¿Qué es el Phishing?

El phishing típicamente describe las técnicas de ingeniería social que usan los hackers para robar información personal o corporativa a través del correo electrónico. Los ataques de phishing son más efectivos cuando los usuarios no se dan cuenta de lo que está sucediendo.

Phishing

El phishing es un método de ataque que ha existido desde los 1990s. Comenzó cuando un grupo de jóvenes lograron hacerse pasar por administradores de AOL en una sala de chat. Robaron números de tarjetas de crédito de otros usuarios para asegurarse de siempre tener acceso gratuito a AOL.

La “sala de chat para nuevos miembros de AOL” fue diseñado para que los usuarios recibieran soporte con el sitio. Los hackers crearon lo que parecían ser usuarios válidos de administradores de AOL con nombres como “BillingAccounting”, e informaban a los usuarios que había un problema con su cuenta. 

Se le pedía al usuario dar el número de una tarjeta de crédito para que se puedieran resolver los problemas. Los criminales entonces usaban los números de la tarjeta para pagar sus propias cuentas. Aunque se acuñó el término “phishing” para describir este ataque y otros similares, ahora se le ha asociado principalmente con estafas por email. Las estafas de phishing continúan siendo abundantes hoy en día. De acuerdo con el Verizon 2021 Data Breach Investigations Report (DBIR), el 36% de las brechas involucraron phishing.

Ya que el phishing depende principalmente de la ingeniería social, es crítico que todos los usuarios comprendan cómo es que los hackers se aprovechan de la naturaleza humana. Primero, la ingeniería social es una estafa que usan los hackers para convencer a los usuarios de hacer algo que normalmente no harían.

La ingeniería social podría ser tan sencilla como alguien con las manos llenas pidiendo que se le abra una puerta. De forma similar, un ataque de ingeniería social puede comenzar con alguien dejando memorias USB etiquetadas con “fotos familiares” en un estacionamiento. Estas memorias podrían contener un malware que se instala en una computadora, comprometiendo su seguridad. Esto es conocido como “baiting”.

El phishing se usa principalmente en referencia a los ataques genéricos de correo. Esto es cuando un atacante manda correos a la mayor cantidad de emails posible, usando servicios comunes como PayPal.

El correo declara que la cuenta ha sido comprometida y pide que el usuario haga click en un link para verificar que la cuenta es legítima. El link usualmente hará una de las siguientes cosas, o ambas:

  1. Puede llevarlo hacia un sitio web malicioso que se ve similar al sitio auténtico, por ejemplo, “www.PayPals.com” versus “www.PayPal.com.” Note la “s” extra en la primer URL. Una vez que ingresa al sitio malicioso, el hacker puede capturar su usuario y contraseña cuando intente iniciar sesión.

    El hacker ahora tiene acceso a su cuenta bancaria y puede transferir dinero a donde sea. Hay un segundo posible beneficio. El hacker ahora podría tener una contraseña que puede usarse para sus demás cuentas, incluyendo Amazon o eBay.
  2. Puede infectar su computadora descargando software malicioso llamado malware. Una vez instalado, el software puede usarse para ataques futuros. El malware podría ser un keystroke logger que capture inicios de sesión o números de tarjetas de crédito, o podría ser ransomware que encripte los contenidos del disco y los retenga por un rescate, usualmente pagable por medio de Bitcoin.

    Es posible que en este punto el hacker use la computadora infectada para minar Bitcoin. Esto puede hacerse cuando usted no esté en la computadora, o el malware podría bloquear una parte de la capacidad del CPU en todo momento. El hacker ahora puede minar exitosamente y su computadora funciona más lento.

El phishing ha evolucionado a lo largo de los años para incluir ataques que abordan diferentes tipos de datos. Además del dinero, los ataques también pueden buscar datos o fotos sensibles.

Ataques de phishing

Un ataque de phishing es la acción o conjunto de acciones que toma el hacker para explotarlo. Las estafas de phishing por correo a menudo son fáciles de detectar debido a errores ortográficos o de gramática en los correos. Los atacantes, sin embargo, se están volviendo cada vez más sofisticados y los nuevos ataques se enfocan en explotar las emociones humanas, incluyendo el miedo y la curiosidad, para involucrarlo.

El ataque contra RSA en el 2011 fue dirigido hacia solamente cuatro personas dentro de la organización. El correo no era muy sofisticado, pero fue exitoso porque estaba hecho para las personas correctas. El correo, titulado  “Plan de Recultamiento 2011.xls”, estaba diseñado para despertar el interés de aquellos individuos específicos, tal vez no siendo del interés de otros en la organización.

Tipos de phishing

Existen muchos tipos de ataques de phishing. Estos incluyen el ataque clásico por correo, ataques por redes sociales y nuevas variantes como smishing y vishing.

  • Phishing – usualmente ocurre por email
  • Spearphishing – emails dirigido
  • Whaling – email altamente dirigido, usualmente a ejecutivos
  • Phishing interno – ataques de phishing que se originan dentro de una organizacion
  • Vishing – realizado por llamadas telefónicas
  • Smishing – realizado por mensajes de texto
  • Phishing por redes sociales – publicaciones en Facebook u otras redes sociales
  • Pharming – compromiso de un caché DNS
     

Phishing interno

Los ataques de phishing internos se están volviendo una preocupación. Ocurren cuando un usuario de confianza manda un email de phishing a otra persona en la misma organización. Ya que el usuario de origen es confiable, es más probable que los destinatarios hagan click en un link, abran un archivo adjunto o respondan con la información solicitada. 

Para mandar mails internos de phishing, un atacante controla su cuenta de correo con credenciales comprometidas. Un atacante también puede tener el control de su dispositivo, ya sea de forma física, a través de la pérdida o el robo del dispositivo, o a través de malware instalado en el dispositivo. Los emails internos de phishing son parte de un ataque de múltiples etapas con la meta final de extorsionar con ransomware, por ejemplo, o el robo de datos o activos financieros o intelectuales

Smishing

El smishing es un ataque que explota los dispositivos móviles. Ahora que se venden actualmente más dispositivos móviles que computadoras personales, los hackers han migrado a estas plataformas para robar datos personales. Los ataques de smishing ocurren cuando el atacante manda un mensaje de texto a su teléfono informándole de un problema con su cuenta junto con un número al que debe llamar para resolver el problema. Una llamada a este número le pondrá en contacto con el hacker personalmente o con un “empleado” del actor malicioso para continuar con la estafa.

Si no realiza la llamada, los hackers podrían llamarle a usted informándole que su “cuenta ha sido atacada y necesita darles algunos detalles para resolver el problema.” Los hackers a menudo dependen de la cantidad de llamadas salientes para tener éxito. Esto se llama vishing.

Conozca más acerca de smishing.

Phishing en redes sociales

Las redes sociales se han convertido en parte de nuestro mundo en línea – tanto así que los hackers pueden usarlas para ejecutar estafas de phishing. Una estafa común de phishing por Facebook incluye publicar “ofertas” en las cuentas de “amigos” con instrucciones de hacer click. Para llevar a cabo esta estafa, los hackers deben obtener acceso a su cuenta.

Esto puede ser fácil de hacer si existe una brecha en los servidores de otra empresa que resulte en brechas de contraseñas. Los hackers podrían intentar usar el mismo correo y contraseña en otras plataformas comunes como Facebook y LinkedIn.

Conozca más acerca del phishing en redes sociales.

Pharming

Conforme los usuarios se han vuelto más eficientes para detectar los ataques de phishing, los hackers han creado nuevos métodos de ataque. El pharming compromete el caché DNS (Domain Name System) en la computadora de un usuario. Esto se hace por medio de descargas “drive-by”.

Mientras navega por internet y haciendo click de un sitio a otro, el hacker explota la falta de seguridad que a menudo está presente en algunos sitios web. Es relativamente fácil alterar el código HTML de un texto para que incluya la descarga de información cuando llega al sitio web o hace click en un link.

Si no hace click en el correo, el atacante simplemente espera a que se conecte al banco. La información alterada del caché DNS lo dirige hacia la versión del hacker del sitio web de su banco. Usted ingresa su usuario y contraseña, dándole al atacante sus credenciales para acceder a su cuenta bancaria y robar fondos.

¿Cómo prevenir el phishing?

Hay varias cosas que puede hacer como individuo para protegerse:

  • Habilite la autenticación de dos factores (2FA) en todas las cuentas que pueda
  • Use programas de anti-malware
  • Use firewalls
  • Sospeche de pop-ups y pop-unders
  • Sospeche de los archivos adjuntos en los correos provenientes de fuentes conocidas y desconocidas
  • Sospeche de mensajes de texto y mensajes directos de fuentes conocidas y desconocidas que buscan que haga click en algún link o que pidan información personal
  • No dé su información personal

Además de las recomendaciones para el personal descritas arriba, una organización debería hacer lo siguiente:

  • Filtrar los correos de phishing y tráfico web malicioso en el gateway
  • Autentifique los remitentes de los correos usando Domain-Based Message Authentication, Reporting, and Conformance (DMARC)
  • Filtre los correos de phishing basándose en el remitente y en el contenido, y analice las URLs y archivos adjuntos para detectar características maliciosas usando técnicas estáticas y dinámicas
  • Use técnicas avanzadas de filtración que también usen inteligencia artificial (AI) para detectar correos de business email compromise (BEC) y ataques de phishing de robos de credenciales
  • Prevenga los ataques internos de phishing con una solución con servicios integrados de seguridad para su nube o a una plataforma on-premises de correo usando APIs. Estos están disponibles para Microsoft 365, Google G Suite, Microsoft Exchange Server, y IBM Domino server

Artículos Relacionados

Investigaciones Relacionadas