¿Qué es el phishing?

El término phishing normalmente hace referencia a las técnicas de ingeniería social que utilizan los hackers para robar información corporativa o de usuarios a través de email. Los ataques de phishing son más efectivos cuando los usuarios no tienen conocimiento de lo que está ocurriendo.

Phishing

El phishing es un método de ataque que ha estado presente desde mediados de los años 90. Comenzó cuando un grupo de jóvenes diseñaron una función de la sala de chat de AOL para hacerse pasar por los administradores de AOL. Robaban los números de las tarjetas de crédito de los usuarios para asegurarse de tener siempre acceso gratuito a AOL.

Se diseñó la «sala de chat para nuevos miembros» de AOL para que los usuarios pudieran recibir ayuda con el acceso al sitio. Los hackers crearon lo que parecían nombres de pantalla válidos de un administrador de AOL como «CuentadeFacturación» para informar al usuario de que había un problema con su cuenta. 

Se le pedía al usuario que proporcionase un número de tarjeta para que le solucionasen el problema. A continuación, los delincuentes utilizaban los números de las tarjetas para pagar sus propias cuentas. Si bien el término «phishing» se acuñó para describir a este ataque y a otros similares, es ahora cuando se ha asociado principalmente a estafas por email. Las estafas de phishing siguen siendo abundantes hoy en día. Según el Data Breach Investigations Report (DBIR) de 2021 de Verizon, el 36 % de las filtraciones de datos implicaron ataques de phishing.

Debido a que el phishing depende principalmente de la ingeniería social, es de vital importancia que todos los usuarios comprendan cómo trabajan los hackers para aprovecharse de la naturaleza humana. En primer lugar, la ingeniería social es una estafa que utilizan los hackers con el fin de convencer a un usuario para que haga algo que normalmente no haría.

La ingeniería social podría ser tan sencillo como alguien con las manos ocupadas pidiendo que le abran una puerta. De forma similar, un ataque de ingeniería social podría comenzar con alguien dejando caer un dispositivo USB en el parking con una etiqueta señalando que se trata de «fotos familiares». Este dispositivo USB podría contener un malware que se instale en el equipo comprometiendo, de algún modo, su seguridad. Esto se conoce como baiting.

El término phishing se utiliza principalmente para hacer referencia a los ataques por email genéricos. En ellos, el atacante envía emails a tantas direcciones como le sea posible, utilizando servicios comunes como PayPal o Bank of America.

El email dice que la cuenta está comprometida y pide al destinatario que haga clic en un enlace para verificar que la cuenta es correcta. El enlace normalmente hará una de estas dos cosas o ambas:

  1. Puede llevar al usuario a un sitio web malicioso que se parezca al sitio real, por ejemplo, «www.PayPals.com» en contraposición con el «www.PayPal.com» real. Observe la «s» adicional que aparece en la primera dirección URL. Una vez que llega al sitio web malicioso, el hacker puede capturar su ID de usuario y contraseña cuando intente iniciar sesión.

    Ahora el hacker tiene acceso a su cuenta bancaria para poder transferir el dinero al sitio que desee. Además, hay un segundo beneficio posible. Ahora el hacker puede tener una contraseña que funciona en sus otras cuentas, incluidas Amazon o eBay.
  2. Puede infectar su equipo con software malicioso descargado llamado malware. Una vez instalado, el software se puede utilizar para futuros ataques. El malware podría ser un registrador de pulsaciones de teclado que registre los inicios de sesión o los números de la tarjeta de crédito o podría ser un ransomware que cifre contenido del disco y los retenga para pedir un rescate, habitualmente en forma de bitcoins.

    Llegados a este punto, sería muy posible que el hacker utilizase el equipo infectado para extraer bitcoins. Esto se puede hacer cuando el usuario no está utilizando el equipo, o podría bloquearle parte de la capacidad de la CPU siempre que quiera. Ahora el hacker puede extraer bitcoins con éxito y el usuario tiene un equipo con un funcionamiento más lento.

El phishing ha evolucionado a lo largo de los años para incluir ataques dirigidos a otros tipos de datos. Además de dinero, los ataques también pueden estar dirigidos a fotografías o datos sensibles.

Ataques de phishing

Un ataque de phishing es la acción o el conjunto de acciones que realiza el hacker para aprovecharse de usted. Los esquemas de phishing por email con frecuencia son fáciles de identificar debido a los errores gramaticales o de ortografía que puede encontrar en el texto. Sin embargo, los atacantes se están volviendo cada vez más sofisticados técnicamente y los nuevos ataques se centran en aprovechar las emociones como el miedo, la indignación y la curiosidad para embaucarle.

El ataque realizado contra RSA en 2011 estuvo dirigido solo a cuatro personas en la organización. El email en sí no era muy sofisticado, pero tuvo éxito debido a que se eligieron a personas específicas. El email, titulado  «2011 Recruitment plan.xls» (plan de contratación de 2011.xls) estaba diseñado para atraer la atención de estas personas y no atraerían necesariamente la atención de otros en la organización.

Conozca más

Tipos de phishing

Hay muchos tipos diferentes de ataques de phishing. Entre estos se incluyen los clásicos ataques por email, ataques a redes sociales y ataques con nombres compuestos como smishing y vishing.

  • Phishing: normalmente se hace a través del email
  • Spear phishing: email dirigido a personas muy específicas
  • Whaling: un email específicamente dirigido, normalmente a ejecutivos
  • Phishing interno: ataques de phishing que se originan dentro de una organización
  • Vishing: se realiza a través de llamadas de teléfono
  • Smishing: se realiza a través de mensajes de texto
  • Phishing en las redes sociales: en Facebook o en publicaciones de otras redes sociales
  • Pharming: compromete el caché DNS
     

Conozca más

Phishing interno

Los ataques de phishing interno constituyen una preocupación cada vez mayor. Tienen lugar cuando un usuario de confianza envía un email de phishing a otro dentro de la misma organización. Como el usuario de origen es de confianza, es más probable que el receptor haga clic en el enlace, que abra el archivo adjunto o que responda con la información que se le ha pedido. 

Para enviar emails de phishing interno, un atacante controla la cuenta de email del usuario con credenciales comprometidas. Un atacante también puede controlar el dispositivo de un usuario, ya sea físicamente debido a una pérdida o robo, o mediante malware instalado en el mismo. Los emails de phishing interno son parte de un ataque de varias etapas con el objetivo final de la extorsión con ransomware o el robo de activos financieros o intelectuales.

Smishing

El smishing es un ataque que realiza exploits en dispositivos móviles. Dado que actualmente se venden más dispositivos móviles que ordenadores personales, los hackers se han aprovechado de esta plataforma para robar datos personales. Los ataques de smishing tienen lugar cuando los atacantes envían un mensaje de texto al número de teléfono del usuario para informarle de que ha habido un problema con su cuenta e incluyen un número de teléfono al que debe llamar para solucionar el problema. La devolución de llamada generalmente supondrá que el usuario se ponga en contacto personalmente con el hacker o con un «empleado» contratado por el agente de amenazas para continuar con la estafa.

Si no devuelve la llamada de teléfono, es posible que los hackers le llamen informando de que su cuenta ha sido atacada y que necesita compartir la información de la cuenta para solucionar el asunto. A menudo, los hackers confían en la cantidad de llamadas salientes para tener éxito. Esto se denomina vishing.

Obtenga más información sobre el smishing.

Phishing en las redes sociales

Las redes sociales se han convertido en una parte importante de nuestro mundo digital, por lo que los hackers las utilizan fácilmente para realizar estafas de phishing. Un esquema frecuente de phishing en Facebook incluye la publicación de «oportunidades» u «ofertas» en cuentas de «amistades» con instrucciones para hacer clic en ellas. Para llevar a cabo el ataque, los hackers deben obtener acceso a la cuenta del usuario.

Esto puede ser una tarea fácil en muchas cuentas si se ha producido una filtración en otros servidores online de la compañía que hayan resultado en filtraciones de contraseñas. Los hackers intentan combinaciones con el mismo email y contraseña en otras plataformas comunes como Facebook o LinkedIn.

Obtenga más información sobre el phishing en redes sociales.

Pharming

Dado que cada vez más usuarios tienen conocimiento sobre los ataques de phishing, los hackers han creado nuevos métodos de ataque. El pharming compromete el caché del sistema de nombres de dominio (DNS) en el equipo del usuario. Esto se lleva a cabo a través de las descargas no autorizadas. 

Cuando alguien está buscando páginas web, haciendo clic de una a otra, el atacante se aprovecha de la falta de seguridad que muchas veces hay en los sitios web. Es bastante fácil cambiar el texto HTML de un sitio web para que este incluya la descarga de información cuando alguien llega al mismo o hace clic a través de él.

Si hace clic en el email, el atacante simplemente espera a que se conecte a su banco. La información alterada del caché DNS dirigirá al usuario a la versión del hacker del sitio web de su banco. A continuación, introducirá el ID de usuario y contraseña, proporcionándole al hacker las credenciales de acceso a la cuenta bancaria y poder así robar el dinero.

¿Cómo puede evitar el phishing?

Hay algunas acciones muy específicas que puede realizar para protegerse:

  • Habilitar la autenticación en dos fases (2FA) en cualquier cuenta que pueda.
  • Utilizar programas anti-malware.
  • Utilizar firewalls.
  • Sospechar de las ventanas emergentes o subyacentes.
  • Sospechar de los archivos adjuntos de email procedentes de fuentes conocidas o desconocidas.
  • Sospechar de mensajes de texto o mensajes instantáneos de fuentes conocidas o desconocidas que le piden que haga clic en algún destino o que resulte ser una consulta de algún tipo de información personal.
  • No proporcione ninguna información personal.

Además de las recomendaciones anteriores, las organizaciones también deberían hacer lo siguiente:

  • Realizar una filtración para localizar emails de phishing y tráfico web malicioso en el gateway.
  • Autenticar los remitentes de emails utilizando Autenticación de Mensajes Basada en Dominios, Informes y Conformidad (DMARC).
  • Filtrar los emails de phishing según el remitente y el contenido, y analizar las URL y los archivos adjuntos en busca de atributos maliciosos utilizando técnicas estáticas y dinámicas.
  • Emplear técnicas avanzadas de filtración que utilicen Inteligencia artificial (IA) para localizar emails de ataques BEC y ataques de robo de credenciales.
  • Evitar los ataques de phishing interno con una solución de seguridad integrada en el servicio para su nube o su plataforma de email on premise utilizando API. Estas están disponibles para Microsoft 365, Google G Suite, Microsoft Exchange Server y servidor IBM Domino.

Temas sobre el phishing