones que beneficien al delincuente .

Reenvío de correo electrónico: El delincuente configura filtros de correo electrónico (reglas) en cuentas de correo electrónico comprometidas que reenviarán automáticamente al delincuente los mensajes confidenciales que contengan información de la cuenta.

Suplantación de DNS: El delincuente manipula los registros DNS para redirigir a los usuarios a sitios web falsos cuando introducen URL legítimas.

Inyección de scripts entre sitios (“Cross-Site Scripting” o “XSS“): El delincuente inyecta un script malicioso en el código de una página web que ejecutará una acción en nombre del delincuente. El XSS puede utilizarse para robar cookies de sesión, que pueden contener credenciales de inicio de sesión u otra información sensible que permita al delincuente hacerse pasar por la víctima.

Suplantación de marca: El delincuente solicita información sensible a la víctima aprovechando la confianza que ésta tiene en una marca concreta.

Inyección SQL: El delincuente introduce código SQL especialmente diseñado en los campos de entrada de un sitio web para obtener acceso no autorizado a las bases de datos que utiliza el sitio web. Aunque la inyección SQL se asocia más comúnmente con las filtraciones de datos y los ataques a aplicaciones web, puede emplearse en ataques de phishing para recopilar información o enviar archivos maliciosas.

Cómo prevenir los ataques de phishing

Con la información sensible obtenida de una estafa de phishing exitosa, los delincuentes pueden causar daños en el historial financiero, la reputación personal y la reputación profesional de sus víctimas que pueden tardar años en deshacerse. La combinación de elementos psicológicos y técnicos en los ataques de phishing amplifica su eficacia y subraya la importancia de la educación en ciberseguridad y de disponer de una defensa sólida para contrarrestar estas amenazas.

Se recomiendan las siguientes precauciones de seguridad para evitar que los ataques de phishing tengan éxito:

  • No abrir nunca archivos adjuntos de correo electrónico que no se esperen;
  • Nunca haga clic en enlaces de correo electrónico que soliciten información personal;
  • Valide una URL antes de hacer clic en ella pasando el cursor del ratón por encima del enlace para ver la URL real a la que dirige. Las URL deben coincidir;
  • Nunca haga clic en enlaces que empiecen por HTTP en lugar de HTTPS;
  • Desconfíe de todas las llamadas telefónicas que soliciten información personal identificable (IPI) o transferencias de fondos de una cuenta a otra;
  • No responda a llamadas de móvil de números desconocidos;
    Si alguien llama pretendiendo ser de una agencia gubernamental o de una empresa legítima, cuelgue y llame al número que aparece en el sitio web oficial de dicha agencia o empresa;
  • No facilite nunca números de tarjetas de crédito por teléfono;
  • Permita siempre que se actualicen los navegadores web, los sistemas operativos y las aplicaciones de software que se ejecutan localmente en los dispositivos con acceso a Internet;
  • Utilice herramientas de seguridad informática actualizadas, como programas antivirus y cortafuegos de última generación;
  • Verifique el número de teléfono de un sitio web antes de realizar cualquier llamada al número de teléfono facilitado en un correo electrónico;
  • Utilice contraseñas seguras y autenticación de dos factores (2FA) para todas las cuentas en línea;
  • Denuncie las estafas sospechosas a la empresa por la que se hace pasar el delincuente, así como a las autoridades gubernamentales, como la Comisión Federal de Comercio (“Federal Trade Commission” o “FTC“).

 

consejos phishing

Si procede, pida al equipo de Tecnologías de la Información y la Comunicación (TIC) que

  • Revise y reduzca el número de cuentas corporativas con acceso a datos y dispositivos críticos;
  • Restrinja el uso compartido de contraseñas;
  • Reduzca las oportunidades de escalada de privilegios limitando los privilegios de acceso;
  • Implemente controles de seguridad que impidan a los usuarios ejecutar whoami y otros programas de utilidades de línea de comandos basados en funciones de usuario.

Software antiphishing

El software antiphishing puede considerarse un conjunto de herramientas de ciberseguridad que emplea una amplia gama de técnicas para identificar y neutralizar las amenazas de phishing. Estas son algunas de las características y funciones clave del software antiphishing:

  1. Filtrado de correo electrónico: El software antiphishing suele incluir funciones de filtrado de correo electrónico para escanear los mensajes entrantes en busca de contenido sospechoso y analizar las direcciones del remitente, el contenido del correo electrónico y los enlaces integrados para identificar intentos de phishing. Las aplicaciones adaptativas de seguridad del correo electrónico pueden detectar comportamientos anómalos y restringir automáticamente el acceso de un empleado a datos y sistemas confidenciales.
  2. Análisis de enlaces: Estas herramientas inspeccionan las URL dentro de los correos electrónicos o mensajes para verificar su legitimidad. Comparan los enlaces con listas negras conocidas de dominios maliciosos y evalúan su reputación.
  3. Análisis de contenido: Este tipo de software antiphishing analiza el contenido del correo electrónico en busca de indicadores de phishing, como faltas de ortografía, archivos adjuntos sospechosos o solicitudes de información confidencial.
  4. Inteligencia sobre amenazas en tiempo real: Muchos servicios antiphishing se basan en sistemas inmunológicos digitales con información sobre amenazas en tiempo real para mantenerse actualizados sobre las nuevas amenazas y tácticas de phishing. Esto ayuda a identificar y bloquear rápidamente nuevos tipos de ataques de phishing.
  5. Aprendizaje automático e inteligencia artificial: el software antiphishing avanzado emplea algoritmos de aprendizaje automático e inteligencia artificial para adaptar y mejorar sus capacidades de detección. Pueden reconocer patrones indicativos de ataques de phishing, incluso en amenazas no vistas anteriormente.

Aunque el software antiphishing y los servicios en la nube antiphishing son armas formidables contra los ciberdelincuentes, es crucial recordar que la vigilancia humana sigue siendo un componente crítico de una ciberseguridad eficaz. Ningún software puede sustituir la necesidad de que las personas sean precavidas, escépticas y estén bien informadas sobre las amenazas de phishing.

La formación sobre concienciación en materia de seguridad debe ir de la mano de soluciones antiphishing para crear una sólida sólida estrategia de defensa.

Temas relacionados

Margaret Rouse

Margaret Rouse es una galardonada escritora técnica y profesora conocida por su habilidad para explicar temas técnicos complejos a una audiencia de negocios no técnica. Durante los últimos veinte años, sus explicaciones han aparecido en sitios web de TechTarget y ha sido citada como autoridad en artículos del New York Times, Time Magazine, USA Today, ZDNet, PC Magazine y Discovery Magazine. La idea de diversión de Margaret es ayudar a profesionales de TI y negocios a aprender a hablar los idiomas altamente especializados de cada uno. Si tienes una sugerencia para una nueva definición o cómo mejorar una explicación técnica,…