El término phishing normalmente hace referencia a las técnicas de ingeniería social que utilizan los hackers para robar información corporativa o de usuarios a través de email. Los ataques de phishing son más efectivos cuando los usuarios no tienen conocimiento de lo que está ocurriendo.
El phishing es un método de ataque que ha estado presente desde mediados de los años 90. Comenzó cuando un grupo de jóvenes diseñaron una función de la sala de chat de AOL para hacerse pasar por los administradores de AOL. Robaban los números de las tarjetas de crédito de los usuarios para asegurarse de tener siempre acceso gratuito a AOL.
Se diseñó la «sala de chat para nuevos miembros» de AOL para que los usuarios pudieran recibir ayuda con el acceso al sitio. Los hackers crearon lo que parecían nombres de pantalla válidos de un administrador de AOL como «CuentadeFacturación» para informar al usuario de que había un problema con su cuenta.
Se le pedía al usuario que proporcionase un número de tarjeta para que le solucionasen el problema. A continuación, los delincuentes utilizaban los números de las tarjetas para pagar sus propias cuentas. Si bien el término «phishing» se acuñó para describir a este ataque y a otros similares, es ahora cuando se ha asociado principalmente a estafas por email. Las estafas de phishing siguen siendo abundantes hoy en día. Según el Data Breach Investigations Report (DBIR) de 2021 de Verizon, el 36 % de las filtraciones de datos implicaron ataques de phishing.
Debido a que el phishing depende principalmente de la ingeniería social, es de vital importancia que todos los usuarios comprendan cómo trabajan los hackers para aprovecharse de la naturaleza humana. En primer lugar, la ingeniería social es una estafa que utilizan los hackers con el fin de convencer a un usuario para que haga algo que normalmente no haría.
La ingeniería social podría ser tan sencillo como alguien con las manos ocupadas pidiendo que le abran una puerta. De forma similar, un ataque de ingeniería social podría comenzar con alguien dejando caer un dispositivo USB en el parking con una etiqueta señalando que se trata de «fotos familiares». Este dispositivo USB podría contener un malware que se instale en el equipo comprometiendo, de algún modo, su seguridad. Esto se conoce como baiting.
El término phishing se utiliza principalmente para hacer referencia a los ataques por email genéricos. En ellos, el atacante envía emails a tantas direcciones como le sea posible, utilizando servicios comunes como PayPal o Bank of America.
El email dice que la cuenta está comprometida y pide al destinatario que haga clic en un enlace para verificar que la cuenta es correcta. El enlace normalmente hará una de estas dos cosas o ambas:
El phishing ha evolucionado a lo largo de los años para incluir ataques dirigidos a otros tipos de datos. Además de dinero, los ataques también pueden estar dirigidos a fotografías o datos sensibles.
Un ataque de phishing es la acción o el conjunto de acciones que realiza el hacker para aprovecharse de usted. Los esquemas de phishing por email con frecuencia son fáciles de identificar debido a los errores gramaticales o de ortografía que puede encontrar en el texto. Sin embargo, los atacantes se están volviendo cada vez más sofisticados técnicamente y los nuevos ataques se centran en aprovechar las emociones como el miedo, la indignación y la curiosidad para embaucarle.
El ataque realizado contra RSA en 2011 estuvo dirigido solo a cuatro personas en la organización. El email en sí no era muy sofisticado, pero tuvo éxito debido a que se eligieron a personas específicas. El email, titulado «2011 Recruitment plan.xls» (plan de contratación de 2011.xls) estaba diseñado para atraer la atención de estas personas y no atraerían necesariamente la atención de otros en la organización.
Hay muchos tipos diferentes de ataques de phishing. Entre estos se incluyen los clásicos ataques por email, ataques a redes sociales y ataques con nombres compuestos como smishing y vishing.
Los ataques de phishing interno constituyen una preocupación cada vez mayor. Tienen lugar cuando un usuario de confianza envía un email de phishing a otro dentro de la misma organización. Como el usuario de origen es de confianza, es más probable que el receptor haga clic en el enlace, que abra el archivo adjunto o que responda con la información que se le ha pedido.
Para enviar emails de phishing interno, un atacante controla la cuenta de email del usuario con credenciales comprometidas. Un atacante también puede controlar el dispositivo de un usuario, ya sea físicamente debido a una pérdida o robo, o mediante malware instalado en el mismo. Los emails de phishing interno son parte de un ataque de varias etapas con el objetivo final de la extorsión con ransomware o el robo de activos financieros o intelectuales.
El smishing es un ataque que realiza exploits en dispositivos móviles. Dado que actualmente se venden más dispositivos móviles que ordenadores personales, los hackers se han aprovechado de esta plataforma para robar datos personales. Los ataques de smishing tienen lugar cuando los atacantes envían un mensaje de texto al número de teléfono del usuario para informarle de que ha habido un problema con su cuenta e incluyen un número de teléfono al que debe llamar para solucionar el problema. La devolución de llamada generalmente supondrá que el usuario se ponga en contacto personalmente con el hacker o con un «empleado» contratado por el agente de amenazas para continuar con la estafa.
Si no devuelve la llamada de teléfono, es posible que los hackers le llamen informando de que su cuenta ha sido atacada y que necesita compartir la información de la cuenta para solucionar el asunto. A menudo, los hackers confían en la cantidad de llamadas salientes para tener éxito. Esto se denomina vishing.
Obtenga más información sobre el smishing.
Las redes sociales se han convertido en una parte importante de nuestro mundo digital, por lo que los hackers las utilizan fácilmente para realizar estafas de phishing. Un esquema frecuente de phishing en Facebook incluye la publicación de «oportunidades» u «ofertas» en cuentas de «amistades» con instrucciones para hacer clic en ellas. Para llevar a cabo el ataque, los hackers deben obtener acceso a la cuenta del usuario.
Esto puede ser una tarea fácil en muchas cuentas si se ha producido una filtración en otros servidores online de la compañía que hayan resultado en filtraciones de contraseñas. Los hackers intentan combinaciones con el mismo email y contraseña en otras plataformas comunes como Facebook o LinkedIn.
Obtenga más información sobre el phishing en redes sociales.
Dado que cada vez más usuarios tienen conocimiento sobre los ataques de phishing, los hackers han creado nuevos métodos de ataque. El pharming compromete el caché del sistema de nombres de dominio (DNS) en el equipo del usuario. Esto se lleva a cabo a través de las descargas no autorizadas.
Cuando alguien está buscando páginas web, haciendo clic de una a otra, el atacante se aprovecha de la falta de seguridad que muchas veces hay en los sitios web. Es bastante fácil cambiar el texto HTML de un sitio web para que este incluya la descarga de información cuando alguien llega al mismo o hace clic a través de él.
Si hace clic en el email, el atacante simplemente espera a que se conecte a su banco. La información alterada del caché DNS dirigirá al usuario a la versión del hacker del sitio web de su banco. A continuación, introducirá el ID de usuario y contraseña, proporcionándole al hacker las credenciales de acceso a la cuenta bancaria y poder así robar el dinero.
Hay algunas acciones muy específicas que puede realizar para protegerse:
Además de las recomendaciones anteriores, las organizaciones también deberían hacer lo siguiente:
Artículos relacionados
Investigaciones relacionadas