¿Qué es el phishing?

Los ataques de phishing son una forma de ingeniería social. A diferencia de otros ciberataques que se dirigen directamente a redes y recursos, los ataques de ingeniería social utilizan errores humanos, historias falsas y tácticas de presión para manipular a las víctimas para que se perjudiquen involuntariamente a sí mismas o a sus organizaciones.

En un intento típico de phishing, un hacker se hace pasar por alguien en quien la víctima confía, como un compañero, jefe, figura de autoridad o representante de una marca conocida. El hacker envía un mensaje a la víctima para que pague una factura, abra un archivo adjunto, haga clic en un enlace o realice cualquier otra acción.

Al confiar en la supuesta fuente del mensaje, el usuario sigue las instrucciones y cae de lleno en la trampa del estafador. Esa "factura" puede llevar directamente a la cuenta de un hacker. Ese archivo adjunto podría instalar un ransomware en el dispositivo del usuario. Ese enlace podría llevar al usuario a un sitio web que roba números de tarjetas de crédito, números de cuentas bancarias, credenciales de inicio de sesión u otros datos personales.

El phishing es muy popular entre los ciberdelincuentes y muy eficaz. Según el informe "Cost of a Data Breach" de IBM, el phishing es el vector de vulneración de datos más común y representa el 15 % de todas las vulneraciones. Las infracciones causadas por la suplantación de identidad cuestan a las organizaciones una media de 4,88 millones de dólares.

El phishing es una amenaza importante porque se aprovecha de las personas más que de las vulnerabilidades tecnológicas. Los atacantes no necesitan violar los sistemas directamente ni burlar las herramientas de ciberseguridad. Pueden engañar a personas que tienen acceso autorizado a su objetivo, ya sea dinero, información confidencial o cualquier otra cosa, para que hagan su trabajo sucio.

Los ciberdelincuentes pueden ser estafadores solitarios o bandas criminales sofisticadas. Pueden utilizar el phishing para muchos fines maliciosos, como el robo de identidad, el fraude con tarjetas de crédito, el robo de dinero, la extorsión, la apropiación de cuentas, el espionaje y más.

Los objetivos del phishing van desde personas corrientes hasta grandes empresas y organismos públicos. En uno de los ataques de phishing más conocidos, hackers rusos utilizaron un falso correo electrónico de restablecimiento de contraseña para robar miles de correos electrónicos de la campaña presidencial estadounidense de Hillary Clinton en 2016.¹

Dado que las estafas de phishing manipulan a seres humanos, las herramientas y técnicas estándar de supervisión de redes no siempre pueden detectar estos ataques en curso. De hecho, en el ataque a la campaña de Clinton, incluso el servicio de asistencia informática de la campaña pensó que los correos electrónicos fraudulentos de restablecimiento de contraseña eran auténticos. 

Para combatir el phishing, las organizaciones deben combinar herramientas avanzadas de detección de amenazas con una sólida formación de los empleados para garantizar que los usuarios puedan identificar con precisión y responder con seguridad a los intentos de estafa.

La palabra "phishing" juega con el hecho de que los estafadores utilizan "señuelos" atractivos para engañar a sus víctimas, del mismo modo que los pescadores utilizan cebos para enganchar a los peces. En el phishing, los señuelos son mensajes fraudulentos que parecen creíbles y evocan emociones fuertes como el miedo, la codicia y la curiosidad. 

Los tipos de señuelos que utilizan los estafadores de phishing dependen de a quién y qué persiguen. Algunos ejemplos comunes de ataques de phishing incluyen:

En el phishing por correo electrónico en masa, los estafadores envían indiscriminadamente correos spam a tantas personas como sea posible, con la esperanza de que una fracción de los objetivos caiga en la trampa.

Los estafadores suelen crear correos electrónicos que parecen proceder de grandes empresas legítimas, como bancos, minoristas en línea o fabricantes de aplicaciones populares. Al hacerse pasar por marcas conocidas, los estafadores aumentan las posibilidades de que sus objetivos sean clientes de esas marcas. Si un objetivo interactúa con frecuencia con una marca, es más probable que abra un correo electrónico de phishing que afirme ser de esa marca.

Los ciberdelincuentes hacen todo lo posible para que los correos electrónicos de phishing parezcan auténticos. Es posible que usen el logotipo y la marca del remitente suplantado. Pueden falsificar direcciones de correo electrónico para que parezca que el mensaje procede del nombre de dominio del remitente suplantado. Pueden incluso copiar un correo electrónico auténtico del remitente suplantado y modificarlo con fines maliciosos.

Los estafadores escriben líneas de asunto de correo electrónico para apelar a emociones fuertes o crear una sensación de urgencia. Los estafadores astutos utilizan asuntos a los que el remitente suplantado podría dirigirse realmente, como "Problema con su pedido" o "Se adjunta su factura".

El cuerpo del correo electrónico ordena al destinatario que realice una acción aparentemente razonable que tiene como resultado la divulgación de información confidencial o la descarga de malware. Por ejemplo, un enlace de phishing podría decir: "Haga clic aquí para actualizar su perfil". Cuando la víctima hace clic en ese enlace malicioso, le lleva a un sitio web falso que roba sus credenciales de inicio de sesión. 

Algunos estafadores programan sus campañas de phishing para que coincidan con días festivos y otros acontecimientos en los que la gente es más susceptible a la presión. Por ejemplo, los ataques de phishing a clientes de Amazon suelen dispararse en torno al Prime Day, el evento anual de ventas del minorista online.² Los estafadores envían correos electrónicos sobre ofertas falsas y problemas de pago para aprovecharse de la guardia baja de la gente.

El spear phishing es un ataque de phishing dirigido a un individuo específico. El objetivo suele ser una persona con acceso privilegiado a datos sensibles o con una autoridad especial que el estafador puede explotar, como un gestor financiero que puede transferir dinero de las cuentas de la empresa.

Un ciberdelincuente estudia a su objetivo para reunir la información que necesita para hacerse pasar por alguien en quien confía, como un amigo, jefe, compañero de trabajo, proveedor o institución financiera. Las redes sociales y los sitios de contactos profesionales, donde la gente felicita públicamente a sus compañeros de trabajo, promociona a los vendedores y tiende a compartir demasiado, son ricas fuentes de información para la investigación del spear phishing.

Estos ciberdelincuentes utilizan su investigación para elaborar mensajes que contienen detalles personales específicos, haciéndolos parecer muy creíbles para el objetivo. Por ejemplo, pueden hacerse pasar por el jefe del objetivo y enviar un correo electrónico que diga: "Sé que esta noche te vas de vacaciones, pero ¿podrías pagar esta factura antes del cierre de hoy?".

Un ataque de spear phishing dirigido a un alto directivo, una persona adinerada u otro objetivo de alto valor se denomina ataque de whale phishing o whaling.

BEC es una clase de ataques de spear phishing que intentan robar dinero o información valiosa, como secretos comerciales, datos de clientes o información financiera, de una empresa u otra organización.

Los ataques BEC pueden adoptar varias formas. Dos de las más comunes son las siguientes:

• Fraude al director general: El estafador se hace pasar por un ejecutivo de nivel C, a menudo secuestrando la cuenta de correo electrónico del ejecutivo. El estafador envía un mensaje a un empleado de nivel inferior indicándole que transfiera fondos a una cuenta fraudulenta, realice una compra a un proveedor fraudulento o envíe archivos a una parte no autorizada.
  
  
• Compromiso de la cuenta de correo electrónico (EAC): El estafador compromete la cuenta de correo electrónico de un empleado de nivel inferior, como la de un directivo de finanzas, ventas o investigación y desarrollo. El estafador utiliza la cuenta para enviar facturas fraudulentas a proveedores, dar instrucciones a otros empleados para que realicen pagos fraudulentos o solicitar acceso a datos confidenciales.

Los ataques BEC pueden figurar entre los ciberataques más costosos, ya que los estafadores suelen robar millones de dólares cada vez. En un ejemplo destacable, un grupo de estafadores robó más de 100 millones de dólares a Facebook y Google haciéndose pasar por un proveedor legítimo de software.³

Algunos estafadores que utilizan los ataques BEC están abandonando estas tácticas de alto perfil en favor de lanzar pequeños ataques contra más objetivos. Según el Anti-Phishing Working Group (APWG), los ataques BEC fueron más frecuentes en 2023, pero los estafadores pedían menos dinero de media en cada ataque.⁴

El phishing por SMS, o smishing, utiliza mensajes de texto falsos para engañar a los objetivos. Los estafadores suelen hacerse pasar por el proveedor de servicios inalámbricos de la víctima y envían un mensaje de texto en el que ofrecen un "regalo gratuito" o piden al usuario que actualice los datos de su tarjeta de crédito.

Algunos estafadores se hacen pasar por el Servicio Postal de EE. UU. u otra empresa de transporte. Envían mensajes de texto en los que dicen a las víctimas que deben pagar una tarifa para recibir un paquete que han pedido.

El phishing por voz, o vishing, es el phishing mediante una llamada telefónica. Los incidentes de vishing se han disparado en los últimos años, aumentando un 260% entre 2022 y 2023 según el APWG.⁵ El aumento del vishing se debe en parte a la disponibilidad de la tecnología de voz sobre IP (VoIP), que los estafadores pueden utilizar para realizar millones de llamadas de vishing automatizadas al día. 

Los estafadores suelen utilizar la suplantación del identificador de llamadas para que sus llamadas parezcan proceder de organizaciones legítimas o números de teléfono locales. Las llamadas violentas suelen asustar a los destinatarios con advertencias de problemas de procesamiento de tarjetas de crédito, pagos atrasados o problemas con la ley. Los destinatarios acaban proporcionando datos confidenciales o dinero a los ciberdelincuentes para "resolver" sus problemas.

El phishing en redes sociales utiliza las plataformas de las redes sociales para engañar a la gente. Los estafadores utilizan las capacidades de mensajería integradas en las plataformas, como Facebook Messenger, LinkedIn InMail y los MD de X (antes Twitter), de la misma manera que utilizan el correo electrónico y los mensajes de texto.

Los estafadores suelen hacerse pasar por usuarios que necesitan la ayuda del objetivo para iniciar sesión en su cuenta o ganar un concurso. Utilizan esta artimaña para robar las credenciales de inicio de sesión del objetivo y hacerse con el control de su cuenta en la plataforma. Estos ataques pueden ser especialmente costosos para las víctimas que utilizan las mismas contraseñas en varias cuentas, una práctica demasiado común.

Los estafadores idean constantemente nuevas técnicas de phishing para evitar ser detectados. Algunos desarrollos recientes incluyen:

El phishing con IA utiliza herramientas de inteligencia artificial (IA) generativa para crear mensajes de phishing. Estas herramientas pueden generar correos electrónicos y mensajes de texto personalizados que no contengan errores ortográficos, incoherencias gramaticales y otras señales de alarma habituales en los intentos de suplantación de identidad.

La IA generativa también puede ayudar a los estafadores a escalar sus operaciones. Según el  X-Force Threat Intelligence Index de IBM, un estafador tarda 16 horas en crear un correo electrónico de suplantación de identidad de forma manual. Con la IA, los estafadores pueden crear mensajes aún más convincentes en solo cinco minutos.

Los estafadores también utilizan generadores de imágenes y sintetizadores de voz para dar más credibilidad a sus estafas. Por ejemplo, en 2019, unos atacantes utilizaron la IA para clonar la voz del director general de una empresa energética y estafar 243 000 dólares a un director de banco.⁷

El quishing utiliza códigos QR falsos incrustados en correos electrónicos y mensajes de texto o publicados en el mundo real. Permite a los hackers ocultar sitios web y software maliciosos a plena vista.

Por ejemplo, la Comisión Federal de Comercio de Estados Unidos (FTC) alertó el año pasado de una estafa en la que los delincuentes sustituyen los códigos QR de los parquímetros públicos por códigos propios que roban los datos de pago.^6.

Los ataques de vishing híbridos combinan el phishing de voz con otros métodos para eludir los filtros de spam y ganarse la confianza de las víctimas.

Por ejemplo, un estafador puede enviar un correo electrónico que diga proceder de Hacienda. En él se informa al destinatario de que hay un problema con su declaración de la renta. Para resolver el problema, el destinatario debe llamar a un número de teléfono proporcionado en el correo electrónico, que le conecta directamente con el estafador.

Los detalles pueden variar de una estafa a otra, pero hay algunos signos comunes que indican que un mensaje podría ser un intento de phishing. Estas señales incluyen:

Dado que las estafas de phishing van dirigidas a las personas, los empleados suelen ser la primera y la última línea de defensa de una organización contra estos ataques. Las organizaciones pueden enseñar a los usuarios a reconocer las señales de los intentos de phishing y a responder a los correos electrónicos y mensajes de texto sospechosos. Esto puede incluir dar a los empleados formas fáciles de informar de intentos de phishing al equipo de TI o de seguridad.

Las organizaciones también pueden establecer políticas y prácticas que dificulten el éxito de los atacantes.

Por ejemplo, las organizaciones pueden prohibir que se inicien transferencias monetarias por correo electrónico. Pueden exigir a los empleados que verifiquen las solicitudes de dinero o información poniéndose en contacto con el solicitante por medios distintos a los facilitados en el mensaje. Por ejemplo, los empleados pueden escribir una URL directamente en su navegador en lugar de hacer clic en un enlace o llamar a la línea de oficina de un colega en lugar de responder a un mensaje de texto de un número desconocido.

Las organizaciones pueden complementar la formación de los empleados y las políticas de la empresa con herramientas de seguridad que ayuden a detectar los mensajes de phishing y frustrar a los hackers que lo utilizan para entrar en las redes.

• Los filtros de spam y el software de seguridad del correo electrónico utilizan datos sobre estafas de phishing existentes y algoritmos de machine learning para identificar correos electrónicos de phishing y otros mensajes de spam. Las estafas y el spam se mueven a una carpeta separada, donde se erradican los enlaces y códigos maliciosos.
  
  
• El software antivirus y antimalware puede detectar y neutralizar archivos o códigos maliciosos que transportan los correos electrónicos de phishing.
  
  
• La autenticación multifactor puede evitar que los hackers se apoderen de las cuentas de los usuarios. Los ciberdelincuentes que utilizan el phishing pueden robar contraseñas, pero les resulta mucho más difícil robar un segundo factor, como un escáner de huellas dactilares o un código de acceso de un solo uso.
  
  
• Las herramientas de seguridad de endpoints, como las soluciones de detección y respuesta de endpoints (EDR) y gestión unificada de endpoints (UEM), pueden utilizar la inteligencia artificial (IA) y el análisis avanzado para interceptar los intentos de phishing y bloquear el malware.
  
  
• Los filtros web impiden que los usuarios visiten sitios web maliciosos conocidos y muestran alertas cada vez que los usuarios visitan páginas sospechosas. Estas herramientas pueden ayudar a mitigar los daños si un usuario hace clic en un enlace de phishing.
  
  
• Las soluciones de ciberseguridad empresarial, como las plataformas de orquestación, automatización y respuesta de seguridad (SOAR) y la gestión de eventos e información de seguridad (SIEM), utilizan la IA y la automatización para detectar actividades anómalas y responder a ellas. Estas soluciones pueden ayudar a detener a los phishers que intentan instalar malware o apoderarse de cuentas.