El término “phishing” puede resultar desconocido para algunos, por lo que es vital esbozar su definición antes de adentrarnos en sus complejas variantes. Los ataques de phishing se erigen como una amalgama de correos electrónicos, mensajes de texto, llamadas telefónicas o sitios web fraudulentos meticulosamente diseñados para someter a las personas a su voluntad. El objetivo principal de estos engaños consiste en inducir a las víctimas a descargar malware, compartir información sumamente confidencial (como números de seguridad social, tarjetas de crédito, números de cuenta bancaria o credenciales de inicio de sesión) o llevar a cabo acciones que exponen tanto a individuos como a organizaciones al flagelo del ciberdelito.

Los ataques de phishing exitosos, caracterizados por su capacidad de manipulación, se vinculan estrechamente con la usurpación de identidad, el fraude con tarjetas de crédito, los ataques de ransomware y las temibles filtraciones de datos. Los estragos financieros que dejan a su paso son de proporciones monumentales, impactando tanto a personas como a empresas de forma significativa.

La Ingeniería Social y sus Artimañas

El phishing se alza como la manifestación más prominente de la ingeniería social, una disciplina orientada a la persuasión, el juego psicológico y la manipulación de las personas para que cedan información o activos valiosos a manos indebidas. Los atacantes basan su estrategia en la explotación de los errores humanos y la generación de presión psicológica.

Comúnmente, el agresor asume la identidad de una entidad o individuo en quien la víctima confía ciegamente, ya sea un colega de trabajo, un superior jerárquico, una empresa con la que la víctima o su organización mantienen relaciones comerciales, entre otros. La creación de una sensación de urgencia es una táctica recurrente, instando a la víctima a actuar de manera apresurada e irreflexiva. Los ciberdelincuentes optan por estas artimañas debido a la mayor eficacia y menor costo en comparación con el ataque directo a sistemas o redes.

Tipos de Ataques de Phishing

El Impetuoso Correo Electrónico Masivo

El phishing mediante correo electrónico masivo emerge como la forma más extendida de este tipo de ataque. En esta estratagema, el estafador elabora un correo que simula provenir de una entidad legítima y reconocida a nivel nacional o global, como un banco de renombre, una tienda en línea de gran envergadura o los creadores de una popular aplicación. Este correo se envía a millones de destinatarios, y su efectividad radica en el juego de números: cuanto más amplio y reconocido sea el remitente usurpado, mayor será el número de posibles víctimas.

El contenido de estos correos electrónicos se enfoca en temas que resultan creíbles y apela a las emociones del receptor, tales como el miedo, la codicia, la curiosidad o la sensación de urgencia. Las líneas de asunto suelen incluir frases como “Actualice su perfil de usuario”, “Problemas con su pedido”, “Sus documentos de cierre están listos para la firma” o “Se adjunta su factura”. En el cuerpo del correo, se persuade al destinatario a llevar a cabo una acción aparentemente razonable y coherente con el tema, pero que, en realidad, conlleva la revelación de información confidencial o la descarga de malware.

La Sutileza de la Suplantación de Identidad

La suplantación de identidad, un tipo de phishing dirigido a individuos específicos, se enfoca en personas con acceso privilegiado a datos confidenciales o recursos de red, así como en figuras de autoridad que los estafadores pueden explotar con fines fraudulentos o maliciosos. El suplantador de identidad realiza un exhaustivo estudio de su objetivo, acumulando información crucial para personificar a alguien en quien el objetivo confiaría, como un amigo, un superior, un colega o una institución financiera. Las redes sociales y las plataformas de interacción social se erigen como invaluables fuentes de información para estos perpetradores, quienes examinan las interacciones públicas para obtener datos relevantes.

Armado con esta información, el suplantador de identidad puede enviar mensajes que contienen información financiera o detalles personales específicos, junto con una solicitud creíble que induzca al objetivo a cumplirla. La persuasión cobra vida en mensajes como “Sé que te encuentras de vacaciones, ¿puedes abonar esta factura antes del cierre de la oficina?”. Las redes sociales juegan un papel fundamental en la obtención de información para estos ataques.

El Perverso Arte del Compromiso de Correo Electrónico de la Empresa (BEC)

El BEC, siglas que aluden al “Business Email Compromise”, representa una variante especialmente peligrosa de la suplantación de identidad, diseñada para engañar a los empleados de una compañía y llevarlos a transferir grandes sumas de dinero o activos valiosos a manos de los atacantes. Este tipo de correos electrónicos suplanta la identidad de los miembros más influyentes de la organización, como CEOs o asociados de alto rango. 

Solicita información confidencial o induce a acciones que pueden tener graves consecuencias económicas.

La obtención de información para llevar a cabo un BEC puede ocurrir de diversas maneras. Los hackers pueden implementar malware, explotar vulnerabilidades del sistema o suplantar la dirección del remitente de manera tan precisa que el destinatario no advierta la diferencia. Los BEC exitosos representan uno de los ciberataques más costosos, con casos notorios que han resultado en transferencias multimillonarias hacia cuentas fraudulentas.

Otras Artimañas y Tácticas de Phishing

El phishing por SMS o “smishing” se sirve de mensajes de texto móviles para atraer a sus víctimas. Los esquemas de smishing más efectivos se relacionan con aplicaciones o la gestión de cuentas móviles. Los destinatarios pueden recibir mensajes que ofrecen regalos como “agradecimiento” por el pago de una factura de teléfono o que solicitan la actualización de información de tarjetas de crédito para mantener ciertos servicios.

El phishing por voz o “vishing” recurre a llamadas telefónicas. Gracias a la tecnología VoIP, los estafadores pueden realizar millones de llamadas automatizadas al día, a menudo haciendo parecer que provienen de números locales legítimos. Estas llamadas suelen generar temor, alertando a los destinatarios sobre problemas con tarjetas de crédito, pagos pendientes o asuntos fiscales. Las personas que caen en la trampa entregan información confidencial a los estafadores, incluso llegando a conceder acceso remoto a sus computadoras.

El phishing en redes sociales aprovecha las múltiples funciones de las plataformas para obtener datos confidenciales. Los estafadores emplean los servicios de mensajería de las redes sociales, como Facebook Messenger, LinkedIn o Twitter, para llevar a cabo engaños similares a los correos electrónicos. También envían correos electrónicos de phishing que parecen provenir de las propias redes sociales, instando a los destinatarios a actualizar sus credenciales o información de pago. Estos ataques resultan especialmente costosos para quienes utilizan las mismas credenciales en múltiples redes sociales.

El “qrishing” es una técnica que aprovecha los códigos QR para llevar a cabo ataques de phishing. En esta artimaña, un código QR falso es presentado a la víctima, quien al escanear accede a un enlace malicioso. Este enlace puede estar relacionado con la suplantación de identidad, descargas no deseadas o la instalación de software espía destinado a monitorear nuestras actividades en línea, entre otras amenazas potenciales.

La Amenaza que se Aloja en las Aplicaciones

Las aplicaciones móviles y basadas en la web envían correos electrónicos a sus usuarios con regularidad. Por lo tanto, los usuarios son susceptibles a campañas de phishing que suplantan a estas aplicaciones. Los estafadores suelen suplantar a las aplicaciones más populares, como PayPal, Microsoft Office 365 o Teams, para maximizar sus posibilidades de éxito.

Defendiendo contra el Phishing

La educación de los usuarios y la promulgación de mejores prácticas representan una defensa clave contra el phishing. Se alienta a las organizaciones a instruir a los usuarios sobre cómo identificar estos engaños y a fomentar prácticas para abordar mensajes de texto o correos electrónicos sospechosos. Esto puede incluir la identificación de solicitudes de información personal, movimientos de dinero, archivos adjuntos inesperados y más.

Asimismo, se pueden imponer políticas que reduzcan la presión sobre los empleados para detectar estos engaños. Por ejemplo, se puede establecer la norma de que ningún superior o colega solicitará transferencias de fondos por correo electrónico. Además, se puede requerir a los empleados verificar cualquier solicitud de información confidencial contactando directamente al remitente o visitando el sitio web legítimo de la entidad.

Tecnologías de Seguridad Antiphishing

A pesar del entrenamiento y las prácticas rigurosas, los usuarios pueden cometer errores. En este sentido, diversas tecnologías de seguridad de red y puntos finales pueden colaborar en la lucha contra el phishing, actuando como un segundo nivel de defensa.

Los filtros de correo no deseado, que combinan datos sobre estafas de phishing con algoritmos de aprendizaje automático, identifican mensajes sospechosos y los aíslan en una carpeta aparte, deshabilitando los enlaces peligrosos.

El software antivirus y anti malware detecta y neutraliza el código malicioso presente en los correos de phishing.

La autenticación multifactor, que requiere una credencial de inicio de sesión adicional además de usuario y contraseña, añade una capa adicional de protección contra ataques que comprometan las contraseñas.

Los filtros web impiden a los usuarios acceder a sitios web maliciosos conocidos y alertan sobre supuestas páginas web peligrosas.

Conclusión

La lucha contra el phishing es una batalla constante en la era digital. A medida que los atacantes evolucionan sus tácticas, es crucial que las organizaciones se mantengan un paso adelante. La combinación de educación de usuarios, prácticas sólidas y tecnologías de seguridad efectivas puede ayudar a proteger a individuos y empresas contra los insidiosos engaños del phishing. Mantenerse informado sobre las tendencias actuales en el phishing es esencial para mantener una postura defensiva efectiva en este escenario en constante cambio.

- 5%
La defensa frente al phishing. Paso a Paso: Guía práctica sobre el phishing y la defensa que frente al mismo ofrece nuestro ordenamiento jurídico
Amazon.es
La defensa frente al phishing. Paso a Paso: Guía práctica sobre el phishing y...
15,20€ 16,00€ 
PHISHING: EL ARTE DEL ENGAÑO ONLINE
Amazon.es
PHISHING: EL ARTE DEL ENGAÑO ONLINE
7,99€
Ciberseguridad Una Simple Guía para Principiantes sobre Ciberseguridad, Redes Informáticas y Cómo Protegerse del Hacking en Forma de Phishing, Malware, Ransomware e Ingeniería Social
Amazon.es
Ciberseguridad Una Simple Guía para Principiantes sobre Ciberseguridad, Redes...
13,22€
Kaspersky Plus 2023 | 3 dispositivo | 1 año | Caja Mini No CDAnti-Phishing y Firewall| VPN ilimitada | Gestor de contraseñas | Protección Bancaria en línea | PC/Mac/Móvil
Amazon.es
Kaspersky Plus 2023 | 3 dispositivo | 1 año | Caja Mini No CDAnti-Phishing y...
19,50€
Kaspersky Premium 2023 | 5 dispositivo | 1 año | Caja Mini No CDAnti-Phishing y Firewall| VPN ilimitada | Gestor de contraseñas | Protección Bancaria en línea | PC/Mac/Móvil
Amazon.es
Kaspersky Premium 2023 | 5 dispositivo | 1 año | Caja Mini No CDAnti-Phishing...
31,50€
Last updated on 3 de diciembre de 2023 18:30

Artículos relacionadosMás del autor