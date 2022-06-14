Phishing

Los ataques de phishing on mensajes digitales o de voz que intentan manipular a los destinatarios para que compartan información confidencial, descarguen software malicioso, transfieran dinero o activos a las personas equivocadas o realicen otras acciones perjudiciales. Los estafadores elaboran los mensajes de phishing para que parezcan proceder de una organización o persona creíble o de confianza, a veces incluso de alguien a quien el destinatario conoce personalmente.

Hay muchos tipos de fraude por phishing:

Los correos electrónicos masivos de phishing se envían a millones de destinatarios a la vez. Parecen ser enviados por una empresa u organización grande y conocida, como un banco nacional o mundial, un gran minorista en línea, un popular proveedor de pagos en línea, etc., y hacen una petición genérica como «tenemos problemas para procesar su compra, actualice su información de crédito». Con frecuencia, estos mensajes incluyen un enlace malicioso que lleva al destinatario a un sitio web falso que captura el nombre de usuario, la contraseña, los datos de la tarjeta de crédito y mucho más.



El spear phishing tiene como objetivo una persona concreta, normalmente alguien con acceso privilegiado a la información de los usuarios, a la red informática o a los fondos de la empresa. Un estafador investigará al objetivo, a menudo utilizando información que se encuentra en LinkedIn, Facebook u otras redes sociales para crear un mensaje que parezca proceder de alguien que el objetivo conoce y en quien confía o que haga referencia a situaciones con las que el objetivo está familiarizado. El whale phishing es un ataque de suplantación de identidad rápida que se dirige a una persona de alto perfil, como un director general o un conocido cargo político. En un correo corporativo comprometido (BEC), el hacker utiliza credenciales comprometidas para enviar mensajes de correo electrónico desde la cuenta de correo electrónico real de una figura de autoridad, lo que hace que la estafa sea mucho más difícil de detectar.



El phishing de voz o vishing , es el phishing que se realiza a través de llamadas telefónicas. Las personas suelen experimentar vishing en forma de llamadas grabadas amenazantes que dicen ser del FBI.



El phishing por SMS, o smishing, es el phishing a través de un mensaje de texto.



La suplantación de identidad en los motores de búsqueda implica que los piratas informáticos creen sitios web maliciosos que ocupan un lugar destacado en los resultados de búsqueda para los términos de búsqueda más populares.



Angler phishing es una variante del phishing que consiste en la suplantación de identidad mediante cuentas falsas en las redes sociales, las cuales se hacen pasar por las cuentas oficiales de los equipos de atención al cliente o servicio de atención al cliente de empresas de confianza.

Según el IBM Security X-Force Threat Intelligence Index de 2023, el phishing es el principal vector de infección de malware, identificado en el 41 % de todos los incidentes. Según el informe "Coste de una filtración de datos" de 2024, el phishing es el vector de ataque inicial que conduce a las vulneraciones de datos más costosas.

Baiting

Mediante un señuelo se atrae (sin doble sentido) a las víctimas para que, consciente o inconscientemente, faciliten información confidencial o descarguen código malicioso, tentándolas con una oferta valiosa o incluso un objeto de valor.

La estafa del príncipe nigeriano es probablemente el ejemplo más conocido de esta técnica de ingeniería social. Ejemplos más actuales son las descargas gratuitas de juegos, música o software infectados con malware. Aunque algunas estratagemas utilizadas como señuelo no son nada elaboradas. Por ejemplo, algunos actores de amenazas dejan unidades USB infectadas con malware donde la gente las encuentra, cogen y utilizan porque «oye, un USB gratis».

Tailgating

En el tailgating, también llamado «piggybacking», una persona no autorizada sigue de cerca a una persona autorizada hasta una zona que contiene información sensible o activos valiosos. El seguimiento puede realizarse en persona, por ejemplo, un actor de amenazas puede seguir a un empleado a través de una puerta desbloqueada. Pero el seguimiento también puede ser una táctica digital, como cuando una persona deja un ordenador desatendido mientras sigue conectada a una cuenta o red privada.

Pretextar

En el pretexto, el actor de la amenaza crea una situación falsa para la víctima y se hace pasar por la persona adecuada para resolverla. Con frecuencia (y lo que es más irónico), el estafador afirma que la víctima se ha visto afectada por una violación de seguridad y, a continuación, se ofrece a realizar las correcciones, para lo cual la víctima le proporcionará información importante sobre su cuenta o el control de su ordenador o dispositivo. Técnicamente hablando, casi todos los ataques de ingeniería social implican algún grado de pretexto.

Quid pro quo

En una estafa quid pro quo, los piratas informáticos ofrecen un bien o servicio deseable a cambio de la información confidencial de la víctima. Ganar concursos falsos o recompensas de fidelidad aparentemente inocentes ("gracias por su pago, tenemos un regalo para usted") son ejemplos de estratagemas quid pro quo.

Scareware

También considerado una forma de malware, el scareware es un software que utiliza el miedo para manipular a las personas para que compartan información confidencial o descarguen malware. El scareware suele adoptar la forma de un falso aviso de las fuerzas de seguridad acusando al usuario de un delito, o de un falso mensaje de soporte técnico advirtiéndole de la presencia de malware en su dispositivo.

Ataque de abrevadero

Derivado de la frase "alguien envenenó el abrevadero": inyectan código malicioso en una página web legítima frecuentada por sus objetivos. Los ataques de abrevadero son responsables de todo, desde el robo de credenciales hasta las descargas involuntarias de ransomware de tipo «drive-by».