Guía sobre el Phishing: Todo lo que debes saber este 2023

En el mundo digital actual, gran parte de lo que hacemos, ya sea por negocios o por placer, se lleva a cabo en línea. Esta actividad online constante se ha traducido en una explosión de la ciberdelincuencia. Se podría decir que las ciber amenazas son actualmente el mejor recurso para robar datos personales. 

El phishing sigue siendo la forma más común de ciberataque debido a su sencillez, eficacia y alto rendimiento de la inversión. Estos ataques son sofisticados, selectivos y cada vez más difíciles de detectar. Y es que según el último informe de Defensa Digital 2022 de Microsoft, 710 millones de correos electrónicos de phishing son bloqueados por semana. 

En pocas palabras: el phishing es un correo electrónico fraudulento diseñado para engañar a alguien.

Los estafadores utilizan tácticas de ingeniería social para engañar al usuario y conseguir que facilite información personal, como datos de acceso, o que descargue accidentalmente programas maliciosos.

También existe el phishing de voz (vishing), el phishing de mensajes de texto (smishing) e incluso el phishing de vídeo a través de deepfakes, pero el vector más común con diferencia es el correo electrónico.

El e-mail es un canal utilizado por cientos de millones de personas tanto en su trabajo como en su vida social, es gratuito y fácil de utilizar de forma anónima para los delincuentes, y la gente comete muchos errores cuando lo utiliza.

El objetivo a corto plazo de un atacante es introducir un mensaje en las defensas técnicas de una organización. Es mucho más fácil entrar en los sistemas de una organización mediante phishing que piratear un sistema informático, y cualquiera puede hacerlo. Del mismo modo que es mucho más fácil abrir una caja fuerte robando el código de combinación que intentando forzar la cerradura.

Una vez que el correo electrónico llega a la bandeja de entrada de un empleado, confían en el error humano. Necesitan que el empleado haga clic en un enlace fraudulento o que facilite voluntariamente información confidencial.

Una vez dentro de un sistema, los objetivos de los atacantes pueden variar. Pueden intentar:

Los siguientes ejemplos de phishing son las formas de ataque más comunes:

Es un intento más selectivo de robar información confidencial y normalmente se centra en una persona u organización específica. Este tipo de ataque utiliza información personal específica del individuo para aparentar legitimidad.

Una vez que conocen mejor a su objetivo gracias a una investigación previa, empiezan a enviar correos electrónicos personalizados que incluyen enlaces que, al hacer clic, infectan el ordenador con malware.

El phishing de clonación consiste en utilizar un mensaje de correo electrónico legítimo y previamente enviado para crear un mensaje idéntico con contenido malicioso. El correo electrónico clonado parecerá proceder del remitente original, pero será una versión actualizada que contiene enlaces o archivos adjuntos maliciosos.

Con este método se utilizan mensajes SMS en vez de correos electrónicos. Es otra forma eficaz para que las víctimas divulguen información personal, como datos de cuentas, tarjetas de crédito o nombres de usuario y contraseñas. 

En el mensaje suele haber una llamada a la acción urgente. 

Lo que distingue a esta categoría de phishing de las demás es la elección del objetivo de alto nivel. Un ataque de whaling es un intento de robar información confidencial y suele estar dirigido a altos directivos. 

Los correos electrónicos de whaling son mucho más sofisticados que los correos de phishing corrientes y mucho más difíciles de detectar. Suelen contener información personalizada sobre el objetivo o la organización, y el tono del lenguaje es más corporativo. Los ciberdelincuentes dedican mucho más esfuerzo y atención a la elaboración de estos mensajes, ya que les reportan grandes beneficios.

Es el ataque de phishing con mayor interacción humana, pero sigue el mismo patrón de engaño. Los estafadores suelen crear una sensación de urgencia para convencer a la víctima de que divulgue información confidencial. 

La llamada se realiza a menudo a través de un identificador falsificado, para que parezca que procede de una fuente fiable. 

En un caso típico, el estafador se hace pasar por un empleado del banco para señalar un comportamiento sospechoso en una cuenta. Una vez que se haya ganado la confianza de la víctima, le pedirá información personal, como datos de acceso, contraseñas y PIN. Los datos pueden utilizarse para vaciar cuentas bancarias o cometer un fraude de identidad.

Hay que tener en cuenta que, aunque haya sectores más vulnerables que otros, todos los negocios están en el punto de mira de los ataques de phishing. 

Por lo general, las empresas dedicadas al sector financiero son las más afectadas por estos tipos de ataques. En este sector, pueden representar pérdidas de hasta 17.700 dólares por minuto. 

1. Una URL no coincidente

La validez de una URL es lo primero que se tiene que comprobar. Pasando por encima del link sin hacer clic, deberías poder ver la dirección completa. 

A pesar de parecer la misma, si la URL no coincide con la dirección mostrada, puede ser un mensaje fraudulento y probablemente se trate de un ataque de phishing.

2. El correo solicita información personal

Es muy poco probable que una empresa envíe un correo a sus clientes para solicitar información personal (contraseña, PIN, número de cuenta, preguntas de seguridad, etc). 

Si recibes este tipo de correo, probablemente se trate de un mensaje de phishing.  

3. Uso de lenguaje amenazador o urgente

Una de las tácticas más utilizadas es crear una sensación de urgencia o miedo para apresurar a la víctima a hacer clic en el link enviado. 

Por ejemplo, te puede llegar un mensaje que te notifique que tu seguridad se ha visto afectada y que se requiere una acción urgente. 

Ten cuidado con las líneas de asunto como “tu cuenta ha sido suspendida”. Mejor ponte en contacto con la empresa a través de su web o teléfono oficial. 

1. No hagas clic en enlaces sospechosos

El tipo más común de estafa de phishing consiste en engañar a la víctima para que haga clic en un enlace o abra correos electrónicos procedentes de empresas de confianza. 

El enlace te dirigirá a una web falsa para que introduzcas datos personales o te llevará a un sitio web que podría infectar tu ordenador. 

2. Cuidado con lo que publicas en Internet

Internet y las redes sociales han transformado la forma en que nos comunicamos unos con otros en el día a día. Sin embargo, esta cultura de compartir ha proporcionado a los ciberdelincuentes una forma fácil de llegar a sus víctimas potenciales, lo que aumenta las suplantaciones de identidad selectivas y difíciles de detectar.

A través de las redes sociales, los delincuentes pueden acceder fácilmente a tu información personal como el puesto de trabajo, la edad, la dirección de correo electrónico, y la actividad social. Información suficiente para lanzar un ataque de phishing personalizado y selectivo. 

Para reducir las posibilidades de caer en este tipo de ataque, piensa con más cuidado lo que publicas, restringe el acceso a personas que no conozcas, aprovecha las opciones de privacidad, y crea contraseñas seguras. 

3. Verifica la seguridad de un sitio

No introduzcas ninguna información en un sitio web sin comprobar antes que sea seguro. 

Comprueba si el sitio está protegido observando si contiene "https" en vez de "http", esto significa que es seguro gracias a un certificado SSL. 

4. ¡Educa al personal!

Solo cuatro de cada 10 trabajadores (un 38 %) afirma haber recibido algún tipo de formación o información sobre ciberseguridad por parte de su empresa, según un reciente informe de Infojobs.

Por muchas soluciones de ciberseguridad que haya contratado tu empresa, es tan fácil como que un empleado haga clic en un enlace malicioso para tirar por tierra toda la protección del negocio.

Por ello, es importante educar al personal y proporcionarle formación periódica sobre lo que debe tener en cuenta y cómo puede contribuir a prevenir un ciberataque.

En ANCO, además de contar con soluciones de seguridad informática antiphishing para tu empresa,  ofrecemos formaciones en ciberseguridad y phishing para empleados Programa el simulador de ataques de phishing para saber qué empleados son más vulnerables y necesitan mayor formación. La concienciación del usuario es la mejor protección para una empresa.