Ciberataques

Si no sabes qué es phishing, estás en problemas

¿Qué es phishing? Si piensas que es sólo spam, estás equivocado. Asegúrate de saber todo acerca de esta modalidad de fraude y evita ser una víctima más.

Por
Norman
Gutiérrez
30/11/2022

Todos los días vemos en noticieros y periódicos víctimas de varias modalidades de ciberamenazas. Entre esas posiblemente la más mencionada es el phishing, ya que en años recientes se ha posicionado en latinoamérica como una de las clases de fraude más comunes

¿Qué es phishing?

Phishing es el proceso en el que alguien te engaña para que entregues información importante, o descargues un virus a través de falsas pretensiones y trampas sociales. Esto puede ocurrir vía  email, SMS, llamadas y websites maliciosas que tienen, por ejemplo, páginas de ingreso (login) falsas.

Phishing Google Page
Imagen 1

Compara las imágenes de arriba. ¿Puedes diferenciar el inicio de sesión de Google de su versión falsa? Es realmente  difícil. La mayor diferencia es que el de la derecha te llevará a tu correo, y el de la izquierda robará tu contraseña y correo. Este es un ejemplo del 2018, y al día de hoy los hackers se han vuelto  mucho más sofisticados a la hora de replicar páginas.

Veamos otro ejemplo.  Acabas de recibir un temido correo de parte de Recursos Humanos, ¡tu bono será reducido! Excepto, que eso es falso. ¿Sabías que un cibercriminal  puede ‘replicar’ correos fácilmente? Esta técnica se conoce como spoofing. Al español podríamos traducirlo como suplantación. Esta técnica combina phishing y una investigación rápida en LinkedIn para saber el nombre de alguien en el departamento de RRHH de tu empresa y ¡bam! Están listos para engañarte.

Imagen 2

Una vez más, eso es phishing. Es lo que solíamos conocer como spam anteriormente. ¿Recuerdas la estafa del príncipe de Nigeria? algo así, excepto que ahora es más sofisticado y puede saltarse el filtro de correo no deseado de tu proveedor de correo electrónico. Usualmente, suelen estar acompañados por líneas de asunto que dicen cosas cómo:

  • Actualiza el pago de tu cuenta de Netflix
  • Descubrimos un pago fraudulento en tu cuenta
  • ¡Estamos llamando porque tu tarjeta se canceló!
  • Haz clic aquí para conectarte a Facebook y recuperar tu cuenta

Tipos de phishing

A día de hoy existen varias clases de phishing y muchos medios para llevarlo a cabo. A continuación vamos a ver cómo funciona el phishing y los tipos de phishing más comunes:

  • Phishing de correo: Es la forma más habitual de phishing. Usualmente comienza cuando el atacante se hace pasar por algún proveedor de correo electrónico y utiliza links falsos que llevan al destinatario a sitios web maliciosos, descarga de virus o formularios que incitan al lector a compartir su información y datos personales. 
  • Phishing Spray and Pray: Es el más antiguo tipo de phishing. Se envía un conjunto de emails con asunto “urgente”, en los que la víctima es incitada a actualizar su contraseña en alguna plataforma de manejo de dinero como PayPal o un banco. Otra modalidad es informarle a la víctima que se ganó un premio monetario como un sorteo o lotería, y sus datos financieros son solicitados con el fin de reclamarlo. Una vez los datos personales y financieros son introducidos, se almacenan en un servidor remoto con pleno acceso por parte de los cibercriminales.
  • Spear Phishing: Este tipo de phishing se utiliza para atacar a empresas y organizaciones principalmente, por este motivo los emails usados son sustancialmente diferentes de los emails fraudulentos. El spear phishing puede incluir archivos adjuntos falsos, usualmente conteniendo software malicioso, con el fin de ser descargados en el dispositivo corporativo y poder espiar su información. 
  • Smishing: Con esta modalidad, los cibercriminales engañan a sus víctimas por medio de SMS o mensajes de texto, haciéndose pasar por organizaciones conocidas, con el fin de conseguir que los usuarios accedan a websites malintencionados desde sus dispositivos móviles. 
  • Vishing o phishing por voz: Los atacantes usan llamadas telefónicas o mensajes de voz indicando a la víctima que deben llamar a un número telefónico o les solicitan información personal y financiera. Usualmente se hacen pasar por diferentes entidades o usan software para modificar sus voces y así evitar dejar rastros.
  • Whaling: Como su nombre en inglés lo indica, esta modalidad busca la caza de ballenas o peces gordos. Son emails dirigidos a ejecutivos o personas específicas con un alto valor para un negocio o entidad. 
  • Fraude del CEO: Es una forma sofisticada de phishing. Consiste en hacerse pasar por el CEO o un alto ejecutivo de una empresa con el fin de generar una relación de confianza con un empleado de la misma, buscando como objetivo final el envío de pagos o información confidencial. Estos ataques son comunes después de haber sido víctimas de Whaling, ya que el cibercriminal ya tiene las credenciales de las cuentas de dicho alto ejecutivo. 
  • Phishing de Criptomoneda:  Posiblemente es la modalidad creada de manera más reciente. Consiste en la creación de una página falsa para registro de criptomonedas (spoofing). Una vez la víctima ingresa sus datos e información financiera, los criminales tendrán acceso a sus cuentas digitales y de este modo podrán retirar dinero de ellas. 

Diferencia entre phishing y spear phishing

Los dos tipos de phishing más usados son phishing común, y el spear-phishing. La mayor diferencia entre phishing y spear phishing recae en cuánta  información tiene el atacante sobre ti, cómo te intentarán convencer, y sus objetivos.

Ataques de phishing común

Estos ataques suelen ocurrir a grandes escalas ya que el  atacante tiene acceso a una base de datos de contactos grande, por lo que espera convencer a un porcentaje pequeño de que hagan algo malicioso. Por ejemplo, las grandes campañas de phishing por Coronavirus que han estado dando vuelta desde que la pandemia comenzó. El phishing suele:

  • Tomar ventaja de contextos generalizados (Coronavirus, vencimientos de créditos)
  • Enviar mensajes a cientos y miles de destinatarios, sin conocerlos.
  • Incluir una carnada maliciosa. Un enlace infectado, un archivo infectado, o una pedida de información.

Los ataques más frecuentes llegan por correo y SMS, que se obtienen  de una base de datos robada, o en algunos casos, directamente de tu empresa. Todo lo que necesitan es un contacto y una premisa. Los ataques de este tipo a negocios son muy comunes, ya que en una encuesta realizada por CyberArk a alrededor de 1300 profesionales de TI se descubrió que 56% de las organizaciones participantes identificaron al phishing como su mayor riesgo de seguridad informática.Ataques de spear phishing

Ya que definimos qué es el spear phishing en la sección relacionada a tipos de phishing, vamos a profundizar en qué consisten este tipo de ataques. En contraste al Phishing común, el Spear-phishing suele tomar los contextos originales y agregar ingeniería social. En pocas palabras, el atacante investiga tu vida, trabajo e historia para crear una mejor narrativa y simular ser alguien que te empuje a hacer lo que él/ella quiere.

El Spear-phishing es un ataque dirigido, planificado y con objetivos claros. Usualmente atacan empresas , ya que las están tratando de infiltrar a través de empleados de bajo nivel. 

¿Por qué atacan empleados? Porque si logran infectar a alguien dentro de la empresa, a su computador, o logran robar credenciales  / tokens de validación, el atacante podrá infiltrar la red de la organización y causar el daño que quiera. Es un ataque de tipo trampolín, por así decirlo.

Imagen 3

El correo de arriba es un gran ejemplo. Es una campaña de phishing dirigida a oficiales del Gobierno de Ucrania. El correo incluía un archivo malicioso que ejecutaba un script en PowerShell para descargar un malware capaz de espiar al equipo infectado. Para lograr esto, utilizaron:

  • Una historia sólida con información y contextos reales.
  • Un correo real, spoofeado, para parecer confiable.
  • Una petición de información importante que invita a cooperar.

Cómo identificar y evitar el phishing

La pieza clave de cualquier estafa de Phishing es el gancho. Esto es cómo el atacante intentará convencerte o captar tu atención, para que sigas sus instrucciones. Estos son algunos de los más utilizados, según la FTC del gobierno de los Estados Unidos:

  • Detectamos actividad maliciosa en tu cuenta/banco.
  • Te hemos cobrado, aquí está el resumen de cuenta (archivo malicioso)
  • Debes dinero a la agencia gubernamental de impuestos.
  • Aquí tienes un descuento para tu cuenta de Netflix.

La segunda parte de una estafa de phishing es la acción maliciosa que el hacker quiere que cometas, disfrazada de una tarea de rutina. Te tratarán de guiar a la acción con el gancho de su historia, para, por ejemplo:

  • Conectarte a tu cuenta de Facebook vía un link malicioso.
  • Depositar dinero en una cuenta para liberarte de impuestos falsos.
  • Confirmar tu número de tarjeta de crédito vía llamada para robarla.
  • Compartir tu identificación, o cuenta de banco para robarla.
  • Ver un documento adjunto para infectar tu computador.

La tercera parte... Bueno, no existe. Por esto la mayoría de los hackers tienen estafas de phishing en masa. Es rápido, fácil de distribuir y lucrativo. Requiere poca habilidad, pero muchos logran implementar métodos bien sofisticados, como inyectarle logins falsos de Facebook a páginas reales.  

Cómo identificar y evitar el spear phishing

El Spear-phishing no es fácil de identificar. Después de todo, el hacker puede spoofear/imitar un correo, y si hizo su tarea puede imitar a una persona que conoces. Estos ataques son más producidos y no suelen utilizar mensajes generalizados.

Por esto mismo, hay que revisar los detalles. ¿Es el formato del correo el habitual para tu compañero? ¿Tiene la firma correcta? Si tiene un link, ¿es de un dominio familiar? ¿Están pidiendo por información sensible de la empresa, o de otro empleado? En general, hay que ser un poco paranoico y hacer cosas cómo:

  • Enviar un mensaje o llamar a la persona que supuestamente te contactó.
  • Si dudas, pregunta a un supervisor si puedes compartir esa información por correo.
  • Escanea cualquier archivo con un antivirus antes de abrirlo.
  • Revisa tus redes sociales. Los atacantes suelen utilizar información que publicas para parecer amigables.

Conclusiones

Muchos software y antivirus ofrecen algún tipo de protección de correo o anti-phishing. Sin embargo, no son cien por ciento efectivas ya que la naturaleza de estos ataques cambia constantemente.

Además, estos ataques no solo ocurren en masa, también son dirigidos y allí es más difícil identificarlos. El spear phishing no depende del malware siempre y los correos inocentes de un compañero de trabajo que pide una base de datos para trabajar pueden pasar desapercibidos. 

Aprender más sobre cómo prevenir el phishing y sus métodos de ataques es necesario para prevenirlos. De acuerdo al reporte “El Estado del Phishing” de Wombat Security, un 85% de las organizaciones han sufrido algún tipo de ataque de phishing, por lo que es imperativo promover políticas y capacitaciones en las empresas para reducir las probabilidades de sufrir este ataque.

Si recibes una llamada de tu banco con problemas, revisa el número y duda. Si alguien te ofrece algo gratis, duda. Si algo es demasiado bueno -o malo- para ser cierto, duda. Ser precavido no duele, así que revisa ese enlace, escanea ese archivo y no des contraseñas a través de tu teléfono. Como todos los bancos dicen, ninguna organización te pedirá tus credenciales por teléfono o correo.

Sobre el autor
Norman
Gutiérrez

Norman Gutiérrez es Investigador en Ciberseguridad en Prey, compañía con 10 años de experiencia solucionando problemas asociados a la movilidad en todo el mundo. Además, Norman tiene una larga trayectoria como periodista de tecnología y tendencias digitales, con publicaciones en medios como FayerWayer y Publimetro Latinoamérica, entre otros. Entre sus pasiones, se cuentan los videojuegos, los juegos de mesa y la música.

Protégelos con la seguridad reactiva de Prey.
Prueba Prey ahora
¿Buscas mejorar tus sistemas de seguridad? Podemos mostrarte cómo en pocos minutos.
Ver cómo

Sobre el mismo tema

Estadísticas de Phishing: El panorama en latinoamérica 2022

Te compartimos el panorama de los ataques de phishing en latinoamérica, basado en en un análisis de datos del mundo de la ciberseguridad.

20/10/2022
Leer más
¿Qué es el Ransomware y por qué es una ciberamenaza?

Aprende qué es el ransomware y cómo funciona, para que puedas prevenir cualquier ataque que amenace la ciberseguridad de tu empresa.

14/10/2022
Leer más
Detección y Prevención de Amenazas Informáticas

La detección de amenazas es tan importante como cualquier otro protocolo de seguridad. Aprende algunos tips esenciales para mantener tu empresa a salvo.

8/9/2022
Leer más
Tres Años De La Brecha A Equifax: ¿Qué Aprendimos Sobre Nuestros Datos?

La peor brecha de datos de la última mitad de la década tuvo consecuencias desastrosas. ¿Que aprendimos sobre la privacidad de datos y la seguridad?

11/7/2020
Leer más
// warning: you're editing the spanish website. don't forget add the lang:'es' in the submit form function