¿Qué es phishing? Tipos, ejemplos y cómo reconocerlo
Ciberseguridad y Cumplimiento Simplificado para Startups y PYMEs en México y LATAM 🔐
¿Qué es el phishing?
El phishing es un tipo de ciberataque que está diseñado para engañar a la víctima y lograr que suministre su información confidencial (como el número de sus tarjetas de crédito o sus contraseñas de inicio de sesión de la cuenta bancaria), que descargue algún software malicioso o que exponga de alguna manera la seguridad de una organización.
El phishing es uno de los tipos de ciberataques más comunes, ya que no necesita ningún tipo de conocimiento profundo en informática para ser realizado. Funciona principalmente mediante la ingeniería social, la cual consiste en un conjunto de técnicas de manipulación psicológica, que ponen a la víctima en una situación de estrés y ansiedad, haciendo que tome malas decisiones.
Historia del phishing
El término phishing proviene de la combinación de los términos «phreaking» y «fishing». El primer término hace referencia a una forma de hackeo por teléfono de los años 70, en donde a los atacantes se les conocía como «phreaks», un término que combina las palabras «phone» (teléfono) y «freak» (loco o raro). El segundo término, «fishing», se traduce como «pesca», lo cual es una buena analogía del ataque.
A finales de los años 80, se presentó por primera vez la descripción de la técnica de phishing, en un artículo y una exposición del grupo internacional de HP. El término «phishing» fue acuñado por un famoso hacker de los años 90, Khan Smith.
El primer ataque a un sistema de pagos fue realizado en el año 2001. Esta agresión fue hecha contra el sistema de pagos e-gold, operado por Gold and Silver Inc. A partir de este año, los ataques de phishing empezaron a proliferar cada vez más.
De hecho, entre 2013 y 2015, tanto Facebook como Google fueron víctimas de una serie de ataques de phishing, costándoles cerca de 100 millones de dólares.
¿Cómo ocurren los ataques de phishing?
La mayoría de los ataques de phishing comienzan con mensajes de correo electrónico, un mensaje de texto, contacto a través de redes sociales o una llamada telefónica. Aquí, el ciberdelincuente se hace pasar por una organización confiable, alguna empresa conocida, algún ente gubernamental, e incluso como una persona conocida por la víctima.
El contenido del mensaje de phishing usualmente incluye información que busca manipular a la víctima mediante diversas técnicas de ingeniería social, utilizando mentiras y manipulación. Algunas de las tácticas más comunes son:
- Ofrecer algún premio o recompensa irresistible.
- La alerta de alguna entidad bancaria.
- Algún problema con la facturación de un producto.
- Un pedido de ayuda de parte de un conocido.
- Una solicitud urgente de parte de un ente gubernamental.
- Algún problema imperioso con la suscripción de un servicio.
Al enviar un mensaje con alguno de estos métodos, el cibercriminal coloca a la víctima en una situación difícil y vulnerable. Es en este punto donde se aprovecha de la debilidad de la persona y se le extrae información, o hace que la persona descargue algún archivo malicioso.
Tipos de ataques de phishing
Este tipo de ciberdelito se basa fundamentalmente en lo mismo: manipular a una víctima para obtener cierta información. Sin embargo, existen diversos tipos de ataques de phishing, que se pueden clasificar según su método de empleo o según el tipo de víctima.
Phishing masivo por correo electrónico
Los ataques a una dirección de correo electrónico son la vía principal que usan los cibercriminales a la hora de intentar hacer phishing. Cerca del 96% de estos ataques se realizan con este método. Los atacantes logran conseguir listas masivas de correos y envían su ataque a miles de personas al mismo tiempo. Así como la pesca con red, los criminales apuestan al juego de los números.
Estos mensajes típicamente llevan a sitios web maliciosos, o les pide a la víctima que descarguen un archivo adjunto que podría contener algún malware.
Spear phishing
El spear phishing o phishing de lanza, hace alusión a la pesca con lanza donde se busca cazar un pez en particular. Este tipo de ataque va dirigido a una persona o empresa en particular, y no es simplemente un ataque genérico como en el caso anterior.
Aquí, los atacantes pueden hacer una investigación previa de la persona o empresa a ser atacada. Con la información recolectada, pueden ser más efectivos a la hora de manipular a la víctima, ya que conocen más sobre ella. También existe un subtipo de éste:
Whaling
El término whaling hace referencia al término en inglés «whale», el cual se traduce como «ballena». Este tipo de phishing es personalizado, pero va particularmente dirigido a personas de alto rango dentro de una empresa o ente gubernamental (las «ballenas»). Estas personas son seleccionadas por su cargo importante, y la información que puede ser extraída podría ser de mucho valor.
Phishing interno
Estos ataques son realizados por empleados de la propia empresa o compañía. Al ser un personal de confianza, le pueden enviar un mensaje malicioso a la cuenta de correo de un compañero de la organización, quien no dudará de la seguridad del mismo.
Este tipo de ataques suelen suceder en varias etapas para no levantar sospechas, teniendo usualmente como objetivo final un ataque de ransomware, o el robo de la información sensible o datos confidenciales de la empresa.
Vishing
El vishing se refiere al tipo de phishing que se realiza mediante una llamada telefónica. El término proviene de voice phishing o phishing de voz. En estos casos, el atacante logra obtener el número de la víctima y le realiza una llamada telefónica. Al ser una conversación directa con la persona, el agresor puede emplear muchas más técnicas de ingeniería social y se le hace más fácil manipular a la víctima.
Los estafadores pueden incluso utilizar la suplantación de identidad telefónica, y hacer que parezca que la llamada proviene de un ente oficial o legítimo. Luego, se hacen pasar por el personal de una empresa o entidad gubernamental, pidiendo datos personales y otro tipo de información sensible.
Smishing
El smishing es el tipo de phishing realizado mediante mensajes SMS. El mensaje le puede pedir al destinatario que actualice sus datos de algún servicio que utilice, o que reclame algún premio de una promoción realizada supuestamente por la empresa que envía el mensaje.
Usualmente estos mensajes contienen algún enlace para entrar a alguna página maliciosa o descargar algún archivo que podría tener un malware.
Phishing por redes sociales
Las redes sociales son otro de los espacios predilectos en los cuales los cibercriminales realizan sus ataques. Estas redes pueden ser utilizadas de diversas formas.
Los atacantes pueden crear perfiles falsos, y con el tiempo crear una cuenta que pudiese parecer legítima. Luego, esta puede ser utilizada para engañar a las personas, haciéndoles creer que una cuenta real les ha pedido información personal a través de mensajería instantánea.
Las redes pueden también pueden ser utilizadas para obtener información personal de la víctima y realizar un ataque personalizado, como lo es en el caso del spear phishing.
Pharming
El término pharming viene de la combinación de las palabras phishing y farming, este último traducido como «cultivo». Consiste en la creación de páginas web falsas para hacer que la víctima acceda a ellas y su información personal pueda ser robada.
Los cibercriminales buscan redirigir el tráfico de los usuarios de una página legítima hacia una página maliciosa. Una manera de lograr esto es a través de lo que se conoce como envenenamiento del DNS (Domain Name System o Sistema de Dominio de Nombres).
Un servidor DNS se encarga de transformar la dirección de una página escrita en letras, en una dirección IP, para que la conexión entre el usuario y la página web pueda ser establecida. Al envenenar el DNS, los atacantes pueden redirigir él tráfico del usuario a su propia página maliciosa, aunque estos hayan entrado al enlace oficial.
¿Cómo reconocer un ataque de phishing?
A pesar de que existe una gran variedad de técnicas, los intentos de phishing usualmente cumplen con ciertas características comunes que podemos detectar.
En la siguiente sección te explicamos varias de estas características, para que puedas reconocerlas en caso de que llegases a recibir un posible mensaje de phishing.
El mensaje denota urgencia
Una de las características más comunes es el carácter de urgencia que estos mensajes tienen. Por supuesto, esto es una técnica de manipulación, ya que coloca a la víctima en una situación de estrés donde se le dificulta pensar con claridad o guiarse por el sentido común.
Si recibes algún mensaje de alguna empresa diciendo que tienes 24 horas para actualizar tus datos, o tu cuenta será eliminada permanentemente, ya puedes empezar a sospechar que se trata de una estafa.
Se solicitan datos personales que usualmente no se solicitarían por ese medio
Otra razón que nos lleva a sospechar que estamos frente a una estafa de phishing, es cuando recibimos un mensaje en donde se nos pide cierta información personal, la cual usualmente no se solicitaría por ese medio.
De hecho, muchas entidades bancarias nos recuerdan en sus correos oficiales que ellos jamás pedirán por correo electrónico datos como: nombre de usuario, número de cuenta bancaria o números de tarjetas de crédito. Esta es una medida que han tomado los bancos para tratar de combatir el gran número de estafas phishing que se han realizado en su nombre.
No se reconoce al remitente
Muchas veces cuando recibimos un correo, no nos fijamos en el remitente. Normalmente, leemos solamente el título del correo y el mensaje.
Es importante que, cuando recibimos algún correo que contenga algún mensaje de urgencia, premio, sorpresa, o algo similar, leamos con cuidado quién es el remitente de dicho mensaje. Si no reconocemos al remitente, debemos proseguir con cautela.
El mensaje no está dirigido directamente a ti
Como mencionamos anteriormente, a veces los ataques de phishing se realizan de manera masiva. Por lo tanto, en muchas ocasiones los mensajes están escritos de manera impersonal. Podemos encontrar dentro del mensaje frases como «Estimado cliente, saludos».
Usualmente las instituciones oficiales o empresas a las que estamos suscritos a sus servicios conocen nuestro nombre. Generalmente, cuando nos envían un mensaje, lo hace refiriéndose a nuestro nombre directamente y no de manera genérica
Enlaces acortados o con errores
Muchas veces, los cibercriminales tratan de enmascarar su verdadera información utilizando enlaces acortados o enlaces que contengan errores, pero la verdad es que las instituciones oficiales nunca utilizarán este tipo de enlaces.
Estos son enlaces que, en vez de mostrar la dirección completa, muestran unos pocos caracteres. Por ejemplo, en vez de recibir un mensaje oficial con un enlace como «https://banco-oficial.com/inicio», podrías recibir un enlace como «https://bit.ly/pkr56».
Otra de las técnicas que usan los atacantes para engañar a los destinatarios, es utilizar direcciones muy similares a la oficial, pero con palabras incompletas, algo que puede que las personas ignoren si no son cuidadosas.
Por ejemplo, en vez de tener un enlace como «https://facebook.com/inicio», el mensaje podría tener un enlace como «https://facebok.com/inicio», en donde falta una «o». A simple vista, podríamos pasar esto por alto, así que debemos ser cuidadosos.
Los mensajes tienen errores ortográficos o gramaticales
Otro de los indicios de los mensajes que potencialmente podrían ser phishing, es que estos tengan faltas de ortografía o errores ortográficos. Las instituciones oficiales y las grandes empresas difícilmente enviarán un correo de esa manera. Por lo tanto, esta es otra buena señal para mantenernos alertas.
Los mensajes archivos adjuntos de apariencia extraña
En algunas ocasiones, los mensajes enviados por los cibercriminales pueden contener algunos archivos adjuntos que podrían ser dañinos. Es importante fijarse en la extensión de los archivos a ver si corresponden a lo esperado.
También es posible que archivos, como un documento PDF, puedan tener algún malware. Es por esto que no recomendamos abrir archivos adjuntos a menos que sea de remitentes conocidos, o que estemos esperando dichos archivos.
Ejemplos de ataques de Phishing
A continuación te dejamos unos ejemplos de cómo se puede ver un correo de phishing en la realidad.
Cómo proteger a tu empresa de los ataques de phishing
Como hemos visto, son diversas las técnicas y los daños que un ataque de phishing le podría ocasionar a tu empresa. A continuación, te damos algunas recomendaciones para que te mantengas lo más protegido. Te invitamos a leer nuestro artículo sobre Cómo evitar el Phishing.
1. Entrena a tus empleados para reconocer el phishing
Una de las cosas más esenciales que puedes hacer para proteger a tu empresa, es educar a tus empleados a reconocer este tipo de ataques. Después de todo, cualquier empleado es potencialmente una víctima de estos ataques, y al ser comprometido un empleado, podría comprometer a toda la empresa.
Recuerda que una de las habilidades más fundamentales que debemos desarrollar es la de mantener siempre una mente escéptica. En todo momento debemos estar alerta, y si notamos la más pequeña incongruencia, debemos entonces proceder con cautela.
2. Confirma siempre con la persona de quien parece provenir el correo antes de tomar acciones
Si has recibido un correo con carácter de urgencia, y debes descargar un archivo del cual no estás completamente seguro, es recomendable confirmar con la persona que dice haber enviado el mensaje, para verificar que efectivamente se trata de ella y que no haya sufrido de un robo de identidad.
Si se confirma que el mensaje ha sido una posible estafa, nos podemos dar cuenta de que efectivamente el mensaje no era legítimo.
3. Utiliza autenticación de dos pasos
Otra de las capas de seguridad importante que podemos establecer, además de usar un gestor de contraseñas, es la autenticación de dos pasos (en particular, para el uso de aplicaciones).
Esta autenticación es una medida de seguridad en donde la plataforma debe autenticar que un usuario está tratando de acceder a su cuenta, cuando lo hace desde un dispositivo distinto al usual.
Para esto, luego de ingresar el nombre del usuario y la contraseña, la plataforma te enviará un mensaje a tu teléfono móvil para que confirmes dicho ingreso de sesión. De esta manera, aunque hayas sido víctima de phishing y te hayan robado tus datos de ingreso, los cibercriminales no podrán conectarse desde su dispositivo, ya que no podrán autenticar el segundo paso.
4. No abras enlaces sospechosos
Como mencionamos anteriormente, muchas veces los mensajes de phishing contienen enlaces sospechosos. Estos pueden ser enlaces cortos, o enlaces cuya dirección se parece a la dirección legítima pero tiene uno que otro error ortográfico.
Como una táctica anti-phishing, siempre verifica primero la dirección del enlace, y en caso de que muestre alguna irregularidad, no accedas a éste.
5. Mantén tus sistemas actualizados
El mundo de los cibercriminales siempre está innovando, por esto es que no podemos quedarnos atrás en la carrera tecnológica. Otra manera de combatir estos ataques es manteniendo todos nuestros sistemas actualizados.
Muchas veces, las actualizaciones de software vienen con mejoras de seguridad que pueden disminuir las vulnerabilidades de nuestro sistema operativo, lo cual nos mantiene más seguros.
6. Utiliza firewall y antimalware
Una manera bastante efectiva de combatir los ataques de phishing es usando firewalls y antimalware.
Por un lado, un firewall te puede ayudar a que no ingreses por error a un sitio sospechoso. Si por alguna razón, te encuentras en una situación en la que has hecho clic a un enlace que no debías, los firewalls te pueden ayudar a evitar esta acción, emitiendo una alerta ante dicho enlace.
Por otro lado, el uso de antimalware también es bastante recomendado, mucho mejor que el uso de antivirus. Estos programas te pueden ayudar a verificar si efectivamente el archivo que has descargado se encuentra comprometido o no.
7. Aplica filtros a tus correos
El problema del phishing está tan extendido, que las compañías de correo electrónico han desarrollado herramientas que ayudan a combatirlo.
El filtro de correo no deseado utiliza datos sobre estafas de phishing que ya son conocidas y, junto con la inteligencia artificial, crea una herramienta que ayuda a mantener la protección en nuestra bandeja de entrada.
8. Comunícate con servicios de atención al cliente
Si has recibido un mensaje de alguna empresa que te pide realizar una acción con cierta urgencia, puedes comunicarte directamente con su servicio de atención al cliente. De esta manera, podrás verificar si efectivamente el mensaje enviado es legítimo o no.
9. Solicita ayuda de expertos
Una de las mejores maneras de mantenernos protegidos de los ataques phishing, y de cualquier otro tipo de ciberataque, es solicitando ayuda de expertos. Después de todo, son ellos los que más conocen sobre el área, son los más indicados en indicarnos cuál es el mejor curso a seguir en caso de un posible ataque.
Los ataques de phishing se han vuelto uno de los ataques más comunes en la actualidad digital, debido a la baja dificultad de su realización. De hecho, según un informe de IBM del 2021, el phishing es la segunda causa más costosa de filtraciones de datos para una empresa, promediando los cuatro millones de dólares por filtración.
En Delta Protect te ofrecemos dos de nuestros complementos de Apolo: CISO as a service, y ciberinteligencia, los cuales proveen la mejor prevención y orientación con relación a los distintos tipos de ciberataques como el phishing, o cualquier otra ciberamenaza.
Simplifica la ciberseguridad y el cumplimiento de tu empresa. Si quieres conocer de qué otras maneras podemos ayudarte a prevenir ataques de phishing a tu empresa, agenda una demo de Apolo con nuestros exportes.