Los ciberdelincuentes recurren a cientos de estrategias de ataque diferentes. Una de estas técnicas es el phishing, o suplantación de identidad. A pesar de ser una estratagema ya antigua, los ciberdelincuentes siguen usándola, aunque con algunas variaciones. Sin embargo, muchos siguen preguntándose qué es el phishing y cómo puede evitarse.
¿En qué consiste el phishing?
¿Cuáles son los distintos tipos de phishing?
¿Cómo evitar el phishing?
¿En qué consiste el phishing?
El phishing, o suplantación de identidad, es una forma de ciberdelito en el cual el atacante contacta con un individuo aparentando ser miembro de una empresa legítima con la intención de engañarle y acceder a información personal y corporativa sensible, confidencial y crítica o desplegar software malintencionado, como el ransomware. Los datos bancarios y las contraseñas de acceso a las empresas son el tipo de información que más interesa a los ciberdelincuentes.
¿Cuáles son los distintos tipos de phishing?
Los estafadores utilizan distintas técnicas de phishing, y la lista no deja de crecer, ya que los ciberdelincuentes buscan constantemente nuevas formas de acceder a la información que les interesa. Conforme evolucionan las tecnologías y los servicios a través de Internet, los atacantes buscan nuevas oportunidades de aprovechar las deficiencias de los sistemas de seguridad y acceder a información confidencial, por lo que no es difícil que los usuarios caigan en un tipo de ataque de phishing más reciente y menos conocido. A continuación, analizaremos algunos de los distintos tipos de estafas de phishing:
- Phishing tradicional
- Phishing focalizado
- Whale phishing
- Pharming
- Smishing
- Aplicaciones de Google
- Facturas falsas
¿Qué es el phishing tradicional?
El phishing tradicional, o phishing mediante correo electrónico, es el ataque de phishing más frecuente, y lleva usándose desde hace décadas. Se envía un mensaje fraudulento cuidadosamente elaborado con la intención de manipular al destinatario haciéndole creer que el correo procede de una organización legítima. Normalmente, solamente hay una pequeña variación en la dirección de correo electrónico del remitente, un detalle que la mayoría de los usuarios habituales de Internet podría pasar por alto. El correo electrónico incluye un enlace que lleva a un sitio web falso o instala malware en el dispositivo del usuario. Estos mensajes no están personalizados ni van dirigidos a un individuo específico, y se denominan ataques de phishing masivos. La intención es acceder a los datos y la información personal confidencial o secreta.
¿Qué es el phishing focalizado?
El phishing focalizado es una estrategia dirigida a los individuos que trabajan en un negocio o sector específicos con la intención de acceder al objetivo real: la propia empresa. Estos correos electrónicos están más personalizados y suelen incluir logotipos y firmas de correo electrónico, de modo que se presentan como campañas de marketing corporativas. Esta estrategia deja muy poco margen al destinatario para dudar de su autenticidad.
¿Qué es el whale phishing?
El whale phishing es un ataque de phishing altamente dirigido y orientado a los «peces gordos» de la organización, es decir, a los ejecutivos de alto nivel, como los propios dueños, consejeros o el personal clave de una empresa. Los atacantes llevan a cabo un exhaustivo estudio previo y, para presentarse como legítimos, los correos electrónicos se personalizan citando datos esenciales de la organización. El remitente utiliza una dirección de correo electrónico similar a la de la autoridad fiscal o cualquier otro organismo gubernamental y suele pedir información crítica o la transferencia de una cantidad de dinero. A pesar de que la impresión general del correo electrónico es muy profesional, al estar dirigido a personal inteligente de alto nivel, su tasa de éxito suele ser muy baja.
¿Qué es el pharming?
El pharming es otra estrategia de phishing en la cual se envían correos electrónicos fraudulentos desde fuentes auténticas, como bancos y sitios de redes sociales. Estos correos electrónicos piden al destinatario que realice una acción urgente en su cuenta. Pueden solicitar desde un cambio de contraseña hasta la adopción de medidas de seguridad para engañarnos y redirigirnos a un sitio web falso. El pharming no solamente implica correos electrónicos fraudulentos, sino que manipula la caché de DNS. Utiliza la misma dirección web que la fuente y en apariencia es exactamente igual que el sitio auténtico. El mensaje solicita los datos de inicio de sesión para hackear las cuentas.
¿Qué es el smishing?
El smishing es un tipo de ataque de phishing que implica el uso de SMS. La víctima recibe un mensaje de texto falso que solicita una respuesta directa o que incluye un enlace a un sitio web de phishing, que suele ser muy similar a un sitio con el que el usuario ya está familiarizado.
¿Puedo ser víctima de un ataque a través de aplicaciones de Google como Docs?
Un gran número de usuarios de Internet dependen de aplicaciones de Google, como Play Store o Gmail. Con una cuenta de Gmail podemos acceder y usar un amplio abanico de servicios de Google. La mayoría de personas usa Google Docs, Sheets, Drive y otras aplicaciones de Google para almacenar documentos y fotos, ya que estos servicios parecen cómodos y seguros. Por este motivo, uno de los principales objetivos de los estafadores es hacerse con las contraseñas de Google. Elaboran correos electrónicos que envían a los usuarios de Gmail para redirigirlos a su página de inicio de sesión de Google. Tan pronto como el usuario introduce su contraseña, el estafador tiene acceso a su cuenta y a todos los archivos almacenados.
Además, a comienzos de 2022, se comunicó que se estaba aprovechando la función de comentarios de Google Docs para enviar correos electrónicos aparentemente legítimos y persuadir a las víctimas para que hicieran clic en enlaces malintencionados. El procedimiento es el siguiente: el atacante crea un documento de Google y añade un comentario con un enlace malintencionado, después añade a la víctima a través de la función «@», lo que envía un correo electrónico con un enlace al archivo de Google Docs. El correo electrónico muestra todo el contenido, incluidos los enlaces fraudulentos y el resto de texto añadido por el atacante.
¿Puedo ser víctima de una estafa a partir de una factura?
Sim, o faturamento falso é um tipo de golpe de phishing no qual uma nota fiscal ou cobrança é enviada a uma empresa ou pessoa física, solicitando o pagamento de bens ou serviços. Isso pode incluir a demanda por fundos, a data de vencimento do pagamento ou uma notificação de alteração nos detalhes do pagamento.
¿Cómo evitar el phishing?
Los ataques de phishing son un problema cada vez mayor para las empresas. Según un informe reciente de IBM, el phishing es la segunda causa más frecuente de filtración de datos y la más cara, ya que cuesta a las empresas una media de 4,91 millones de dólares. La pregunta que debe hacerse es qué puede hacer por su empresa para protegerla frente a los ataques de phishing.
- Verifique el contenido
- Verifique todos los enlaces
- Proteja las identidades
- Firme digitalmente sus correos electrónicos
Verifique el contenido
La mayoría de correos electrónicos fraudulentos dejan muchas pistas en su contenido. Aunque los correos electrónicos de phishing van directamente dirigidos y utilizan información personal para engañarle, no tienen todos los datos. Si examina detenidamente el asunto y el contenido de estos correos electrónicos, podrá hacerse una idea de su autenticidad.
- Sospeche siempre de los archivos adjuntos. ¿Esperaba recibirlos? Puede tratarse de una factura o un archivo para descargar.
- Tenga cuidado cuando revele información sensible, como sus datos de inicio de sesión, datos de tarjeta de crédito, números de teléfono o datos bancarios.
- Trate de identificar fallos gramaticales o errores ortográficos.
Obtener más consejos sobre qué debe buscar para identificar correos electrónicos malintencionados.
El principal truco al que recurren los estafadores es generar una sensación de urgencia en relación con sus correos electrónicos de phishing. Solo caerá en la trampa si se apresura a actuar. Por ello, lo importante es mantener la calma, pensar antes de hacer clic y actuar de forma sensata.
Verifique todos los enlaces
Para evitar el phishing, se recomienda verificar las direcciones de correo electrónico y los enlaces a sitios web antes de hacer clic. Las direcciones fraudulentas son muy parecidas a las auténticas, pero no son iguales. Siempre incluyen un pequeño cambio en la ortografía o el uso de caracteres.
- Si el enlace solicita datos de inicio de sesión, vaya directamente al sitio web en lugar de acceder desde el enlace incluido en el correo electrónico.
- Si está usando un ordenador, pase el ratón por el enlace antes de abrirlo para asegurarse de que puede confiar en él.
- Busque sitios con seguridad HTTP que cuenten con firmas de confianza, como sitios con certificados TLS.
Proteja las identidades
Una Red Privada Virtual, o VPN por sus siglas en inglés, proporciona un canal cifrado para todas sus actividades en línea. Oculta su identidad y ubicación auténticas y le permite conectarse al mundo a través de servidores remotos seguros. De esta forma, evita ser espiado o suplantado, y los ciberdelincuentes no pueden acceder a su información ni a su identidad. Una VPN robusta también protege su conexión frente a malware atacante y mejora la seguridad de su experiencia en Internet. Las VPN constituyen una barrera segura frente a los ataques de phishing por correo electrónico que lleguen a su dispositivo.
Firme digitalmente sus correos electrónicos
Protéjase frente a los ataques de phishing añadiendo una firma digital a sus correos electrónicos y blinde la seguridad del correo electrónico de su empresa con certificados S/MIME. Al usar dos funciones de cifrado, el S/MIME permite verificar la procedencia de los correos electrónicos y la identidad del remitente, protegiendo así las comunicaciones en tránsito en servidores de correo gracias al cifrado. El protocolo S/MIME impide interceptar y borrar la firma digital del correo electrónico, por lo que la validez y legitimidad de los correos electrónicos firmados digitalmente está garantizada.