Los ataques de phishing son correos electrónicos fraudulentos, mensajes de texto, llamadas telefónicas o sitios web diseñados para engañar a los usuarios para que descarguen malware, compartan información confidencial o datos personales (por ejemplo, números del seguro social, tarjetas de crédito, cuentas bancarias o credenciales de inicio de sesión) u otras acciones que los expongan a sí mismos o a sus organizaciones a los delitos cibernéticos.
Con frecuencia, los ataques de phishing exitosos conducen al robo de identidad, fraude con tarjetas de crédito, ataques de ransomware, filtraciones de datos y grandes pérdidas financieras para personas físicas y corporaciones.
El phishing es el tipo más común de ingeniería social, la práctica de engañar, presionar o manipular a las personas para que envíen información o activos a las personas equivocadas. Para que los ataques de ingeniería social logren sus objetivos dependen de errores humanos y tácticas de presión. El agresor suele hacerse pasar por una persona u organización que es de confianza para la víctima, por ejemplo, un compañero de trabajo, un jefe, una empresa con la que la víctima o su empleador mantienen una relación comercial, y crea una sensación de urgencia que lleva a la víctima a actuar de forma precipitada. Los hackers y los estafadores utilizan estas tácticas porque engañar a las personas es más fácil y menos costoso que hackear una computadora o red.
Según el FBI, los correos electrónicos de phishing son el método de ataque, o vector, más utilizado por los hackers para entregar ransomware a personas físicas y organizaciones. Según el informe Cost of a Data Breach 2022 de IBM, el phishing es la segunda causa más común de filtraciones de datos (el año anterior era la cuarta causa más común). Además, el informe reveló que las filtraciones de datos causadas por el phishing fueron las más costosas, con un costo para las víctimas de 4,9 millones USD en promedio.
El phishing mediante correos electrónicos masivos es el tipo más común de ataque de phishing. El estafador crea un mensaje de correo electrónico que parece provenir de una empresa u organización importante, conocida y legítima (por ejemplo, un banco nacional o internacional, una empresa importante de venta minorista en línea, los creadores de una aplicación de software o aplicación popular) y envía el mensaje a millones de destinatarios. El phishing mediante correos electrónicos masivos es un juego de números: cuanto mayor sea la cantidad de destinatarios, o más popular sea el remitente suplantado, mayor será la probabilidad de que los destinatarios sean clientes, suscriptores o miembros.
Los ciberdelincuentes hacen todo lo posible para que el correo electrónico de phishing parezca legítimo. Suelen incluir el logotipo del remitente suplantado en el mensaje y enmascaran la dirección de correo electrónico de envío para incluir el nombre de dominio del remitente suplantado; algunos incluso falsifican el nombre de dominio del remitente, por ejemplo, utilizando "rnicrosoft.com". en lugar de "microsoft.com" para que parezca legítimo a primera vista.
La línea de asunto aborda un tema que el remitente suplantado podría abordar de manera creíble y que apela a emociones fuertes (miedo, codicia, curiosidad, un sentido de urgencia o premura de tiempo) para llamar la atención del destinatario. Las líneas de asunto habituales incluyen 'Por favor, actualice su perfil de usuario', 'Problema con su pedido', 'Sus documentos de cierre están listos para firmar', 'Su factura está adjunta'.
En el cuerpo del correo electrónico se indica al destinatario que realice una acción que parezca perfectamente razonable y coherente con el tema, pero que tendrá como resultado que el destinatario divulgue información confidencial (números de seguro social, cuentas bancarias, tarjetas de crédito, credenciales de inicio de sesión) o descargue un archivo que infecte el dispositivo o la red del destinatario.
Por ejemplo, es posible que se dirija a los destinatarios a "hacer clic aquí para actualizar su perfil", pero el hipervínculo subyacente los lleva a un sitio web falso que los engaña para que ingresen sus credenciales de inicio de sesión reales como parte del proceso de actualización del perfil. O se les puede indicar que abran un archivo adjunto que parece ser legítimo (por ejemplo, "invoice20.xlsx") pero eso infecta el dispositivo o red del destinatario con malware o código malicioso.
Spear phishing es un ataque de phishing que se dirige a una persona específica que tiene acceso privilegiado a datos confidenciales o recursos de red, o a una autoridad especial que el estafador puede aprovechar con fines fraudulentos o malintencionados.
Un spear phisher estudia al objetivo para recopilar la información necesaria para hacerse pasar por una persona o entidad en la que el objetivo realmente confía (un amigo, jefe, compañero de trabajo, colega, proveedor de confianza o institución financiera) o para hacerse pasar por el individuo objetivo. Las redes sociales, donde las personas felicitan públicamente a sus compañeros de trabajo, respaldan a colegas y proveedores y tienden a compartir demasiada información sobre reuniones, eventos o viajes, se han convertido en fuentes con abundante información para la investigación de phishing.
Con esta información, el spear phisher puede enviar un mensaje que contenga datos personales específicos o información financiera y una solicitud creíble al objetivo: "Sé que esta noche te vas de vacaciones, pero ¿puedes pagar esta factura (o transferir USD XXX.XX a esta cuenta) antes del cierre de la jornada laboral?".
Un ataque de phishing dirigido a un director ejecutivo, una persona adinerada o algún otro objetivo de nivel alto a menudo se denomina ataque de whale phishing o whaling.
El BEC es un tipo de ataque de spear phishing que intenta robar grandes sumas de dinero o información extremadamente valiosa, por ejemplo,secretos comerciales, datos de clientes o información financiera, a corporaciones o instituciones.
Los ataques mediante BEC pueden adoptar diferentes formas. Los dos más comunes son los siguientes:
Fraudes a directores ejecutivos: el estafador suplanta a un director ejecutivo y utiliza su cuenta de correo electrónico, o la piratea directamente, y envía un mensaje a un empleado de nivel inferior indicándole que transfiera fondos a una cuenta fraudulenta, realice una compra a un proveedor fraudulento o envíe archivos a una parte no autorizada.
Email account compromise (EAC): en este caso, el estafador obtiene acceso a la cuenta de correo electrónico de un empleado de nivel inferior, por ejemplo, un gerente de finanzas, ventas, investigación y desarrollo, y la utiliza para enviar facturas fraudulentas a proveedores, instruir a otros otros empleados para que realicen pagos o depósitos o para solicitar el acceso a datos confidenciales.
Como parte de estos ataques, los estafadores a menudo obtienen acceso a las cuentas de correo electrónico de la empresa mediante el envío de un mensaje de phishing spear a un ejecutivo o empleado con el fin de engañarlo para que divulgue las credenciales de la cuenta de correo electrónico (nombre de usuario y contraseña). Por ejemplo, un mensaje como "Su contraseña está a punto de caducar. Haga clic en este enlace para actualizar su cuenta' podría ocultar un enlace malicioso a un sitio web falso diseñado para robar información de la cuenta.
Independientemente de las tácticas utilizadas, los ataques de BEC exitosos se encuentran entre los ciberataques más costosos. En uno de los ejemplos más conocidos de BEC, los hackers que suplantaban a un CEO convencieron al departamento financiero de su empresa para que transfiriera 42 EUR millones a una cuenta bancaria fraudulenta..
El phishing por SMS, o smishing, es el phishing mediante mensajes de texto de teléfonos móviles o teléfonos inteligentes. Los esquemas de smishing más eficaces son los contextuales, es decir, los que están relacionados con la gestión de cuentas o aplicaciones de teléfonos inteligentes. Por ejemplo, los destinatarios pueden recibir un mensaje de texto que ofrece un regalo como "agradecimiento" por pagar una factura de servicio móvil, o pedirles que actualicen la información de su tarjeta de crédito para seguir usando un servicio de medios de streaming.
El phishing por voz, o vishing, es phishing a través de una llamada telefónica. Gracias a la tecnología de voz sobre IP (VoIP), los estafadores pueden hacer millones de llamadas de vishing de forma automatizada por día; a menudo usan falsificación del identificador de llamadas para hacer que sus llamadas aparezcan como si provinieran de organizaciones legítimas o números telefónicos locales. Las llamadas de vishing suelen asustar a los destinatarios con advertencias de problemas de procesamiento de tarjetas de crédito, pagos vencidos o problemas con las autoridades fiscales. Las personas que responden terminan proporcionando datos confidenciales a las personas que trabajan para los ciberdelincuentes; algunas incluso terminan otorgando el control a distancia de sus computadoras a los estafadores que hicieron la llamada telefónica.
El phishing en redes sociales utiliza varias capacidades de una plataforma de redes sociales para hacer suplantación de identidad en busca de información confidencial de los miembros. Los estafadores utilizan las funciones de mensajería propias de las plataformas, por ejemplo, Facebook Messenger, LinkedIn messaging o InMail o mensajes directos de Twitter, de forma muy parecida a como utilizan el correo electrónico y los mensajes de texto normales. También envían a los usuarios correos electrónicos de phishing que parecen provenir del sitio de redes sociales, pidiendo a los destinatarios que actualicen las credenciales de inicio de sesión o la información de pago. Estos ataques pueden ser especialmente costosos para las víctimas que usan las mismas credenciales de inicio de sesión en múltiples sitios de redes sociales, una de las "peores prácticas" que es demasiado frecuente.
Aplicación o mensajería dentro de la aplicación. Las aplicaciones populares de dispositivos móviles y las aplicaciones basadas en la web (software como servicio o SaaS) envían mensajes de correo electrónico a sus usuarios periódicamente. Como resultado, estos usuarios son presa fácil de campañas de phishing que imitan correos electrónicos de proveedores de aplicaciones o software. Jugando de nuevo al juego de los números, los estafadores suelen falsificar correos electrónicos de las aplicaciones y aplicaciones web más populares, por ejemplo, PayPal, Microsoft Office 365 o Teams, para aprovechar al máximo su inversión en phishing.
Se alienta a las organizaciones a enseñar a los usuarios a reconocer las estafas de phishing y a desarrollar las prácticas recomendadas para tratar cualquier correo electrónico o mensaje de texto sospechoso. Por ejemplo, se puede enseñar a los usuarios a reconocer los rasgos característicos de los correos electrónicos de phishing, por ejemplo:
- Solicitudes de información confidencial o personal, o para actualizar el perfil o la información de pago
- Solicitudes para enviar o transferir dinero
- Archivos adjuntos que el destinatario no solicitó ni esperaba
- La sensación de urgencia, ya sea sin disimulo ("Su cuenta se cerrará hoy...") o sutil (por ejemplo, la solicitud de un colega para que pague una factura inmediatamente), amenazas de encarcelamiento u otras consecuencias poco realistas.
- Amenazas de encarcelamiento u otras consecuencias poco realistas
- Mala ortografía o gramática
- Dirección de remitente incoherente o falsificada
- Enlaces acortados mediante Bit.Ly o algún otro servicio de acortamiento de enlaces
- Imágenes de texto utilizadas en lugar de texto (en mensajes o en páginas web vinculadas a mensajes)
Esta es solo una lista parcial. Lamentablemente, los piratas informáticos siempre están ideando nuevas técnicas de phishing para evitar que los detecten.Las publicaciones como el informe Phishing Trends Activity Report del grupo de trabajo para eliminar el phishing (enlace externo a ibm.com) pueden ayudar a las organizaciones a mantenerse al tanto.
Las organizaciones también pueden promover o hacer cumplir las prácticas recomendadas que ejercen menos presión sobre los empleados para que sean detectives de phishing. Por ejemplo, las organizaciones pueden establecer y comunicar políticas aclaratorias; a modo de ilustración, un superior o colega nunca enviará por correo electrónico una solicitud de transferencia de fondos. Pueden exigir que los empleados verifiquen toda solicitud de información personal o confidencial poniéndose en contacto con el remitente o visitando el sitio legítimo del remitente directamente, utilizando medios distintos a los proporcionados en el mensaje. Y pueden insistir en que los empleados informen sobre los intentos de phishing y correos electrónicos sospechosos al grupo de TI o de seguridad.
Aunque cuenten con la mejor capacitación y a pesar de las prácticas recomendadas rigurosas, los usuarios siguen cometiendo errores. Afortunadamente, varias tecnologías de seguridad de redes y de endpoint, tanto establecidas como emergentes, pueden ayudar a los equipos de seguridad a retomar la batalla contra el phishing a partir del limite alcanzado por la formación y las políticas.
Los filtros de spam y el software de seguridad de correo electrónico utilizan datos sobre estafas de phishing existentes y algoritmos de aprendizaje automático para identificar correos electrónicos sospechosos de phishing (entre otros correos no deseados) y luego moverlos a una carpeta separada y deshabilitar los enlaces que contengan.
El software antivirus y antimalware detecta y neutraliza los archivos maliciosos o códigos en correos electrónicos de phishing.
La autenticación multifactor requiere al menos una credencial de inicio de sesión, además del nombre de usuario y la contraseña, por ejemplo, un código único enviado al teléfono celular del usuario. Al proporcionar una última línea de defensa adicional contra las estafas de phishing u otros ataques que logran comprometer las contraseñas, la autenticación multifactor puede socavar los ataques de spear phishing y evitar los BEC.
Los filtros web evitan que los usuarios visiten sitios web maliciosos conocidos (sitios incluidos en la lista negra) y muestran alertas cada vez que los usuarios visitan sitios web sospechosos de ser maliciosos o falsos.
Soluciones de ciberseguridad empresarial, por ejemplo orquestación, automatización y respuesta de seguridad (SOAR), gestión de eventos e información de seguridad (SIEM), detección y respuesta de endpoints (EDR), detección y respuesta de red (NDR) y respuesta y detección extendidas (XDR)combinan las tecnologías anteriores, entre otras, con inteligencia contra amenazas que se actualiza continuamente y capacidades de respuesta a incidentes de forma automatizada. Estas soluciones pueden ayudar a las organizaciones a prevenir las estafas de phishing antes de que lleguen a los usuarios y limitar el impacto de los ataques de phishing que superan las defensas tradicionales de endpoints o de redes.
Detecte amenazas avanzadas que otros simplemente pasan por alto. QRadar SIEM aprovecha el análisis y la IA para monitorear la información sobre amenazas, la red y las anomalías del comportamiento del usuario, y para priorizar dónde se necesita atención y corrección inmediata.
IBM Trusteer Rapport ayuda a las instituciones financieras a detectar y prevenir infecciones de malware y ataques de phishing protegiendo a sus clientes minoristas y empresariales.
Proteja los endpoints de los ciberataques, detecte comportamientos anómalos y corrija casi en tiempo real con esta solución de detección y respuesta de endpoints (EDR) sofisticada, pero fácil de usar.
Manténgase al día sobre las novedades, tendencias y técnicas de prevención de phishing en Security Intelligence, el blog de liderazgo de pensamiento a cargo de IBM Security.
El ransomware es una forma de malware que amenaza con destruir o retener los datos o archivos de la víctima a menos que se pague un rescate al atacante para descifrar y restaurar el acceso a los datos.
En su 17.ª edición, este informe comparte los datos más recientes sobre el creciente panorama de las amenazas, y ofrece recomendaciones para ahorrar tiempo y limitar las pérdidas.