Qué es el phishing y cómo evitarlo
Los ataques de phishing no solo fueron el tipo de ciberdelito más común el año pasado, sino que su frecuencia casi se duplicó respecto al año anterior, afectando al 75% de las organizaciones a nivel mundial. La pandemia ha exacerbado esta situación, al alterar el entorno empresarial con la incertidumbre y el auge del teletrabajo, y con la creciente disponibilidad de herramientas para realizar estos ataques, las empresas deben prepararse para no convertirse en otra víctima más de esta amenaza.
¿Qué es el phishing?
El phishing es un tipo de estafa cibernética en la que los delincuentes intentan obtener información confidencial, como contraseñas, números de tarjetas de crédito o datos bancarios, suplantando la identidad de una empresa o persona de confianza. Lo hacen enviando correos electrónicos, mensajes de texto o llamadas telefónicas que parecen provenir de una fuente legítima, como tu banco, tu proveedor de correo electrónico o una empresa de servicios públicos.
Los correos electrónicos o mensajes de phishing suelen contener un enlace o un archivo adjunto que, si se hace clic en él, te dirige a un sitio web falso que imita al sitio web real de la empresa o persona suplantada. Una vez que introduces tus datos en el sitio web falso, los delincuentes pueden acceder a tu información confidencial y utilizarla para cometer delitos, como el robo de identidad o el robo de dinero.
Cómo evitar el phishing
Aquí hay algunos consejos para evitar el phishing:
- No hagas clic en enlaces ni abras archivos adjuntos en correos electrónicos o mensajes de texto de remitentes desconocidos. Incluso si el correo electrónico o el mensaje de texto parece provenir de una empresa o persona de confianza, no hagas clic en ningún enlace ni abras ningún archivo adjunto hasta que estés seguro de que es legítimo.
- Comprueba la URL del sitio web antes de introducir cualquier información personal. Si estás en un sitio web que te pide que introduzcas información personal, como tu contraseña o tu número de tarjeta de crédito, asegúrate de que la URL del sitio web comienza con «https://» y tiene un icono de candado junto a la URL.
- Mantén actualizado tu software antivirus y antiphishing. El software antivirus y antiphishing puede ayudarte a protegerte de los ataques de phishing al detectar y bloquear sitios web y correos electrónicos fraudulentos.
- Ten cuidado con las llamadas telefónicas no solicitadas. Si recibes una llamada telefónica de alguien que dice ser de una empresa o persona de confianza, no proporciones ninguna información personal hasta que hayas verificado la identidad de la persona que llama.
- Utiliza contraseñas seguras y únicas para todas tus cuentas en línea. No utilices la misma contraseña para varias cuentas.
- No compartas tu información personal con nadie. No compartas tu información personal, como tu contraseña o tu número de tarjeta de crédito, por correo electrónico, mensaje de texto o teléfono.
- Mantente informado sobre las últimas estafas de phishing. Los estafadores siempre están ideando nuevas formas de engañar a la gente, por lo que es importante mantenerse informado sobre las últimas estafas de phishing.
Si crees que has sido víctima de phishing
Si crees que has sido víctima de phishing, es importante que actúes rápidamente. Aquí hay algunos pasos que puedes seguir:
- Cambia las contraseñas de todas tus cuentas en línea.
- Ponte en contacto con tu banco o compañía de tarjeta de crédito.
- Denuncia el ataque de phishing a las autoridades.
Características comunes de los correos electrónicos de phishing
La mayoría de la gente sabe que los correos electrónicos del «príncipe nigeriano» ofreciéndole una enorme suma de dinero son un ataque de phishing. Sin embargo, cuando los ciberdelincuentes utilizan tácticas para explotar su confianza y no causan ningún sentimiento de alarma, ¡hasta las personas más avispadas caen presas de los ataques de phishing! Veamos las características típicas de un correo electrónico de phishing:
- El correo electrónico contiene errores gramaticales y ortográficos. El signo más evidente de un correo electrónico de phishing es el uso incorrecto de la gramática y la mala ortografía. La mayoría de las empresas utilizan herramientas de autocorrección y corrección ortográfica en los correos electrónicos salientes, así que desconfía en cuanto recibas un correo plagado de errores.
- El correo electrónico parece muy inusual. Si la solicitud que se hace en el correo electrónico está fuera de lo común y no es la norma en su empresa, sea escéptico. Un ejemplo podría ser que alguien de su departamento de TI le enviara un correo electrónico sobre la instalación de un programa cuando este tipo de actividad suele gestionarse de otra manera.
- El correo electrónico exige una acción urgente. Los correos electrónicos de phishing a menudo utilizan amenazas o tienen un sentido de urgencia que te hace reaccionar rápidamente antes de pensar racionalmente. De hecho, las cinco principales líneas de asunto de los ataques de phishing en 2019 incluían las palabras urgente, solicitud, importante, pago o atención.
- El correo electrónico contiene archivos adjuntos sospechosos. Los correos electrónicos de phishing suelen contener archivos adjuntos maliciosos o hipervínculos a sitios web maliciosos. Un clic impulsivo más tarde, y su dispositivo está infectado, o usted ha entregado información de identificación personal, datos de tarjetas de crédito o contraseñas al ciberdelincuente.
- El correo electrónico es demasiado bueno para ser verdad. Como en el ejemplo del príncipe nigeriano, si el correo electrónico te anima a hacer clic en un enlace o abrir un archivo adjunto para reclamar una recompensa de algún tipo, lo más probable es que se trate de un intento de phishing. Si algo parece demasiado bueno para ser verdad, probablemente es porque lo es.
¿Qué es un kit de phishing?
Una de las razones por las que aumentan los ataques de phishing es la disponibilidad de kits de phishing. Un kit de phishing es una colección de herramientas de software que facilita a los ciberdelincuentes, independientemente de sus conocimientos técnicos, el lanzamiento de campañas de phishing. Esto se debe a que los kits suelen incluir plantillas de correo electrónico, gráficos y secuencias de comandos que pueden utilizarse para crear imitaciones convincentes de sitios web legítimos. Mientras los kits de phishing estén disponibles en la Web oscura, es probable que los ataques de phishing continúen.
Además de los kits de phishing, la nueva tecnología de IA hace que el phishing sea más fácil que nunca. Por ejemplo, le pedimos a ChatGPT que nos escribiera un correo electrónico de phishing y obtuvimos varias plantillas de correo electrónico bien escritas que podíamos enviar, y los ciberdelincuentes pueden hacer lo mismo.
Ataques de phishing famosos
Algunos ataques de phishing llegan a los titulares. Los ejemplos siguientes ilustran cómo incluso las empresas más expertas en tecnología son víctimas de correos electrónicos de phishing, pero lo más importante es que muestran que los ataques podrían haberse evitado si las empresas hubieran sido más proactivas en términos de concienciación sobre el phishing.
Hace unos años, Facebook y Google fueron víctimas de un ataque de phishing que costó más de 100 millones de dólares. Un ciberdelincuente creó una empresa falsa haciéndose pasar por un proveedor de piezas informáticas afiliado a los gigantes tecnológicos y envió correos electrónicos de phishing a determinados empleados facturándoles bienes y servicios.
Otro ejemplo es el de Sony Pictures, donde los empleados recibieron correos electrónicos de phishing que parecían proceder de Apple. A las víctimas se les pedía que introdujeran su ID de Apple en un formulario falso, y a partir de ahí el atacante era capaz de averiguar su información de acceso a la red de Sony. El ataque costó a la compañía más de 100 terabytes de datos de la empresa, incluidos registros financieros y datos de clientes.
Tipos de phishing
Spear phishing, vishing, smishing… y la lista continúa. El phishing ha evolucionado en muchos tipos. Suelen diferir en función del objetivo del ataque y del método utilizado para llevarlo a cabo. Sin embargo, lo que todos tienen en común es el mismo objetivo final: obtener información confidencial de la víctima. Desglosemos los distintos tipos de ataques de phishing:
- Smishing
- Vishing
- Fraude al CEO
- Suplantación de identidad
- La caza de ballenas
- Suplantación de identidad
- Pharming
- Pesca con caña
Smishing – phishing a través de mensajes de texto
El smishing es básicamente phishing a través de mensajes de texto. Al igual que el phishing, el mensaje de texto tiene un sentido de urgencia y parece proceder de una entidad de confianza. Contendrá un enlace URL que le llevará a una herramienta de phishing que le pedirá que revele información privada. He aquí un ejemplo de un ataque de smishing contra una tarjeta de crédito VISA.
Vishing – phishing de voz a través de llamadas telefónicas
¿Ha recibido alguna vez una llamada telefónica de alguien que se hace pasar por Microsoft? Entonces ha estado expuesto al vishing o phishing de voz. Aunque puede que pienses «qué persona en su sano juicio caería en algo así», un poco de suplantación del identificador de llamadas y algo de persuasión después, te sorprendería saber cuánta gente se deja convencer para instalar software que en realidad es malware.
Fraude del CEO: hacerse pasar por ejecutivo de una empresa
El fraude del CEO, también conocido como phishing ejecutivo, es un tipo de ciberdelito en el que el atacante se hace pasar por el CEO, CFO u otro ejecutivo de la empresa a través del correo electrónico. Funciona porque se aprovecha de tu confianza en la autoridad, haciendo que accedas a su petición sin pensártelo dos veces.
Spear phishing – ataques dirigidos a empleados concretos
El spear phishing es una forma específica de phishing. En lugar de enviar correos masivos genéricos, el atacante lleva a cabo una investigación para elaborar mensajes fraudulentos dirigidos a un individuo o grupo específico dentro de una organización. Si bien esto requiere más trabajo para el ciberdelincuente, conduce a mayores tasas de éxito, ya que la gente baja la guardia cuando el correo electrónico parece provenir de alguien que los conoce.
Caza de ballenas: ataques dirigidos a altos ejecutivos
El whaling, o whale phishing, es una forma de spear phishing dirigida a los «peces gordos», como directores ejecutivos u otras personas de alto perfil. El ciberdelincuente aprovechará la información pública disponible sobre estas personas para adaptar el correo electrónico de phishing. Por ejemplo, un correo electrónico de phishing con arpón podría indicar que la empresa se enfrenta a acciones legales o es objeto de un daño a su reputación debido a un acontecimiento público reciente o a una acción llevada a cabo por el ejecutivo.
Barrel phishing – envío de un correo electrónico «inocente» antes del correo electrónico de phishing
También llamada «double-barreling», esta táctica consiste en enviar dos correos electrónicos distintos, el primero con el cebo y el segundo con el archivo adjunto malicioso. El primer correo puede parecer que procede de un colega y decir: «Hola, ¿estás en la oficina? Necesito un favor rápido». El propósito de este correo benigno es establecer confianza y credibilidad, haciéndole bajar la guardia. A continuación, llega el segundo correo electrónico de seguimiento, que suena algo así como «Hola de nuevo, ¿podría revisar este informe lo antes posible? Este mensaje contendrá un enlace malicioso que le llevará a un sitio web falso.
Pharming
El pharming consiste en que el ciberdelincuente, sin saberlo, redirige la solicitud de su sitio web a otro que parece real, como el sitio web de su banco. De este modo, el ciberdelincuente puede capturar sus datos de acceso y utilizarlos para acceder a su cuenta. A diferencia del phishing, en el que el ataque se produce a través de la comunicación electrónica, el pharming se produce directamente en el navegador. ¿Cómo funciona? En términos sencillos, el ciberdelincuente manipula el sistema de nombres de dominio (DNS), que es el sistema que conecta los navegadores web con los sitios web. Por esta razón, esta forma de ataque es extremadamente sofisticada y difícil de reconocer.
Pesca con caña
El phishing de pescador opera en las redes sociales. En este caso, los ciberdelincuentes crean una cuenta falsa en redes sociales como Facebook, Twitter o Instagram. Las cuentas falsas reflejarán la identidad de la empresa atacada utilizando el mismo nombre y las mismas fotos. La esperanza es que las personas afectadas no se den cuenta de que no es una cuenta válida con la que se están comunicando y, por esta razón, el fraude puede ser difícil de reconocer. Normalmente, las víctimas del angler phishing son clientes insatisfechos, y los ataques comienzan cuando un cliente se queja en las redes sociales. El objetivo del angler phishing es engañar a los usuarios para que faciliten información confidencial.
El phishing es una gran amenaza para la seguridad empresarial actual, manifestándose en múltiples formas y apuntando a cualquier miembro de la organización. Es crucial fomentar la conciencia sobre esta práctica mediante la educación en ciberseguridad, ya que al reforzar la preparación de las personas se disminuyen las probabilidades de ser víctimas de estos ataques.