El phishing, también conocido como suplantación de identidad, es un ataque cibernético común que le puede suceder a todo tipo de usuarios y organizaciones con tan solo hacer clic en un enlace a través del correo electrónico.
Esto puede derivar en que el atacante sustraiga ilegalmente información de gran valor para la víctima con múltiples finalidades, ya sea borrarla o venderla.
Desde 2020 hasta la actualidad, el 81% de las organizaciones reporta haber percibido un aumento en los intentos de ataque de phishing. Al mismo tiempo, este fraude está presente en el 25% de todas las violaciones de datos denunciadas por empresas.
Considerando su elevada incidencia, lo invitamos a que conozca más sobre el phishing, qué busca y cómo prevenirlo.
Phishing: ¿qué es y cuál es su objetivo?
La suplantación o robo de identidad en la red, mejor conocida como phishing, es una forma de fraude de ingeniería social en la que un ciberatacante se hace pasar por una persona o empresa de confianza a través de un correo electrónico u otras formas de comunicación como, por ejemplo, redes sociales, replicando su nombre de usuario y otros elementos de su identidad.
Por lo general, los atacantes - conocidos como phishers - suelen utilizar emails dedicados para distribuir enlaces maliciosos o archivos adjuntos con distintos objetivos, como:
- Extraer credenciales de inicio de sesión;
- Obtener el número de cuenta bancaria o números de tarjetas de crédito de la víctima;
- Sustraer datos empresariales sensibles.
No obstante, en algunos casos las llamadas y líneas telefónicas convencionales pueden ser el instrumento para establecer contactos fraudulentos y con objetivo de timo, a lo cual se le conoce como vishing. También existe el smishing, basado en mensajes de texto o SMS.
A ciencia cierta, ¿cómo funciona?
Los ciberdelincuentes usan fuentes públicas de información para recopilar antecedentes sobre:
- Historial;
- Gustos, preferencias e intereses de los usuarios;
- Actividades personales y laborales de la víctima.
Esto lo hacen normalmente a través de redes sociales como LinkedIn, Facebook o Twitter.
Estas fuentes son sensibles si no son protegidas y hacen muy fácil encontrar información pública de las potenciales víctimas, la que se puede utilizar para crear un correo electrónico o texto creíble.
Este es el paso a paso común de este tipo de ciberdelitos
Comúnmente, el modus operandi es el siguiente:
- El usuario recibe un mensaje que parece haber sido enviado por un contacto u organización reconocida donde se adjuntan hipervínculos adulterados que derivan a sitios webs maliciosos;
- Luego se instala un programa malicioso (malware) automáticamente en el dispositivo del usuario o lo dirige a un sitio web falso que es idéntico al de la marca que supuestamente lo contacta como, por ejemplo, su banco de confianza;
- El usuario escribe su información personal y/o financiera como, por ejemplo, contraseñas, detalles de tarjetas de crédito o identificación de cuentas, y estos datos son recibidos inmediatamente por el ciberdelincuente.
Una vez se hace con toda la información, puede utilizarla para hacerse pasar por la víctima y cometer actos ilícitos.
¿Cómo reconocer un correo electrónico de phishing?
En efecto, los mensajes de phishing exitosos son difíciles de distinguir de los mensajes reales. Estos se muestran como pertenecientes a una entidad conocida y hasta pueden llegar a incluir logotipos corporativos u otros datos que lo identifiquen como tal.
Sin embargo, hay varias pistas que le pueden indicar que un mensaje es un intento de fraude. Entre ellas están:
- Subdominios, URL mal escritas o sospechosas;
- Usan dirección de email pública en lugar de un correo corporativo;
- Invocan miedo o tienen un sentido de urgencia;
- Incluyen una solicitud para verificar información personal (contraseñas, datos financieros); o
- Están mal escritos o tienen errores ortográficos y gramaticales.
Estos son los 4 ataques de phishing más comunes
Los ciberdelincuentes continúan perfeccionando sus habilidades para mejorar los ataques de phishing existentes y crear nuevos tipos de estafas más difíciles de identificar.
Entre los 4 tipos utilizados por los ciberdelincuentes encontramos:
1. Ataques de phishing dirigidos a personas o empresas específicas
Estos ataques generalmente emplean información recopilada específica de la víctima para representar con más éxito el mensaje como auténtico.
Los emails de phishing selectivo pueden utilizar referencias a compañeros de trabajo o ejecutivos de la organización de la víctima, así como el nombre, la ubicación u otra información personal de la víctima.
2. Ataques balleneros
Dirigidos particularmente a los altos ejecutivos de una organización, a menudo tienen como objetivo robar grandes sumas de dinero.
Aquellos que preparan una campaña de whaling phishing investigan a sus víctimas en detalle para crear un mensaje con apariencia genuina, por consiguiente, cualquier información específica aumenta las posibilidades de que el ataque tenga éxito.
3. Pharming
El pharming —una combinación entre los términos phishing y farming— es un tipo de ciberataque que emplea el envenenamiento del caché de DNS para redirigir a los usuarios de un sitio legítimo a uno fraudulento.
La finalidad es engañar a los usuarios para que inicien sesión en el sitio falso con sus credenciales personales.
4. Phishing de clonación
En el phishing de clonación se usan correos electrónicos enviados previamente de manera legítima y que contienen un enlace o un archivo adjunto.
Los atacantes hacen una copia o clonación y reemplazan los enlaces o archivos adjuntos con otros maliciosos.
Esta técnica suele ser utilizada por aquellos que han tomado el control del sistema de una organización y lo usan para enviar mensajes de correo electrónico desde un remitente confiable y conocido por los destinatarios.
3 mejores prácticas para mitigar los riesgos y efectos del pishing
Al tornarse las empresas cada vez más digitales, la necesidad de almacenamiento y generación de datos crece exponencialmente. En este punto, las organizaciones y sus usuarios están expuestos a todo tipo de amenazas digitales.
Para las empresas, esto representa importantes desafíos de seguridad para sus infraestructuras de TI y la protección de datos personales.
Para consolidar un entorno de almacenamiento y comunicación anti-phishing, deben aplicarse los controles de Ciberseguridad correctos con la orientación de expertos, que deben incluir:
- Evaluación de Ciberseguridad para detectar amenazas de seguridad fortalecen la infraestructura de TI y la integridad de la información;
- Plan de ruta de Ciberseguridad para superar obstáculos típicos, protegiendo datos organizacionales cruciales y alineando la seguridad y los objetivos estratégicos; y
- Ciberseguridad gestionada, que fortalecerá sus defensas de seguridad de TI y protegerá sus bienes de un ciberataque.
Adicionalmente, es importante concientizar al equipo de trabajo sobre el riesgo de las estafas de phishing y algunos elementos que pueden presentarse en mensajes fraudulentos enviados por piratas informáticos en sus campañas de phishing, para que así puedan identificarlos en sus bandeja de entrada.
Recuerde que una dirección de correo electrónico sin el dominio o dirección web oficial de la empresa, las faltas de ortografía, la solicitud de información confidencial con urgencia y textos muy informales firmados por un supuesto alto cargo de una compañía son algunas señales comunes en mensajes de texto, WhatsApp o correo electrónico asociados a actividad sospechosa e intento de phishing.
Si quiere conocer más sobre las soluciones para protegerse del phishing y otros ciberdelitos, lo invitamos a explorar nuestras soluciones y portafolio de Ciberseguridad.
