Los ataques de phishing son correos electrónicos, mensajes de texto, llamadas telefónicas o sitios web fraudulentos diseñados para manipular personas para que descarguen malware, compartan información confidencial (p. ej., números de la seguridad social y tarjetas de crédito, números de cuentas bancarias, credenciales inicio de sesión), o realicen otras acciones que los exponga a ellos mismos o a sus organizaciones al ciberdelito.
Los ataques de phishing con éxito a menudo implican la usurpación de identidad, el fraude con tarjeta de crédito, ataques de ransomware, filtraciones de datos y enormes pérdidas financieras para las personas y las corporaciones.
El phishing es la forma más común de ingeniería social, la práctica de engañar, presionar o manipular a las personas para que envíen información o activos a personas indebidas. Los ataques de ingeniería social basan su éxito en tácticas de error humano y presión. El atacante normalmente se hace pasar por una persona u organización en la que la víctima confía (por ejemplo, un compañero de trabajo, un jefe, una compañía con la que la víctima o la empresa de la víctima tiene negocios) y crea una sensación de urgencia que lleva a la víctima a actuar precipitadamente. Los hackers utilizar estas tácticas porque es más fácil y menos costoso engañar a las personas que atacar un sistema o una red.
Según el FBI, los correos electrónicos de phishing son el método o vector de ataque más popular utilizado por los hackers para suministrar ransomware a personas y organizaciones. Y según el Informe del coste de una filtración de datos 2021 de IBM, el phishing es la cuarta causa más común y la segunda más costosa de las filtraciones de datos, con un coste medio para las empresas de 4,65 millones de USD por filtración.
El phishing por correo electrónico masivo es el tipo más común de ataque de phishing. El estafador crea un mensaje de correo electrónico que parece que proviene de una empresa u organización legítima grande y conocida (un banco nacional o global, una gran tienda en línea, los creadores de una popular app o aplicación de software) y lo envía a millones de destinatarios. El phishing por correo electrónico es un juego de números: cuanto más grande o más popular sea el remitente suplantado, más destinatarios serán los posibles clientes, suscriptores o miembros.
El correo electrónico de phishing trata sobre un tema que el remitente suplantado podría enviar de manera creíble y apela a emociones fuertes (miedo, codicia, curiosidad, sentido de urgencia o premura) para obtener la atención del destinatario. Las líneas de asunto típicas incluyen 'Actualice su perfil de usuario', 'Problema con su pedido', 'Sus documentos de cierre están listos para la firma', 'Se adjunta su factura'.
El cuerpo del correo electrónico insta al destinatario a realizar una acción que parece perfectamente razonable y coherente con el tema, pero como resultado el destinatario divulga información confidencial (números de la seguridad social, números de cuentas bancarias, números tarjetas de crédito, credenciales de inicio de sesión) o descarga un archivo que infecta el dispositivo o la red del destinatario. Por ejemplo, puede solicitarse a los destinatarios que 'pulsen este enlace para actualizar su perfil', pero el enlace los lleva a un sitio web falso, donde especifican sus credenciales inicio de sesión reales mientras aparentemente actualizan su perfil. O bien, se les puede pedir que abran un archivo adjunto que parece legítimo (p. ej., 'factura20.xlsx'), pero que envía malware o código maligno al dispositivo o red del destinatario.
La suplantación de identidad es un ataque de phishing que se dirige a una persona específica, generalmente una persona que tiene acceso privilegiado a datos confidenciales o recursos red, o una autoridad especial que el estafador puede explotar con fines fraudulentos o maliciosos.
Un suplantador de identidad estudia su objetivo para recopilar la información necesaria para hacerse pasar por una persona o entidad en la que el objetivo realmente confía (un amigo, un jefe, un compañero de trabajo, un colega, un proveedor de confianza o una institución financiera) o para hacerse pasar por la persona objetivo. Las redes sociales y los sitios de interacción social, donde las personas felicitan públicamente a sus compañeros de trabajo, apoyan a colegas y proveedores, y tienden a compartir demasiada información sobre reuniones, eventos o planes de viaje, se han convertido en grandes fuentes de información para la investigación de suplantación de identidad.
Armado con esta información, el suplantador de identidad puede enviar enviar un mensaje que contenga información financiera o detalles personales específicos acompañado de una solicitud creíble para el objetivo como, por ejemplo, en 'Sé que te vas esta noche de vacaciones, ¿puedes pagar hoy esta factura (o transferir XXX.XX USD a esta cuenta) antes del cierre de la oficina?'
Algunos correos electrónicos de suplantación de identidad intentan recopilar aún más información, como preparación para un ataque a mayor escala. Por ejemplo, un mensaje de suplantación de identidad puede solicitar a un CEO que actualice las credenciales de su cuenta de correo electrónico que se han perdido durante un breve corte de energía, pero proporcionar un enlace a un sitio web falso malicioso diseñado para robar dichas credenciales. Con dichas credenciales, el atacante tiene acceso completo al buzón de correo del CEO. Puede estudiar los mensajes de correo electrónico del CEO para obtener aún más información y enviar un mensaje fraudulento convincente directamente desde la cuenta de correo electrónico del CEO utilizando la dirección de correo electrónico real del CEO.
Este es un ejemplo de compromiso de correo electrónico de empresa (BEC), un tipo particularmente peligroso de ataque de suplantación de identidad diseñado para engañar a los empleados de la compañía para que envíen grandes sumas de dinero o activos valiosos a un atacante. Los correos electrónicos de BEC se envían o parece que se envían desde las cuentas de correo electrónico de los miembros de más alto nivel de la empresa (o de asociados de alto nivel de la empresa, por ejemplo, abogados, business partners clave o grandes proveedores) y contienen detalles suficientes para parecer altamente creíbles.
La suplantación de identidad no es la única táctica para obtener la información necesaria para preparar un ataque BEC de éxito. Los hackers también pueden implementar malware o explotar las vulnerabilidades del sistema para obtener acceso a los datos de la cuenta de correo electrónico. O bien, si no pueden obtener acceso a los datos de la cuenta, los hackers pueden intentar suplantar la dirección del remitente utilizando una dirección de correo electrónico tan similar a su dirección real que el destinatario no nota la diferencia.
Independientemente de las tácticas, los ataques de BEC de éxito se encuentran entre los ciberataques más costosos. En uno de los ejemplos más conocidos de BEC, los hackers que se hicieron pasar por un CEO convencieron al departamento de finanzas de su empresa para que transfiriera casi 50 millones de euros a una cuenta bancaria fraudulenta.
El phishing por SMS o smishing es un tipo de phishing que utiliza mensajes de texto de móvil o smartphone. Los esquemas de smishing más efectivos son contextuales, es decir, relacionados con las aplicaciones o la gestión de cuentas de un smartphone. Por ejemplo, los destinatarios pueden recibir un mensaje de texto que les ofrece un regalo de 'agradecimiento' por pagar una factura de teléfono, o pedirles que actualicen la información de su tarjeta de crédito para poder continuar utilizando un servicio de streaming.
El phishing de voz o vishing es un tipo de phishing que utiliza llamadas telefónicas. Gracias a la tecnología de voz sobre IP (VoIP), los estafadores pueden realizar millones de llamadas de vishing automatizadas al día; a menudo, utilizan la suplantación de ID de llamada entrante para que parezca que sus llamadas se realizan desde organizaciones o números locales legítimos. Las llamadas de vishing generalmente asustan a los destinatarios con advertencias de problemas con el proceso de la tarjeta de crédito, pagos vencidos o problemas con Hacienda. Las personas que responden terminan dando datos confidenciales a personas que trabajan para los estafadores; algunos incluso llegan a darles el control remoto de sus ordenadores a los estafadores al otro lado de la llamada.
El phishing en redes sociales utiliza las distintas prestaciones de una plataforma de redes sociales para obtener información confidencial de sus miembros. Los estafadores utilizan los propios servicios de mensajería de las plataformas (por ejemplo, Facebook Messenger, la mensajería de LinkedIn o InMail, los mensajes directos de Twitter) de forma muy parecida a como utilizan los mensajes de texto o correo electrónico normales. También envían a los usuarios correos electrónicos de phishing que parece que provienen del sitio de la red social, solicitando a los destinatarios que actualicen sus credenciales de inicio de sesión o la información de pago. Estos ataques pueden ser especialmente costosos para las víctimas que utilizan las mismas credenciales de inicio de sesión en varios sitios de redes sociales, una 'mala práctica' demasiado común.
Mensajería de aplicaciones o dentro de la aplicación. Las conocidas aplicaciones de smartphone y las aplicaciones basadas en la web (software como servicio o SaaS) envían correos electrónicos a sus usuarios con regularidad. Como resultado, estos usuarios son propensos a las campañas de phishing que suplantan la identidad de los correos electrónicos de los proveedores de aplicaciones o software. De nuevo es un juego de números: los estafadores generalmente suplantarán la identidad de las aplicaciones de smartphone y aplicaciones web más populares, por ejemplo, PayPal, Microsoft Office 365 o Teams, para obtener el máximo rendimiento de su inversión en phishing.
Se anima a las organizaciones a enseñar a los usuarios cómo reconocer las estafas de phishing y a desarrollar mejores prácticas sobre cómo tratar un mensaje de texto o correo electrónico sospechoso. Por ejemplo, se puede enseñar a los usuarios a reconocer estas y otras característica de los correos electrónicos de phishing:
- Solicitudes de información personal, actualización de un perfil o información de pago
- Solicitudes de envío o movimiento de dinero
- Archivos adjuntos que el destinatario no ha solicitado ni esperaba
- Una sensación de urgencia, ya sea flagrante ('Tu cuenta se cerrará hoy...') o sutil (por ejemplo, una solicitud de un colega para pagar una factura inmediatamente)
- Amenazas de prisión u otras consecuencias poco realistas
- Mala ortografía o gramática
- Dirección del remitente incoherente o falsificada
- Enlaces acortados usando Bit.Ly o algún otro servicio para acortar enlaces
- Imágenes de texto utilizadas en lugar de texto (en mensajes o en páginas web vinculadas en los mensajes)
Esta es solo una lista parcial; desafortunadamente, los hackers siempre están ideando nuevas técnicas de phishing para evitar mejor la detección. Publicaciones como el informe trimestral Phishing Trends Activity Report (enlace externo a ibm.com) de Anti-Phishing Working Group puede ayudar a las organizaciones a estar actualizadas.
Las organizaciones también pueden fomentar o imponer mejores prácticas que pongan menos presión en los empleados para que sean detectives de phishing. Por ejemplo, las organizaciones pueden establecer y comunicar políticas claras, por ejemplo, un superior o un colega nunca enviará por correo electrónico una solicitud de transferencia de fondos. Pueden requerir a los empleados que verifiquen cualquier solicitud de información confidencial poniéndose en contacto con el remitente o visitando directamente el sitio legítimo del remitente, utilizando medios distintos de los proporcionados en el mensaje. Asimismo, pueden insistir en que los empleados informen de los intentos de phishing y los correos electrónicos sospechosos al grupo de TI o seguridad.
Aunque dispongan del mejor entrenamiento y las mejores prácticas más rigurosas, los usuarios aún cometen errores. Afortunadamente, varias tecnologías establecidas y emergentes de seguridad de red y puntos finales pueden ayudar a los equipos de seguridad a continuar la batalla contra el phishing allí donde la dejaron el entrenamiento y las políticas.
- Los filtros de correo no deseado combinan los datos sobre las estafas de phishing existentes y los algoritmos de aprendizaje automático para identificar los correos electrónicos sospechosos de phishing (y otros correos no deseados), moverlos a una carpeta aparte e inhabilitar los enlaces que contienen.
- El software antivirus y antimalware detecta y neutraliza el código o los archivos maliciosos en los correos electrónicos de phishing.
- La autenticación multifactor requiere al menos una credencial de inicio de sesión adicional al nombre de usuario y la contraseña, por ejemplo, un código de un solo uso enviado al teléfono móvil de los usuarios. Al proporcionar una última línea de defensa adicional contra las estafas de phishing u otros ataques que comprometen con éxito las contraseñas, la autenticación multifactor puede socavar los ataques de suplantación de identidad e impedir el BEC.
- Los filtros web impiden que los usuarios visiten sitios web malicioso conocidos (sitios en la 'lista negra') y muestran alertas cada vez que los usuarios visitan supuestos sitios web maliciosos o falsos.
plataformas de ciberseguridad centralizada, por ejemplo, la Gestión de sucesos e información de seguridad (SIEM), la Detección y respuesta de punto final (EDR), la Detección y respuesta de red (NDR) y la Detección y respuesta extendida (XDR), combinan estas y otras tecnologías con inteligencia de amenazas continuamente actualizada y prestaciones de respuesta ante incidentes automatizadas que pueden ayudar a las organizaciones a impedir las estafas de phishing antes de que lleguen a los usuarios, y limitar el impacto de los ataques de phishing que consiguen pasar las defensas de red o punto final.
La primera solución integral de detección y respuesta extendida (XDR) del sector con estándares abiertos y automatización. XDR Connect proporciona una visibilidad profunda, automatización y conocimiento contextual a través de puntos finales, redes, nubes y aplicaciones.
Las soluciones de IBM Incident Response ayudan a los equipos de seguridad a gestionar y responder proactivamente al phishing y otras amenazas con orquestación inteligente; una gama completa de servicios; y las herramientas, la experiencia y el personal de IBM Security X-Force.
Proteja a sus empleados ante ataques de phishing que puedan comprometer la seguridad de su organización.
Proteja los datos confidenciales de su organización de las amenazas de ransomware que puedan mantenerla como rehén con las soluciones de seguridad de IBM.
Obtenga una seguridad específica para cada usuario, cada dispositivo y cada conexión, en todo momento, con las soluciones de seguridad de confianza cero de IBM.
Proteja los datos empresariales en varios entornos, cumpla las normas de privacidad y simplifique la complejidad operativa con soluciones de seguridad de datos.
IBM Trusteer Rapport ayuda a las instituciones financieras a detectar e impedir infecciones de malware y ataques de suplantación de identidad protegiendo a sus clientes comerciales y empresariales.
La coordinación inteligente refuerza la respuesta a incidentes mediante la definición de procesos repetibles, el empoderamiento de los analistas cualificados y la utilización de tecnologías integradas.
Descubra cómo proteger su organización ante amenazas maliciosas o no intencionadas de usuarios internos con acceso a la red.
Conozca su entorno de ciberseguridad y priorice las iniciativas junto con arquitectos y consultores senior de seguridad de IBM en una sesión de análisis de Design Thinking de 3 horas, virtual o presencial y sin coste alguno.
Los ciberataques son intentos no deseados de robar, exponer, alterar, inhabilitar o destruir información mediante el acceso no autorizado a los sistemas.
El ransomware es una forma de malware que amenaza con destruir o retener los datos o archivos de la víctima a menos que se pague un rescate al atacante para que descifre y restaure el acceso a los datos.
Las amenazas internas provienen de usuarios que tienen acceso autorizado y legítimo a los activos de una empresa y abusan de él de forma deliberada o accidental.
La respuesta ante incidentes es la reacción sistemática de una organización ante un intento de vulneración de la seguridad de la información.
La tecnología de ciberseguridad y las mejores prácticas protegen los sistemas más importantes y la información confidencial ante un volumen cada vez mayor de amenazas en constante evolución.