El blog de Skysnag

¿Qué es el phishing?

11 de octubre de 2023  |  9 leer menos

Se habla de phishing cuando los ciberdelincuentes envían correos electrónicos maliciosos para estafar a los internautas. Es una forma de ingeniería social en la que los estafadores utilizan la psicología humana y manipulan a las personas para que actúen sin pensar. El objetivo es acceder a datos sensibles del usuario, como información financiera, credenciales del sistema, número de tarjeta de crédito, etc.

Los correos electrónicos de phishing enviados parecen proceder de una fuente fiable, y las víctimas son engañadas para que los abran. Una vez abiertos, estos correos propagan malware y roban datos. Normalmente, técnicas como la falsificación, la imitación y el engaño desempeñan un papel integral en los ataques de phishing.

Historia del phishing

Puede que piense que el phishing es un concepto nuevo, pero lleva utilizándose desde mediados de los años noventa. Todo empezó con hackers que se hacían pasar por empleados de AOL para "pescar" información. Como AOL era un sistema de contenidos de renombre en aquella época, estos estafadores lograron embaucar a las víctimas. Les hacían divulgar sus credenciales y luego secuestraban sus cuentas.

Más tarde, en la década de 2000, el ciberphishing se hizo más prominente en el sector bancario. A los ciberdelincuentes les resultaban más rentables las cuentas bancarias, por lo que atraían a los usuarios para que revelaran sus credenciales financieras. Se enviaban masivamente correos electrónicos de phishing que imitaban notificaciones bancarias para robar fondos de usuarios desprevenidos.

Con el tiempo, el phishing ha evolucionado y cada vez aparecen más variantes, como Paypal Phishing, Amazon phishing, Apple Phishing, Spear Phishing, etc. Los estafadores son cada vez más avanzados e imitan a organizaciones reputadas utilizando sofisticados correos electrónicos que se asemejan a los auténticos. A día de hoy, el phishing sigue siendo un problema al que se enfrentan a diario las comunidades en línea.

El phishing, un problema que prevalece

El phishing se utiliza mucho para estafar a la gente, ya que es barato de llevar a cabo. Las direcciones de correo electrónico son fáciles de obtener y el coste del envío es cero. Por lo tanto, los correos electrónicos de phishing son una fuente fácil de dinero para los ciberdelincuentes.

Sin embargo, los efectos del phishing no son baratos. El coste para la sociedad, en su conjunto, es enorme, ya que millones de personas son estafadas a diario. Las cantidades individuales pueden ser pequeñas, pero suman miles de millones cuando se agregan. Según el IC3 del FBI, se registraron pérdidas de más de 1.800 millones debido al phishing.

Aparte de las pérdidas económicas, el phishing también ha provocado importantes violaciones de datos. En el mundo empresarial, el phishing se utiliza a menudo como punto de partida para un ataque de mayor envergadura. Como en el caso de la filtración de Target en 2013, muchas filtraciones de datos comienzan con un único correo electrónico de phishing y luego se convierten en escándalos masivos.

Los ataques de phishing también tienen consecuencias sociales negativas. Los correos electrónicos de phishing pueden revelar información personal identificable (IPI), como registros fiscales, información médica y datos financieros, lo que plantea problemas de privacidad. Además, el phishing también puede dar a los ciberdelincuentes acceso directo a las redes sociales y otras cuentas, provocando la caída de estas plataformas.

Estadísticas de phishing

Dado que los ataques de phishing tienen resultados devastadores tanto para las personas como para las organizaciones, no deben ignorarse. Observando las estadísticas de phishing que se mencionan a continuación, podrá comprender su prevalencia y gravedad:

  1. Sólo en 2020 se registraron 241.324 ataques de phishing
  2. Hubo un aumento impresionante del 110% en incidentes de phishing entre 2019 y 2020.
  3. De cada 100 encuestados estadounidenses, 75 han sido víctimas de intentos de phishing.

Por eso, todo el mundo debería informarse sobre el phishing para protegerse. Siga leyendo para conocer más detalles sobre este problema masivo que prevalece.

Cómo identificar un correo electrónico de phishing

Lo primero que hay que saber para protegerse de los ataques de phishing es cómo identificar un correo electrónico malicioso. Estos correos contienen un patrón típico que puede identificarse fácilmente:

La redacción:

La mayoría de los estafadores utilizan el miedo como cebo para usuarios inocentes. Crean una sensación de urgencia en su correo electrónico para que los lectores actúen sin pensar. Por desgracia, incluso las personas con conocimientos de phishing pueden caer presas de estas estafas, ya que el miedo les supera.

La mayoría de los correos electrónicos de phishing dicen a los usuarios que sus cuentas serán restringidas o que se propagará malware en sus dispositivos si no hacen clic en el enlace dado. El enlace es lo que propaga el malware y da a los hackers acceso a datos sensibles.

A veces, los ciberdelincuentes utilizan incentivos para atraer a las mentes curiosas. Es habitual que los atacantes utilicen expresiones como Invierta 40 dólares para obtener un retorno de 400 dólares, acaba de ganar un billete de lotería de 1.000 dólares, etc. Hacen que suene genuino y lucrativo para que los usuarios ignoren las señales de advertencia y caigan en su trampa. Como la mayoría de los usuarios piensan que tienen poco que perder, responden a estos correos y acaban perdiendo mucho.

A continuación se ilustra un correo electrónico de phishing estándar:

Ejemplo de correo electrónico de phishing con errores tipográficos y gramaticales

Como puede ver más arriba, el saludo de los correos electrónicos de phishing es genérico, ya que se envían de forma masiva. Así que sea muy precavido y mantenga los ojos bien abiertos. Si no está seguro de si un correo es auténtico o no, compruebe su dirección de remitente para determinar su legitimidad. Si se trata de un correo de phishing, habrá una ligera discrepancia que puede darte una alerta roja.

El mecanismo utilizado

Después de hacer que el cuerpo del correo electrónico parezca auténtico, lo que viene a continuación en los correos electrónicos de phishing suele ser un mecanismo para robar información. Principalmente, los estafadores recurren a tres vías. O bien adjuntan un archivo malicioso, insertan un enlace web o utilizan formularios de introducción de datos fraudulentos. Hemos mencionado cada una de ellas por separado.

Se trata del mecanismo más utilizado por los estafadores. En esta técnica, los estafadores insertan enlaces maliciosos que transportan a los usuarios a sitios web de phishing o páginas impostoras infectadas con malware.

Estas URL se disfrazan para que parezcan enlaces auténticos de un sitio de confianza, pero presentan pequeñas diferencias sintácticas. También pueden estar incrustadas en logotipos e imágenes presentes en el correo electrónico. Así que no haga clic accidentalmente en nada.

Los enlaces de phishing son más viables que los archivos adjuntos y los formularios de datos, ya que los usuarios los consideran menos arriesgados. Hacen clic en ellos sin pensárselo mucho y quedan atrapados fácilmente.

He aquí un ejemplo de correo electrónico que contiene un enlace malicioso.

Enlaces web maliciosos

Archivos adjuntos maliciosos

En lugar de un enlace web, los correos electrónicos de phishing pueden contener archivos adjuntos. Imitan archivos adjuntos legítimos, pero están infectados con malware que compromete el sistema operativo de su ordenador.

Los archivos suelen contener un documento de Ms. Office con una macro maliciosa o un script de shell. Cuando se descargan, propagan programas maliciosos como el ransomware, que congela los archivos de un PC. Estos archivos también se pueden utilizar para instalar un registrador de pulsaciones de teclas en su dispositivo para rastrear todo lo que escribe, como contraseñas y otra información confidencial.

Ps: Es esencial darse cuenta de que el phishing que contiene este tipo de malware no se limita a un solo dispositivo. Propagan las infecciones de un sistema a otro a través de redes conectadas, sistemas en la nube y discos duros compartidos. Por lo tanto, el phishing puede propagarse a gran velocidad.

He aquí un ejemplo de correo electrónico que contiene un archivo adjunto malicioso

Archivos adjuntos maliciosos

Formularios de introducción de datos fraudulentos

Otro mecanismo común utilizado en los correos electrónicos de phishing son los formularios de entrada de datos. Están diseñados principalmente para acumular información sensible como ID de usuario, números de tarjetas de crédito y contraseñas. Los correos electrónicos están escritos en un tono que incita al lector a rellenar y enviar la información en el acto.

Una vez que los usuarios entregan su información voluntariamente, los ciberdelincuentes pueden utilizarla para obtener beneficios personales. Por lo general, los estafadores imitan a organismos gubernamentales y convencen a personas desprevenidas para que rellenen formularios fraudulentos para la declaración de la renta y otros fines civiles.

Pero usted debería saber que los gobiernos no se ponen en contacto con los ciudadanos por correo electrónico ni les piden datos confidenciales por esas vías. Así que estos formularios deberían ser una señal de alarma.

He aquí un ejemplo de correo electrónico falso que contiene un formulario de introducción de datos:

Formularios de introducción de datos fraudulentos

Asunto

El asunto es otro aspecto vital del correo electrónico que puede ayudarle a distinguir entre correos electrónicos legítimos y de phishing. En un ataque de phishing, el asunto desempeña un papel crucial, ya que determina si el usuario morderá el anzuelo o no.

Así que los atacantes se aseguran de que el asunto del correo infunda miedo o curiosidad. Ambas emociones, si se utilizan bien, pueden hacer que los usuarios hagan clic en los correos maliciosos.

Por lo general, las líneas de asunto destacan los puntos débiles del usuario, como problemas de envío, problemas con la cuenta bancaria, etc. Si un usuario no está atento al dominio de la dirección del remitente, puede ser fácilmente engañado para que abra el correo electrónico. Una vez abierto el mensaje, aumentan las posibilidades de que los estafadores divulguen información confidencial.

He aquí un ejemplo de correo electrónico con un asunto genérico del que la mayoría de la gente es presa:

Ejemplo de correo electrónico de phishing de Costco

Tipos de ataques de phishing

Incluso después de conocer los fundamentos del phishing, los usuarios, incluidos los expertos en seguridad, pueden ser presa de este tipo de ataques. Esto se debe a que los ciberdelincuentes no dejan de actualizar sus métodos. Con el avance de la tecnología y el aumento de las transacciones en línea, los ataques de phishing también evolucionan, lo que los hace más difíciles de eludir.

El phishing ya no se limita al spam masivo y al simple robo de datos. En su lugar, los atacantes están ideando nuevas formas de organizar campañas masivas. Estos ataques pueden dirigirse a cualquiera, dependiendo del tipo de phishing.

Entre los tipos significativos de phishing se incluyen:

1. Spear phishing:

Una forma dirigida de phishing es aquella en la que se envían correos electrónicos personalizados a personas concretas, especialmente empleados de alto rango y titulares de información sensible.

2. Fraude al CEO:

Se trata de una forma de spear phishing, pero en lugar de dirigirse a empleados de alto nivel en la organización, ataca a empleados subalternos. Los estafadores imitan a altos cargos, como los directores generales, para presionar a sus subordinados para que transfieran dinero o actúen de forma poco ética.

3. Smishing:

Se trata de la abreviatura de SMS phishing, en la que los estafadores utilizan mensajes SMS para engañar a los usuarios para que abran sitios web maliciosos.

4. Vishing:

El phishing de voz es una forma de phishing que utiliza un software de cambio de voz y se dirige a las víctimas dejándoles un mensaje telefónico muy persuasivo y urgente.

5. Correos electrónicos de phishing de Amazon y fraude de Paypal

Amazon, eBay, Apple y Paypal son grandes actores en sus respectivos sectores; por tanto, son grandes objetivos para los estafadores. Con millones de usuarios en estas plataformas, a los ciberdelincuentes les resulta cómodo enviar correos electrónicos imitando a estas marcas de renombre. Estos incluyen, entre otros, correos electrónicos falsos de PayPal, correos electrónicos de phishing de Apple, correos electrónicos de estafa de Amazon, correos electrónicos de phishing de Apple, etc.

6. "Evil Twin" Wi-Fi:

Como su nombre indica, en este ataque de phishing, los estafadores utilizan Wi-Fi gratuito y engañan a los usuarios para que se unan a un punto de acceso malicioso. Una vez conectados con su víctima, la utilizan indebidamente para realizar exploits man-in-the-middle.

Sin embargo, recuerde que el phishing no se limita a los tipos mencionados anteriormente. Con el tiempo están saliendo a la luz más formas. Además, a medida que se popularizan nuevas plataformas en línea, dan lugar a distintos tipos de phishing. Por ejemplo, el aumento de usuarios de Netflix ha hecho que los correos electrónicos fraudulentos de Netflix sean más comunes.

Por lo tanto, para protegerse a sí mismo y a su organización, debe ser consciente de las diversas formas que puede adoptar el phishing y, a continuación, aplicar las medidas correspondientes. Para que le resulte más fácil comprender cómo se produce el phishing, hemos incluido algunos lugares conocidos donde puede encontrarse.

Factura falsa utilizada para campañas de phishing

Phishing a tu alrededor

El phishing está en todas partes a su alrededor. Es esencial darse cuenta de que cualquier ciudadano de a pie puede ser presa de estos ataques si accede a Internet y a sus herramientas. Incluso puede enfrentarse a las consecuencias de un ataque de phishing aunque no esté directamente implicado.

Por lo tanto, ser precavido es la única forma de protegerse del phishing y de sus múltiples formas; hemos enumerado algunos lugares en los que suelen encontrarse correos electrónicos de phishing:

En la vida personal

  • Cuentas bancarias.
  • Operaciones de crédito
  • Declaraciones fiscales
  • Compras en línea
  • Préstamos e hipotecas
  • Redes sociales.

En el trabajo

  • Transferencia de fondos corporativos.
  • Pérdida de información confidencial relativa a clientes y empleados.
  • Secretos comerciales expuestos
  • Sistemas congelados y archivos infectados
  • Reputación dañada.
  • Sanciones por incumplimiento.
  • Pérdida de cuota de mercado
  • Disminución de la confianza de los inversores.

En Industrias:

  • Comercio electrónico
  • Mercados financieros
  • Sistemas de pago
  • Empresas de informática y telecomunicaciones.
  • Empresas de reparto.
  • Google
  • Amazon
  • Banco de América
  • Microsoft
  • Manzana
  • FedEx
  • LinkedIn

No se trata en absoluto de una lista completa, ya que los ataques de phishing pueden producirse en cualquier lugar. Es sólo un ejemplo de lo extendido que está el phishing y de por qué son tan necesarias la concienciación y la protección...

Protección contra el phishing

A medida que el phishing se ha ido sofisticando, con estafadores que utilizan kits de phishing para pasar desapercibidos, la necesidad de protección se ha hecho aún más evidente. Además, las campañas de phishing se han vuelto masivas, y los delincuentes utilizan decenas de dominios para dirigirse a más personas.

Dado que el panorama de la ciberseguridad evoluciona continuamente, es fundamental que las empresas informen a sus empleados sobre las últimas técnicas de phishing y cómo prevenirlas. Mantenerlos al tanto de las últimas amenazas e inculcarles ciberseguridad puede ayudar a mitigar los intentos de phishing exitosos.

He aquí algunas formas de activar la protección contra el phishing en las organizaciones:

1. Suites de formación antiphishing

Los empleados pueden ser conscientes de los escenarios de phishing a través de paquetes de formación que contienen ejercicios de simulación y ejemplos del mundo real. Por lo general, los expertos en seguridad envían a los empleados correos electrónicos de phishing similares y comprueban si pueden identificarlos o no.

Esta aplicación práctica ayuda a los empleados a reconocer el phishing de antemano y a reducir el riesgo de verse comprometidos durante ataques reales en el futuro. Formar a los empleados de esta manera garantiza que la organización no acabe siendo la próxima víctima de phishing y protege a los empleados a título personal.

2. Soluciones de pasarela de correo electrónico

Las organizaciones pueden instalar soluciones capaces de detectar y clasificar los correos electrónicos de phishing. Una de las herramientas más eficaces para identificar y filtrar correos sospechosos es Email Gateway Solutions.

Mediante el uso de análisis, esta herramienta de supervisión vigila constantemente el tráfico en busca de patrones inusuales y pone en cuarentena cualquier mensaje sospechoso. Alerta al administrador si hay muchos exploits y descargas dentro de la página. Esta información puede utilizarse entonces para advertir a los empleados, reduciendo así las posibilidades de éxito de un intento de phishing.

3. Instalación de antivirus

Aunque esto no entra dentro de la protección contra el phishing, le ayuda a mitigar los daños de un ataque de este tipo. Si caes presa de una estafa, instalar un software antivirus en tu dispositivo puede ayudarte a detectar y eliminar el malware resultante. Sólo tienes que asegurarte de que tu software antivirus tiene instalados los últimos parches y está actualizado.

4. Informar sobre phishing

Esto es algo que debe llevarse a cabo después de un ataque de phishing. Si ha sido víctima de un intento de phishing o cree ser el próximo objetivo de una estafa de phishing, debe denunciarlo a la autoridad competente.

A nivel corporativo, puedes denunciarlo al departamento de informática, que puede revisarlo y tomar medidas preventivas. Para los particulares, lo mejor es denunciar el phishing a la FTC (Comisión Federal de Comercio), que puede atrapar a los estafadores e incluso ayudarle a mitigar sus pérdidas.

Conclusión

La solución DMARC automatizada de Skysnag refuerza la protección contra el phishing y la suplantación de identidad al confirmar que un mensaje de correo electrónico procede del dominio del que dice proceder. Skysnag genera informes DMARC para usted que le ayudan a investigar posibles problemas de seguridad y a identificar riesgos potenciales de ataques de phishing. Empiece a utilizar Skysnag y regístrese a través de este enlace

Compruebe el cumplimiento de la seguridad DMARC de su dominio

Aplique DMARC, SPF y DKIM en días, no en meses

Skysnag ayuda a los atareados ingenieros a aplicar DMARC, responde a cualquier error de configuración de SPF o DKIM, lo que aumenta la capacidad de entrega del correo electrónico, y elimina la suplantación de identidades y el spoofing del correo electrónico.