El phishing es uno de los ataques de ingeniería social más conocidos, en el que un ciberatacante simula ser una fuente confiable de información para convencer a sus víctimas de que revelen su información personal y descarguen malware. Según el instituto nacional de estándares y tecnología (NIST), cada año se incrementan los ataques de phishing, que han tenido un estratosférico aumento del 61 % desde el 2021. Estas estadísticas revelan la prevalencia de los ataques de phishing y la necesidad de protegerse contra estos. Descubra cómo funciona el phishing, cómo evitarlo y cómo protegerse tanto a usted mismo como a su empresa.
¿Qué es el phishing?
El Phishing (se pronuncia como “fishing”) es un tipo de robo de identidad. En estos tipos de ataques de ingeniería social, los hackers intentan robar sus datos personales o los de su empresa, o de inducirle a descargar malware, usando un método engañoso para obtener su confianza, típicamente mediante un correo electrónico.
Diversas tácticas de engaño
El engaño puede ser:
- Suplantar la identidad de una persona u organización que usted conoce, como su banco o uno de sus compañeros de trabajo.
- El uso de enlaces URL le lleva a una página falsa que imita a una página genuina en la que usted confía. La página web simulada se configura para obtener las credenciales del usuario.
- Algunos archivos aparentemente útiles que le habrán invitado a descargar, que contienen un caballo de Troya con un software malintencionado (malware).
Si este último es el caso, el malware oculto puede ser:
- Spyware, diseñado para recopilar sus datos y espiarle.
- Malware diseñado para crear una vulnerabilidad, como crear una puerta trasera en su sistema de TI o convertir su dispositivo en un dispositivo “zombi”.
- Lo más frecuente en la actualidad es que sea ransomware, software malintencionado diseñado para “congelar” el dispositivo de la víctima. Para desbloquearlo, tendrá que pagar un rescate.
Muchos tipos de ataques de phishing
Existen diversos tipos de ataques de phishing, dependiendo de la táctica adoptada por el hacker para contactar a su víctima:
- Phishing clásico: Los “phishermen” (literalmente, “pescadores”) envían correos electrónicos masivos de manera aleatoria. Estos mensajes son todos idénticos, y contienen un enlace que apunta a una página web falsificada para inducir al lector a que ingrese sus credenciales. O invitan al destinatario a que descargue un archivo adjunto infectado con malware.
- Spear phishing: Un ataque de phishing orientado a organizaciones e individuos específicos en vez de enviar correos electrónicos.
- Smishing: Un ataque de Phishing que, en vez de correos electrónicos, usa mensajes de SMS. El nombre es una combinación de las palabras “SMS” y “phishing”.
- Vishing: Este tipo de ataques incluyen a la voz del perpetrador (mediante una llamada telefónica) para engañarle y lograr que realice una cierta acción.
- Whaling: Un ataque enfocado a las “ballenas” (o “peces gordos”) como ejecutivos o directivos de una organización. Típicamente se les induce a ejecutar una acción, como la transferencia de una gran cantidad de dinero, lo que proporciona unas gigantescas recompensas para el atacante.
¿Cómo reconocer un mensaje de phishing?
Además de asegurarse de haber instalado software de seguridad, la mejor manera de combatir las estafas de phishing es estar informado de cómo lucen.
Los errores ortográficos y la mala redacción en un correo electrónico solían ser indicadores claros de un ataque de phishing. Pero hoy en día, los ataques de phishing se han vuelto cada vez más sofisticados, y los correos electrónicos de phishing están muy bien escritos.
Por tanto, tendrá que enfocarse en otros indicadores para identificar un intento de engañarle:
- Enlaces en un correo electrónico. Adquiera el hábito de mantener el cursor sobre cualquier hipervínculo que le envíen en un correo electrónico o SMS para comprobar que coincidan con la página web a la que se espera que conduzcan según el mensaje. Verifique las discrepancias entre las URL (o entre nombres de dominio engañosos). Estos también podrían llevarle a archivos .exe. con malware.
- Sea especialmente cuidadoso con cualquier página web de “ofertas” o “outlet” que aparentemente esté vinculada con un portal de ventas minoristas. Podría ser una página web falsa pero muy parecida, creada exprofeso para robar sus credenciales de identidad o dinero.
- Amenazas: ¿Alguna vez le han amenazado con cerrarle su cuenta si no responde a un mensaje de correo electrónico? Los criminales informáticos con frecuencia usan las amenazas. Le enviarán una alerta falsa en la que indican que su seguridad está en riesgo, que un servicio está a punto de cancelarse debido a su inacción, o que su cuenta bancaria está en descubierto.
- Mensajes que suplantan a páginas web o empresas populares. En caso de que reciba un mensaje de una organización confiable, un compañero de trabajo o un amigo que le pida algo, preste atención a:
- Cualquier solicitud de información personal.
- Cualquier oferta que luzca demasiado buena para ser cierta, o dinero que deba recibir o enviar.
- Cualquier acción que usted no haya iniciado.
Cualquier cosa que no luzca perfectamente correcta debe levantar sus sospechas. Incluso los correos electrónicos provenientes (aparentemente) de ciertas organizaciones, como organizaciones de caridad o instituciones gubernamentales, pueden ser peligrosas. Los atacantes suelen aprovecharse de ciertos eventos actuales y épocas del año, tales como:
- Desastres naturales (terremotos, huracanes, etc.).
- Epidemias y temas médicos (como el Covid-19).
- Problemas económicos (como la inflación).
- Elecciones o eventos internacionales (como la guerra en Ucrania).
- Ofertas de comercio minorista.
- Días festivos.
- …
Cómo protegerse a usted mismo y a su empresa contra el phishing
- Tenga cuidado con correos electrónicos que le soliciten información confidencial, especialmente información financiera. Las organizaciones legítimas nunca le pedirán tal información por correo electrónico, teléfono ni de ninguna otra manera. En vez de eso, preste siempre atención a la dirección de correo electrónico del remitente. Podría imitar a un negocio legítimo, con tan solo algunos caracteres cambiados u omitidos.
- Nunca abra un archivo adjunto sospechoso, puesto que es un mecanismo muy común para implantar malware. Los “phishers” (como se les llama a los perpetradores de estos ataques) gustan de usar tácticas de intimidación, y pueden amenazar con desactivar una cuenta o causar retrasos en servicios hasta que usted actualice cierta información. Asegúrese de contactar directamente al proveedor o de confirmar la autenticidad de su solicitud.
- Tenga cuidado por solicitudes de información de apariencia genérica. Los correos electrónicos fraudulentos no suelen estar personalizados, mientras que los correos electrónicos auténticos de su banco suelen hacer referencia al número de la cuenta que usted tiene con ellos. Muchos correos electrónicos de phishing comienzan con un “Estimado/a” u otro tipo de saludo genérico, y algunos incluso provienen de bancos en los que usted no tiene cuenta.
- No permita que le presionen para que usted revele información delicada, y nunca la envíe mediante formularios integrados en mensajes de correo electrónico. Esta es una práctica sumamente común, y que seguramente le llega a sus carpetas de correo no deseado a diario.
- Nunca use enlaces en un correo electrónico para conectarse con una página web, puesto que podrían ser hipervínculos suplantados. Cualquier enlace que no coincida con el texto que aparece al mantener el cursor sobre ellos debería hacer saltar las alarmas. Esto también incluye el uso de servicios de acortamiento de URL. En vez de eso, abra una nueva ventana en su navegador y escriba la URL directamente en la barra de direcciones (o vea a dónde lleva el enlace corto, como en los enlaces de abajo). Con frecuencia, una página web de phishing se verá idéntica a la original, por ejemplo: https://wwwpaypal.com/ es diferente de https://www.paypal.com/. De manera similar, https://www.paypaI.com/ (con una “i” mayúscula en vez de una “L” minúscula) es diferente de https://www.paypal.com/ – dele un vistazo a la barra de direcciones para asegurarse de este sea el caso (y que la conexión sea segura, como https://).
Más consejos para protegerse.
- Asegúrese de mantener un entorno adecuado para combatir el phishing. Use antivirus y navegadores confiables. Mantenga actualizado todo su software. Haga uso de servicios cifrados como Mailfence para comunicarse y salvaguardar su privacidad.
- Use gestores de contraseñas que autorrellenen las contraseñas para hacer seguimiento de a qué páginas pertenecen las contraseñas. Si el gestor de contraseñas se niega a autorrellenar una contraseña, no siga el enlace de inmediato y revise en qué página se encuentra. Consulte este artículo acerca de cómo evitar malos hábitos de contraseñas.
- Sospeche siempre. Los correos electrónicos de phishing tratarán de asustarle con advertencias falsas, para después ofrecerle una solución rápida del tipo “¡Haga clic aquí!”(o “¡Se ha ganado un premio, Haga clic aquí para obtenerlo!”) En caso de duda, no haga clic. En lugar de eso, abra su navegador, vaya a la página de la empresa, y después inicie sesión como lo hace normalmente, para ver si hay alguna señal de actividad fuera de lo común. Si está preocupado, cambie su contraseña.
- Use la autenticación de dos factores (2FA) siempre que el servicio lo ofrezca.
- Es posible hacer una prueba preliminar a un enlace antes de abrirlo, para saber a dónde lleva: Where Goes, Redirect Detective, Internet Officer Redirect Check, Redirect Check, URL2PNG, Browser Shots, Shrink The Web, Browserling.
- Y por último, pero no por ello menos importante: aprender cuáles son las nuevas tendencias en el phishing. Puede comenzar por darle un vistazo a nuestro curso de concienciación acerca de la seguridad y la privacidad del correo electrónico. Es sencillo y accesible para todos, pero a la vez es informativo.
¿Qué hacer si resulta víctima de un ataque de phishing?
Si ha sido objeto de un ataque de phishing, dele un vistazo a nuestro artículo acerca de los correos electrónicos hackeados.
Además, también puede informar de atentados de phishing en:
- Google – informar acerca de phishing o de “badware”
- US-Cert.gov – informar acerca de phishing
- Consumer.ftc.gov – informar acerca de phishing
Cómo evoluciona el phishing: tendencias de phishing de 2023
Hoy en día, los “phishermen” suelen trabajar para grandes organizaciones criminales con gran cantidad de recursos para mejorar sus técnicas y multiplicar la cantidad de intentos que pueden hacer. Como resultado, los ataques se están volviendo más sofisticados y difíciles de detectar.
Estas son las tendencias de phishing que emergen en 2023:
1/ Es más frecuente que los cibercriminales usen dispositivos móviles y canales de comunicación personal (cuentas de redes sociales…) para contactar a sus víctimas. Y es verdad: los SMS se han convertido en una manera muy popular de ponerse en contacto con víctimas potenciales. (vea nuestro artículo dedicado al Smishing)
2/ La suplantación de identidad de marcas se está volviendo más sofisticada y difícil de detectar.
3/ Las campañas de spear phishing precisan de mucha preparación. Por esta razón, los hackers solían enfocarse principalmente en grandes organizaciones, donde las recompensas potenciales serían mayores (esto se conoce como “caza mayor”). Pero hoy en día, debido a la optimización de las técnicas de phishing, también se ataca a empresas más pequeñas.
4/ Los hackers atacan el acceso en la nube.
5/ A veces, los piratas informáticos están dispuestos a pagar para obtener credenciales de usuario.
6/ Incluso los “phishermen” aspirantes pueden usar estas técnicas sofisticadas, gracias al RaaS (Ransomware como servicio). El RaaS les brinda herramientas con todos los servicios y código informático necesarios para lanzar un ataque de ransomware, por un precio dado. Estas herramientas incluyen las plantillas de correos electrónicos de phishing que se suelen usar para iniciar un ataque de ransomware.
7/ Una nueva gama de cibercriminales, conocidos como “Initial Access Brokers” o IAB (en español: corredores de acceso inicial) se están enfocando en obtener credenciales de inicio de sesión o correo electrónico. Tratan de robarlas entrando al sistema de información de las organizaciones. Pueden vendérselas a otros cibercriminales cuando logran obtenerlos. Estos pueden lanzar campañas de phishing muy peligrosas con estas credenciales, porque son legítimas.
Conclusión
Los cibercriminales, con frecuencia apoyados por gobiernos o poderosas mafias, se mueven con mucha agilidad y su creatividad es ilimitada. Constantemente están hallando nuevas tácticas y nuevas vulnerabilidades que explotar.
Por otra parte, nosotros (los usuarios) tendemos a multiplicar la cantidad de dispositivos conectados… cosa que abre nuevas puertas a posibles ataques. Por lo tanto, es importante mantenerse al día con la ciberseguridad.
Y lo más importante de todo: use el sentido común. No es posible que haya ganado un concurso en el cual no se inscribió. Su banco no le contactará mediante una dirección de E-mail que usted nunca registró. Conozca las señales de alerta, piense antes de hacer clic, y nunca jamás revele su contraseña o información financiera a menos que haya iniciado sesión en su cuenta.
Por cierto, contar con un paquete de correo electrónico cifrado como Mailfence es crucial para proteger sus comunicaciones y ayudarle a evitar toda clase de estafas.
De hecho, Mailfence está diseñado para protegerle de ciberamenazas y vulneraciones a la privacidad, incluyendo el phishing. Además de su correo electrónico cifrado de extremo a extremo, incluye firmas digitales y 2FA. Ah, y no solo es una solución de correo electrónico, sino un paquete colaborativo de software de productividad.
¿Y si lo prueba hoy mismo? Suscríbase ahora a una cuenta gratis y comience su viaje hacia unas comunicaciones más seguras.