¿Qué es el phishing?

Los ataques de phishing son una forma de ingeniería social. A diferencia de otros ciberataques que se dirigen directamente a redes y recursos, los ataques de ingeniería social emplean errores humanos, historias falsas y tácticas de presión para manipular a las víctimas con el fin de que se perjudiquen involuntariamente a sí mismas o a sus organizaciones.

En un intento típico de phishing, un hacker pretende ser alguien en quien la víctima puede confiar, como un colega, jefe, figura de autoridad o representante de una marca conocida. El hacker envía un mensaje que indica a la víctima que pague una factura, abra un archivo adjunto, haga clic en un enlace o realice alguna otra acción.

Ya que confían en la supuesta fuente del mensaje, el usuario sigue las instrucciones y cae directamente en la trampa del estafador. Esa "factura" podría dirigirse directamente a la cuenta de un hacker. Ese archivo adjunto podría instalar ransomware en el dispositivo del usuario. Ese enlace podría llevar al usuario a un sitio web que roba números de tarjetas de crédito, números de cuentas bancarias, credenciales de inicio de sesión u otros datos personales.

El phishing es popular entre los delincuentes cibernéticos y es muy eficaz. Según el informe del costo de una filtración de datos de IBM, el phishing es el vector de filtración de datos más común, ya que representa el 15 % de todas las filtraciones. Las filtraciones causadas por phishing cuestan a las organizaciones un promedio de 4.88 millones de dólares.

El phishing es una amenaza importante porque explota a las personas en lugar de las vulnerabilidades tecnológicas. Los atacantes no necesitan vulnerar los sistemas directamente ni burlar las herramientas de ciberseguridad . Pueden engañar a las personas que tienen acceso autorizado a su objetivo, ya sea dinero, información confidencial u otra cosa, para que hagan su trabajo sucio.

Los phishers pueden ser estafadores solitarios o bandas criminales sofisticadas. Pueden utilizar el phishing para diversos fines maliciosos, como el robo de identidad, el fraude con tarjetas de crédito, el robo de dinero, la extorsión, el robo de cuentas, el espionaje y más.

Los objetivos de phishing van desde personas comunes hasta grandes corporaciones y agencias del gobierno. En uno de los ataques de phishing más conocidos, los hackers rusos emplearon un correo electrónico falso de restablecimiento de contraseña para robar miles de correos electrónicos de la campaña presidencial estadounidense de Hillary Clinton en 2016.¹

Debido a que las estafas de phishing manipulan a los seres humanos, las herramientas y técnicas estándar de monitoreo de redes no siempre pueden detectar estos ataques en curso. De hecho, en el ataque de la campaña de Clinton, incluso el help desk de TI de la campaña pensó que los correos electrónicos fraudulentos de restablecimiento de contraseña eran auténticos. 

Para combatir el phishing, las organizaciones deben combinar herramientas avanzadas de detección de amenazas con una educación estable de los empleados para garantizar que los usuarios puedan identificar con precisión y responder de manera segura a los intentos de estafa.

La palabra "phishing" juega con el hecho de que los estafadores emplean "anzuelos" atractivos para engañar a sus víctimas, de la misma manera que los pescadores emplean cebos para pescar peces reales. En el phishing, los señuelos son mensajes fraudulentos que parecen creíbles y evocan emociones fuertes como el miedo, la codicia y la curiosidad. 

Los tipos de anzuelos que emplean los estafadores de phishing dependen de a quién y qué persiguen. Algunos ejemplos comunes de ataques de phishing incluyen:

En el phishing por correo electrónico masivo, los estafadores envían indiscriminadamente correos electrónicos no deseados a la mayor cantidad de personas posible, con la esperanza de que una fracción de los objetivos caigan en el engaño.

Los estafadores a menudo crean correos electrónicos que parecen provenir de grandes compañías legítimas, como bancos, minoristas en línea o los creadores de aplicaciones populares. Al hacerse pasar por marcas conocidas, los estafadores aumentan las posibilidades de que sus objetivos sean clientes de esas marcas. Si un objetivo interactúa regularmente con una marca, es más probable que abra un correo electrónico de phishing que aparente provenir de esa marca.

Los delincuentes cibernéticos hacen todo lo posible para que los correos electrónicos de phishing parezcan genuinos. Podrían utilizar el logotipo y la marca del remitente suplantado. Podrían suplantar direcciones de correo electrónico para que parezca que el mensaje proviene del nombre de dominio del remitente suplantado. Incluso podrían copiar un correo electrónico auténtico del remitente suplantado y modificarlo con fines maliciosos.

Los estafadores escriben líneas de asunto de correo electrónico para apelar a emociones fuertes o crear una sensación de urgencia. Los estafadores astutos emplean temas que el remitente suplantado podría abordar, como "Problema con su pedido" o "Su factura está adjunta".

El cuerpo del correo electrónico indica al destinatario que realice una acción aparentemente razonable que resulte en la divulgación de información confidencial o la descarga de malware. Por ejemplo, un enlace de phishing podría decir: "Haga clic aquí para actualizar su perfil". Cuando la víctima hace clic en ese enlace malicioso, se dirige a un sitio web falso que roba sus credenciales de inicio de sesión. 

Algunos estafadores miden el tiempo de sus campañas de phishing para alinearse con días festivos y otros eventos donde las personas son más susceptibles a la presión. Por ejemplo, los ataques de phishing contra los clientes de Amazon a menudo se incrementan en torno a Prime Day, el evento anual de ventas del minorista en línea.² Los estafadores envían correos electrónicos sobre ofertas falsas y problemas de pago para aprovechar que la gente baja la guardia.

El phishing focalizado es un ataque de phishing dirigido a una persona concreta. El objetivo suele ser una persona con acceso privilegiado a datos sensibles o con una autoridad especial que el estafador puede explotar, como un gerente financiero que puede transferir dinero de las cuentas de la empresa.

Un phisher focalizado estudia a su objetivo para recopilar la información que necesita para hacerse pasar por alguien en quien confía, como un colega, jefe, compañero de trabajo, proveedor o institución financiera. Las redes sociales y sitios de redes profesionales, donde las personas felicitan públicamente a sus colegas, recomiendan proveedores y suelen compartir demasiado, son fuentes de información valiosas para la investigación de phishing dirigido.

Los phishers focalizados emplean su investigación para elaborar mensajes que contienen detalles personales específicos, haciéndolos parecer altamente creíbles para el objetivo. Por ejemplo, un phisher focalizado podría hacerse pasar por el jefe del objetivo y enviar un correo electrónico que diga: "Sé que te vas de vacaciones esta noche, pero ¿podrías pagar esta factura antes del cierre de hoy?"

Un ataque de phishing focalizado a un ejecutivo de nivel C, una persona adinerada o a otro objetivo de alto valor se llama un ataque de phishing de ballena o ataque whaling.

BEC es una clase de ataques de phishing focalizado que intentan robar dinero o información valiosa, por ejemplo, secretos comerciales, datos de clientes o información financiera de una empresa u otra organización.

Los ataques BEC pueden adoptar varias formas. Los dos más comunes son los siguientes:

• Fraude del CEO: el estafador se hace pasar por un ejecutivo de nivel C, a menudo secuestrando la cuenta de correo electrónico del ejecutivo. El estafador envía un mensaje a un empleado de nivel inferior indicándole que transfiera fondos a una cuenta fraudulenta, realice una compra a un proveedor fraudulento o envíe archivos a un tercero no autorizado.
  
  
• Compromiso de la cuenta de correo electrónico (EAC): El estafador pone en peligro la cuenta de correo electrónico de un empleado de nivel inferior, como la cuenta de un gerente de finanzas, ventas o investigación y desarrollo. El estafador emplea la cuenta para enviar facturas fraudulentas a los proveedores, instruir a otros empleados para que realicen pagos fraudulentos o aplicar acceso a datos confidenciales.

Los ataques BEC pueden estar entre los ciberataques más costosos, y los estafadores suelen robar millones de dólares a la vez. En un ejemplo notable, un grupo de estafadores robó más de 100 millones de dólares de Facebook y Google al hacerse pasar por un proveedor legítimo de software.³

Algunos estafadores de BEC se están alejando de estas tácticas de alto perfil para lanzar pequeños ataques contra más objetivos. Según el Grupo de Trabajo Antiphishing (APWG), los ataques BEC se hicieron más frecuentes en 2023, pero los estafadores pedían menos dinero en promedio con cada ataque.⁴

El phishing por SMS, o smishing, emplea mensajes de texto falsos para engañar a los objetivos. Los estafadores suelen hacerse pasar por el proveedor de servicios inalámbricos de la víctima, enviando un mensaje de texto que ofrece un "regalo gratis" o pidiendo al usuario que actualice la información de su tarjeta de crédito.

Algunos smishers se hacen pasar por el Servicio Postal de Estados Unidos u otra compañía de envíos. Envían mensajes de texto que dicen a las víctimas que deben pagar una tarifa para recibir un paquete que ordenaron.

El phishing por voz, o vishing, es el phishing mediante llamada telefónica. Los incidentes de vishing se dispararon en los últimos años, aumentando un 260% entre 2022 y 2023 según el APWG.⁵ El aumento del vishing se debe en parte a la disponibilidad de tecnología de voz sobre IP (VoIP), que los estafadores pueden emplear para realizar millones de llamadas de vishing automatizadas al día. 

Los estafadores suelen emplear la suplantación de identidad de llamadas para hacer que sus llamadas parezcan provenir de organizaciones legítimas o números de teléfono locales. Las llamadas de vishing suelen asustar a los destinatarios con advertencias de problemas de procesamiento de tarjetas de crédito, pagos vencidos o problemas con las autoridades fiscales. Los destinatarios terminan proporcionando datos confidenciales o dinero a los delincuentes cibernéticos para "resolver" sus problemas.

El phishing en redes sociales emplea plataformas de redes sociales para engañar a las personas. Los estafadores emplean las capacidades de mensajería integradas de las plataformas, como Facebook Messenger, LinkedIn InMail y X (anteriormente Twitter) DMs, de la misma manera que utilizan el correo electrónico y los mensajes de texto.

Los estafadores a menudo se hacen pasar por usuarios que necesitan la ayuda del objetivo para iniciar sesión en su cuenta o ganar un concurso. Emplean esta artimaña para robar las credenciales de inicio de sesión del objetivo y tomar el mando de su cuenta en la plataforma. Estos ataques pueden ser especialmente costosos para las víctimas que emplean las mismas contraseñas en varias cuentas, una práctica muy común.

Los estafadores constantemente diseñan nuevas técnicas de phishing para evitar la detección. Algunos desarrollos recientes incluyen:

El phishing con IA emplea herramientas de inteligencia artificial (IA) generativa para crear mensajes de phishing. Estas herramientas pueden generar correos electrónicos y mensajes de texto personalizados que carecen de errores ortográficos, inconsistencias gramaticales y otras señales de alerta comunes de intentos de phishing.

La IA generativa también puede ayudar a los estafadores a escalar sus operaciones. Según el Índice X-Force Threat Intelligence de IBM, un estafador tarda 16 horas en elaborar un correo electrónico de phishing manualmente. Con la IA, los estafadores pueden crear mensajes aún más convincentes en solo cinco minutos.

Los estafadores también emplean generadores de imágenes y sintetizadores de voz para agregar más credibilidad a sus esquemas. Por ejemplo, en 2019, los atacantes emplearon la IA para clonar la voz del CEO de una compañía energética y estafar a un gerente bancario por 243,000 dólares.⁷

Quishing emplea códigos QR falsos incrustados en correos electrónicos y mensajes de texto o publicados en el mundo real. El quishing permite a los hackers ocultar sitios web y software maliciosos a plena vista.

Por ejemplo, la Comisión Federal de Comercio (FTC) de EE. UU. advirtió el año pasado sobre una estafa en la que los delincuentes reemplazan los códigos QR en los parquímetros públicos con sus propios códigos que roban datos de pago.⁶

Los ataques híbridos de vishing combinan el phishing de voz con otros métodos para evadir los filtros de spam y ganar la confianza de las víctimas.

Por ejemplo, un estafador podría enviar un correo electrónico que finja provenir del IRS. Este correo electrónico le dice al destinatario que hay un problema con su declaración de impuestos. Para resolver el problema, el objetivo debe llamar al número de teléfono proporcionado en el correo electrónico, que lo conecta directamente con el estafador.

Los detalles pueden variar de una estafa a otra, pero hay algunas señales comunes que indican que un mensaje podría ser un intento de phishing. Estos signos incluyen:

Debido a que las estafas de phishing se dirigen a las personas, los empleados suelen ser la primera y última línea de defensa de una organización contra estos ataques. Las organizaciones pueden enseñar a los usuarios a reconocer los signos de intentos de phishing y responder a correos electrónicos y mensajes de texto sospechosos. Esto puede incluir ofrecer a los empleados formas sencillas de denunciar intentos de phishing al equipo de TI o de seguridad.

Las organizaciones también pueden establecer políticas y prácticas que dificulten el éxito de los phishers.

Por ejemplo, las organizaciones pueden prohibir que las personas inicien transferencias monetarias por correo electrónico. Pueden exigir a los empleados que verifiquen las solicitudes de dinero o información al contactar al solicitante por medios distintos a los proporcionados en el mensaje. Por ejemplo, los empleados pueden escribir directamente una URL en su navegador en lugar de hacer clic en un enlace, o llamar a la línea de oficina de un colega en lugar de responder a un mensaje de texto de un número desconocido.

Las organizaciones pueden complementar la capacitación de los empleados y las políticas de la empresa con herramientas de seguridad que ayuden a detectar mensajes de phishing y desbaratar a los hackers que los utilizan para infiltrarse en las redes.

• Los filtros de spam y el software de seguridad de correo electrónico utilizan datos sobre estafas de phishing existentes y algoritmos de aprendizaje automático para identificar correos electrónicos de phishing y otros mensajes de spam. Las estafas y el spam se trasladan a una carpeta aparte, donde se erradican los enlaces y códigos maliciosos.
  
  
• El software antivirus y antimalware puede detectar y neutralizar archivos o códigos maliciosos transportados por correos electrónicos de phishing.
  
  
• La autenticación multifactor puede evitar que los hackers se apoderen de las cuentas de usuario. Los phishers pueden robar contraseñas, pero les resulta mucho más difícil robar un segundo factor, como un escaneo de huellas dactilares o un código de acceso de un solo uso.
  
  
• Las herramientas de seguridad endpoint como las soluciones de detección y respuesta de endpoints (EDR)) y gestión unificada endpoint pueden emplear inteligencia artificial (IA) y analytics avanzados para interceptar intentos de phishing y bloquear malware.
  
  
• Los filtros web evitan que los usuarios visiten sitios web maliciosos conocidos y muestran alertas cada vez que los usuarios visitan páginas sospechosas. Estas herramientas pueden ayudar a mitigar el daño si un usuario hace clic en un enlace de phishing.
  
  
• Las soluciones de ciberseguridad empresarial, como las plataformas de orquestación, automatización y respuesta de seguridad (SOAR) y gestión de eventos e información de seguridad (SIEM) emplean la IA y la automatización para detectar y responder a las actividades anómalas. Estas soluciones pueden ayudar a detener a los phishers que intentan instalar malware o apoderarse de cuentas.