¿Qué es el phishing?
Definición de phishing
El phishing es un tipo de ciberdelito en el que los delincuentes obtienen dinero, consiguen algún tipo de ventaja o logran introducir un cambio accediendo a información a través de una petición realizada por correo electrónico o alguna otra vía. El phishing es omnipresente en el mundo actual y se considera el causante de dos tercios de las vulneraciones de seguridad cada año, lo que lo convierte en un problema de primera magnitud. La amenaza del phishing puede estar presente en todo tipo de correos, tanto en mensajes personales como en comunicaciones para pequeñas y grandes empresas.
Métodos empleados habitualmente en ataques de phishing
Los ciberdelincuentes a menudo envían correos o mensajes para conseguir que personas confiadas compartan datos financieros o información personal. El destinatario tal vez crea que la comunicación procede de una fuente de confianza o una persona con autoridad, o tal vez de alguien en apuros, o simplemente tenga curiosidad para responder.
Los ataques de phishing suelen alimentarse de la buena fe, las respuestas emocionales o el desconocimiento, o bien se aprovechan de la falta de atención de la víctima.
Ejemplos de estafas por phishing
Muchos incidentes de ciberseguridad importantes han empezado por un ataque de phishing.
- En 2009, durante su operación Phish Phry, el FBI imputó a 100 personas por ciberdelincuencia. La agencia se puso en alerta cuando muchos clientes empezaron a recibir correos electrónicos de apariencia oficial procedentes supuestamente de sus bancos. En respuesta a las peticiones de los correos, los clientes introducían información y contraseñas de sus cuentas en un sitio web fraudulento, lo que provocó graves perjuicios económicos tanto para los clientes como para sus bancos.
- En 2013, en la estafa conocida como Target/FMS unos hackers consiguieron acceder a la información de tarjetas de crédito de 40 millones de clientes de Target, lo que puso en riesgo 70 millones de registros de clientes. El correo de phishing que utilizaron los ciberdelincuentes para instalar malware en las máquinas del punto de venta se envió a empleados de una empresa instaladora de climatización contratada por Target, cuando un empleado con acceso a los servidores de Target descargó sin darse cuenta el malware desde el correo de phishing.
- En 2016, el fabricante austriaco de componentes de aeronaves FACC, con clientes de tanto prestigio como Boeing y Airbus, fue víctima de un ataque por correos de phishing en el que los hackers suplantaron al CEO de la empresa, el canadiense Walter Stephen. A través de este engaño, pidieron a un empleado que transfiriera 61 millones de dólares a la cuenta bancaria de los delincuentes en China. Tras darse cuenta de la estafa, la empresa despidió tanto al CEO como al director financiero y tuvo que enfrentarse a una demanda por malas prácticas de seguridad y unas medidas de control insuficientes. La estafa dejó tras de sí un importante rastro de devastación.
Tipos de ataques de phishing
Resumen de los diferentes tipos de ataques de phishing
Existen diferentes tipos y estilos de ataques de phishing, que pueden tener su origen también en mensajes de texto, mensajes en redes sociales o llamadas de voz, aunque en cada caso con nombres diferentes. La mayoría de las estafas de phishing están diseñadas para engañar al máximo número de personas posible, normalmente con un rendimiento bajo. Sin embargo, otros ataques son más técnicos y pueden provocar problemas de gran magnitud en personas y organizaciones concretas y elegidas cuidadosamente. Algunos ejemplos de estos tipos de ataques son el spear phishing, el clone phishing o el whaling. Los correos de phishing son el tipo de ataque de phishing más habitual.
El spear phishing y sus características
Los ataques de spear phishing se dirigen a personas concretas en lugar de echar sus redes de forma indiscriminada. Este tipo de ataque se inicia cuando el ciberdelincuente accede al correo interno de una organización, a menudo a través de phishing convencional o vulnerabilidades del sistema. Los atacantes buscan y seleccionan un objetivo, trazan un plan y después suplantan a alguien de la organización. Algunos empleados pueden recibir correos electrónicos extremadamente realistas de un compañero o una persona con autoridad, o bien instrucciones para realizar alguna acción a partir de un señuelo emocional. Estos correos pueden presentar pequeñas diferencias difíciles de percibir para el usuario, a causa de su reacción emocional o su curiosidad. Por tanto, es vital verificar siempre las peticiones poco habituales o fuera de lugar.
Qué es el clone phishing y cómo funciona
El clone phishing utiliza técnicas de phishing convencionales para acceder a correos electrónicos originales con adjuntos y crear copias de correos de una organización. De este modo, un ciberdelincuente puede enviar adjuntos idénticos al original pero que contienen malware empleado para sustraer información confidencial. Estos correos electrónicos adulterados se envían a menudo con adjuntos “actualizados” urgentes, una urgencia que sirve de pretexto para obtener una respuesta rápida de la víctima. A diferencia del spear phishing, que se dirige a una organización o persona concreta, el clone phishing normalmente suplanta o duplica los correos electrónicos de forma muy convincente.
Cómo identificar los correos de phishing
Características comunes de los correos de phishing
Los correos de phishing suelen compartir una serie de características, como errores gramaticales, direcciones de correo o enlaces poco habituales y descargas sospechosas, y a veces pueden proceder de una dirección de correo desconocida. Algunas empresas obligan a realizar una formación en ciberseguridad específica para ayudar a los empleados a detectar los correos de phishing.
Cómo identificar contenido sospechoso
Si un correo electrónico solicita directamente información confidencial, esta información debe facilitarse únicamente a través de canales aprobados y seguros, y solo si es aconsejable hacerlo. Compruebe siempre las peticiones poco habituales y, si un correo le remite a un sitio web, fíjese en la URL de la barra de direcciones para ver si es correcta antes de introducir información personal. Los correos de personas u organizaciones conocidas que contengan elementos extraños, como diferencias en el contenido, el discurso o el tono, deben considerarse siempre sospechosos. Y lo mismo ocurre con los correos con peticiones urgentes, mensajes con mucha carga emocional o amenazas. Asimismo, los mensajes no solicitados o repentinos también deben ponernos enseguida en alerta.
Consejos para evitar caer en estafas de phishing
Para evitar caer en las garras del phishing, basta con seguir unos sencillos pasos.
- Informarse sobre el funcionamiento de las estafas de phishing.
- Apuntarse a un curso o consultar con el equipo de ciberseguridad o TI en el trabajo.
- Informarse sobre estafas de phishing famosas o noticias sobre ciberseguridad para obtener información útil que le ayude a identificar ataques de phishing.
- Cumplir con los principios de seguridad y los protocolos de la organización.
Preste mucha atención a los correos, mensajes de texto, mensajes en redes sociales o llamadas de voz para determinar su origen, si resulta o no seguro responder o identificar otra información que pueda ayudarle.
Verifique siempre las comunicaciones. ¿Ha iniciado la conversación o lo ha hecho la otra persona? ¿Cuál es la finalidad de la comunicación? Preste atención para detectar cosas extrañas, mensajes de urgencia, ganchos emocionales, cadencias poco habituales, errores gramaticales y enlaces o instrucciones sospechosas. Cualquiera de estos elementos puede ser un indicio de un ataque de phishing.
Usar un gestor de contraseñas como LastPass es otra solución sencilla para evitar que los hackers accedan a comunicaciones por correo electrónico e impedir que los usuarios finales introduzcan información en páginas fraudulentas.
Cómo protegerse del phishing
Recomendaciones para evitar ataques de phishing
Hay diferentes cosas que podemos hacer para evitar ataques de phishing. En primer lugar, bajar las revoluciones: lea el mensaje atentamente, comprobando si el remitente y la dirección coinciden antes de responder, y buscando indicios de actividades sospechosas.
Use contraseñas seguras y potentes
El uso de la autenticación multifactor (MFA) y unas contraseñas seguras evita las intrusiones y protege los datos. Si modifica sus contraseñas de forma regular o utiliza un gestor de contraseñas, los hackers lo tendrán más difícil para acceder y sus datos estarán mejor protegidos.
El papel de los gestores de contraseñas como LastPass en la lucha contra el phishing
Gestores de contraseñas como LastPass pueden ayudar a protegerse contra la reutilización de contraseñas y facilitar una comunicación eficaz y segura. LastPass detecta sitios web fraudulentos e impide introducir información personal en este tipo de páginas.
Denunciar y responder al phishing
¿Qué hacer si recibe un correo de phishing?
Si recibe un correo de phishing, actúe siempre con prudencia, fíjese en los detalles y denúncielo.
No haga clic en enlaces ni adjuntos para descargar. Hable con el remitente antes de realizar ninguna acción y siga los procesos de denuncia de su empresa.
Cómo denunciar estafas de phishing
Denunciar los casos de phishing ayuda a prevenir futuras estafas y a identificar a delincuentes conocidos. Siga los procedimientos de denuncia de su organización y consulte con sus equipos de TI o ciberseguridad si necesita asesoramiento. También puede denunciar los intentos de phishing a organismos públicos de su país o región y a organizaciones internacionales como el Anti-Phishing Working Group.
Qué hacer si cree que ha sido víctima de un ataque de phishing
Si cree que ha caído en la trampa del phishing, desconecte de inmediato su dispositivo de Internet, analícelo con software antivirus y revise sus correos electrónicos y cuentas online en busca de transacciones sospechosas. Si la estafa se ha producido en una red o dispositivo del trabajo, comuníquelo y siga los procedimientos de seguridad estándar.
El phishing es una amenaza grave que requiere una vigilancia extrema y un buen conocimiento del tema. Si están al corriente de las técnicas de phishing más habituales, saben cómo identificar correos sospechosos y aplican las prácticas recomendadas, las personas y las empresas podrán protegerse mejor de estos ataques.
¿El primer paso y uno de los más sencillos? Usar un gestor de contraseñas. Empiece hoy mismo la prueba de LastPass para reforzar la protección de su organización contra los ataques de phishing.
