Actualizado: 17 de mayo de 2024
Colaborador: Mateo Kosinski
Los ataques de phishing emplean correos electrónicos, mensajes de texto, llamadas telefónicas o sitios web fraudulentos para engañar a las personas para que compartan datos confidenciales, descarguen malware o se expongan a la ciberdelincuencia.
Los ataques de phishing son una forma de ingeniería social. A diferencia de otros ciberataques que se dirigen directamente a redes y recursos, los ataques de ingeniería social emplean errores humanos, historias falsas y tácticas de presión para manipular a las víctimas con el fin de que se perjudiquen involuntariamente a sí mismas o a sus organizaciones.
En un intento típico de phishing, un hacker pretende ser alguien en quien la víctima puede confiar, como un colega, jefe, figura de autoridad o representante de una marca conocida. El hacker envía un mensaje que indica a la víctima que pague una factura, abra un archivo adjunto, haga clic en un enlace o realice alguna otra acción.
Ya que confían en la supuesta fuente del mensaje, el usuario sigue las instrucciones y cae directamente en la trampa del estafador. Esa "factura" podría dirigirse directamente a la cuenta de un hacker. Ese archivo adjunto podría instalar ransomware en el dispositivo del usuario. Ese enlace podría llevar al usuario a un sitio web que roba números de tarjetas de crédito, números de cuentas bancarias, credenciales de inicio de sesión u otros datos personales.
El phishing es popular entre los delincuentes cibernéticos y es muy eficaz. Según el Informe del costo de una filtración de datos de IBM, el phishing es el vector de filtración de datos más común, ya que representa el 16 % de todas las filtraciones. Las filtraciones causadas por phishing cuestan a las organizaciones un promedio de USD 4.76 millones, que es más alto que el costo promedio general de las filtraciones de USD 4.45 millones.
El phishing es una amenaza importante porque explota a las personas en lugar de las vulnerabilidades tecnológicas. Los atacantes no necesitan vulnerar los sistemas directamente ni burlar las herramientas de ciberseguridad . Pueden engañar a las personas que tienen acceso autorizado a su objetivo, ya sea dinero, información confidencial u otra cosa, para que hagan el trabajo sucio.
Los phishers pueden ser estafadores solitarios o bandas criminales sofisticadas. Pueden usar el phishing para muchos fines maliciosos, incluido el robo de identidad, el fraude con tarjetas de crédito, el robo monetario, la extorsión, la apropiación de cuentas, el espionaje y más.
Los objetivos de phishing van desde personas comunes hasta grandes corporaciones y agencias del gobierno. En uno de los ataques de phishing más conocidos, los hackers rusos emplearon un correo electrónico falso de restablecimiento de contraseña para robar miles de correos electrónicos de la campaña presidencial estadounidense de Hillary Clinton en 2016.1
Debido a que las estafas de phishing manipulan a los seres humanos, las herramientas y técnicas estándar de monitoreo de redes no siempre pueden detectar estos ataques en curso. De hecho, en el ataque de la campaña de Clinton, incluso el help desk de TI de la campaña pensó que los correos electrónicos fraudulentos de restablecimiento de contraseña eran auténticos.
Para combatir el phishing, las organizaciones deben combinar herramientas avanzadas de detección de amenazas con una educación estable de los empleados para garantizar que los usuarios puedan identificar con precisión y responder de manera segura a los intentos de estafa.
Nuestro equipo de hackers, personal de respuesta, investigadores y analistas de inteligencia de X-Force está disponible para analizar los desafíos de seguridad específicos de su organización y cómo podemos ayudar.
Regístrese para obtener el Índice X-Force Threat Intelligence
La palabra "phishing" juega con el hecho de que los estafadores emplean "anzuelos" atractivos para engañar a sus víctimas, de la misma manera que los pescadores emplean cebos para pescar peces reales. En el phishing, los señuelos son mensajes fraudulentos que parecen creíbles y evocan emociones fuertes como el miedo, la codicia y la curiosidad.
Los tipos de anzuelos que emplean los estafadores de phishing dependen de a quién y qué persiguen. Algunos ejemplos comunes de ataques de phishing incluyen:
En el phishing por correo electrónico masivo, los estafadores envían indiscriminadamente correos electrónicos no deseados a tantas personas como sea posible, con la esperanza de que una fracción de los objetivos caigan en el ataque.
Los estafadores a menudo crean correos electrónicos que parecen provenir de grandes compañías legítimas, como bancos, minoristas en línea o los creadores de aplicaciones populares. Al hacerse pasar por marcas conocidas, los estafadores aumentan las posibilidades de que sus objetivos sean clientes de esas marcas. Si un objetivo interactúa de manera regular con una marca, es más probable que abra un correo electrónico de phishing que finja provenir de esa marca.
Los delincuentes cibernéticos hacen todo lo posible para que los correos electrónicos de phishing parezcan genuinos. Podrían utilizar el logotipo y la marca del remitente suplantado. Podrían suplantar direcciones de correo electrónico para que parezca que el mensaje proviene del nombre de dominio del remitente suplantado. Incluso podrían copiar el correo electrónico genuino del remitente suplantado y modificarlo para fines maliciosos.
Los estafadores escriben líneas de asunto de correo electrónico para apelar a emociones fuertes o crear una sensación de urgencia. Los estafadores astutos emplean temas que el remitente suplantado podría abordar, como "Problema con su pedido" o "Su factura está adjunta".
El cuerpo del correo electrónico indica al destinatario que realice una acción aparentemente razonable que resulte en la divulgación de información confidencial o la descarga de malware. Por ejemplo, un enlace de phishing podría decir: "Haga clic aquí para actualizar su perfil". Cuando la víctima hace clic en ese enlace malicioso, se dirige a un sitio web falso que roba sus credenciales de inicio de sesión.
Algunos estafadores miden el tiempo de sus campañas de phishing para alinearse con días festivos y otros eventos donde las personas son más susceptibles a la presión. Por ejemplo, los ataques de phishing contra los clientes de Amazon a menudo se incrementan en torno a Prime Day, el evento anual de ventas del minorista en línea.2 Los estafadores envían correos electrónicos sobre ofertas falsas y problemas de pago para aprovechar que la gente baja la guardia.
El phishing focalizado es un ataque de phishing dirigido a una persona concreta. El objetivo suele ser alguien con acceso privilegiado a datos confidenciales o con autoridad especial que el estafador puede explotar, como un director financiero que puede mover dinero de las cuentas de la compañía.
Un phisher focalizado estudia a su objetivo para recopilar la información que necesita para hacerse pasar por alguien en quien confía, como un colega, jefe, compañero de trabajo, proveedor o institución financiera. Las redes sociales y los sitios de redes profesionales, donde las personas felicitan públicamente a sus colegas de trabajo, reconocen a los proveedores y tienden a compartir en exceso, son ricas fuentes de información para la investigación de phishing focalizado.
Los phishers focalizados emplean su investigación para elaborar mensajes que contienen detalles personales específicos, haciéndolos parecer altamente creíbles para el objetivo. Por ejemplo, un phisher focalizado podría hacerse pasar por el jefe del objetivo y enviar un correo electrónico que diga: "Sé que te vas de vacaciones esta noche, pero ¿podrías pagar esta factura antes del cierre de hoy?"
Un ataque de phishing focalizado dirigido a un ejecutivo de nivel C, una persona adinerada u otro objetivo de alto valor se denomina whale phishing o ataque whaling .
BEC es una clase de ataques de phishing focalizado que intentan robar dinero o información valiosa, por ejemplo, secretos comerciales, datos de clientes o información financiera de una compañía u otra organización.
Los ataques BEC pueden adoptar varias formas. Los dos más comunes son los siguientes:
Los ataques BEC pueden estar entre los ciberataques más costosos, y los estafadores suelen robar millones de dólares a la vez. En un ejemplo notable, un grupo de estafadores robó más de 100 millones de dólares de Facebook y Google al hacerse pasar por un proveedor legítimo de software.3
Algunos estafadores de BEC se están alejando de estas tácticas de alto perfil para lanzar pequeños ataques contra más objetivos. Según el Grupo de Trabajo Antiphishing (APWG), los ataques BEC se hicieron más frecuentes en 2023, pero los estafadores pedían menos dinero en promedio con cada ataque.4
El phishing por SMS, o smishing, emplea mensajes de texto falsos para engañar a los objetivos. Los estafadores suelen hacerse pasar por el proveedor de servicios inalámbricos de la víctima, enviando un mensaje de texto que ofrece un "regalo gratis" o pidiendo al usuario que actualice la información de su tarjeta de crédito.
Algunos smishers se hacen pasar por el Servicio Postal de Estados Unidos u otra compañía de envíos. Envían mensajes de texto que dicen a las víctimas que deben pagar una cuota para recibir un paquete que ordenaron.
El phishing por voz, o vishing, es el phishing mediante llamada telefónica. Los incidentes de vishing se dispararon en los últimos años, aumentando un 260% entre 2022 y 2023 según el APWG.5 El aumento del vishing se debe en parte a la disponibilidad de tecnología de voz sobre IP (VoIP), que los estafadores pueden emplear para realizar millones de llamadas de vishing automatizadas al día.
Los estafadores suelen emplear la suplantación de identidad de llamadas para hacer que sus llamadas parezcan provenir de organizaciones legítimas o números de teléfono locales. Las llamadas de vishing suelen asustar a los destinatarios con advertencias de problemas de procesamiento de tarjetas de crédito, pagos vencidos o problemas con las autoridades fiscales. Los destinatarios terminan proporcionando datos confidenciales o dinero a los delincuentes cibernéticos para "resolver" sus problemas.
El phishing en redes sociales emplea plataformas de redes sociales para engañar a las personas. Los estafadores emplean las capacidades de mensajería integradas de las plataformas; por ejemplo, Facebook Messenger, LinkedIn InMail y X (anteriormente Twitter), de la misma manera que emplean el correo electrónico y los mensajes de texto.
Los estafadores a menudo se hacen pasar por usuarios que necesitan la ayuda del objetivo para iniciar sesión en su cuenta o ganar un concurso. Emplean esta artimaña para robar las credenciales de inicio de sesión del objetivo y tomar el mando de su cuenta en la plataforma. Estos ataques pueden ser especialmente costosos para las víctimas que emplean las mismas contraseñas en varias cuentas, una práctica muy común.
Los estafadores constantemente diseñan nuevas técnicas de phishing para evitar la detección. Algunos desarrollos recientes incluyen:
El phishing con IA emplea herramientas de inteligencia artificial (IA) generativa para crear mensajes de phishing. Estas herramientas pueden generar correos electrónicos y mensajes de texto personalizados que carecen de errores ortográficos, inconsistencias gramaticales y otras señales de alerta comunes de intentos de phishing.
La IA generativa también puede ayudar a los estafadores a escalar sus operaciones. Según el Índice X-Force Threat Intelligence deIBM, un estafador tarda 16 horas en elaborar un correo electrónico de phishing manualmente. Con la IA, los estafadores pueden crear mensajes aún más convincentes en solo cinco minutos.
Los estafadores también emplean generadores de imágenes y sintetizadores de voz para agregar más credibilidad a sus esquemas. Por ejemplo, en 2019, los atacantes emplearon la IA para clonar la voz del CEO de una compañía energética y estafar a un gerente bancario por 243,000 dólares.7
Quishing emplea códigos QR falsos incrustados en correos electrónicos y mensajes de texto o publicados en el mundo real. El quishing permite a los hackers ocultar sitios web y software maliciosos a plena vista.
Por ejemplo, la Comisión Federal de Comercio (FTC) de EE. UU. advirtió el año pasado sobre una estafa en la que los delincuentes reemplazan los códigos QR en los parquímetros públicos con sus propios códigos que roban datos de pago.6
Los ataques híbridos de vishing combinan el phishing de voz con otros métodos para evadir los filtros de spam y ganar la confianza de las víctimas.
Por ejemplo, un estafador podría enviar un correo electrónico que finja provenir del IRS. Este correo electrónico le dice al destinatario que hay un problema con su declaración de impuestos. Para resolver el problema, el objetivo debe llamar al número de teléfono proporcionado en el correo electrónico, que lo conecta directamente con el estafador.
Los detalles pueden variar de una estafa a otra, pero hay algunas señales comunes que indican que un mensaje podría ser un intento de phishing. Estos signos incluyen:
Las estafas de phishing intentan hacer que las víctimas sientan una sensación de urgencia para que actúen rápidamente sin pensar. Los estafadores suelen hacer esto invocando emociones fuertes como el miedo, la codicia y la curiosidad. Podrían imponer límites de tiempo y amenazar con consecuencias poco realistas, como penas de cárcel.
Las artimañas comunes de phishing incluyen:
Las estafas de phishing suelen pedir una de dos cosas: dinero o datos. Las solicitudes de pago o información personal no solicitadas o inesperadas pueden ser signos de ataques de phishing.
Los estafadores disfrazan sus solicitudes de dinero como facturas vencidas, multas o tarifas por servicios. Disfrazan las solicitudes de información como avisos para actualizar la información de pago o de la cuenta o restablecer una contraseña.
Muchas bandas de phishing operan a nivel internacional, lo que significa que a menudo escriben mensajes de phishing en idiomas que no hablan con fluidez. Por lo tanto, muchos intentos de phishing contienen errores gramaticales e inconsistencias.
Los mensajes de marcas legítimas a menudo contienen detalles específicos. Pueden dirigirse a los clientes por su nombre, hacer referencia a números de pedido específicos o explicar con precisión cuál es el problema. Un mensaje vago como "Hay un problema con su cuenta" sin más detalles es una señal de alerta.
Los estafadores suelen emplear URL y direcciones de correo electrónico que parecen legítimas a primera vista. Por ejemplo, un correo electrónico de "admin@rnicrosoft.com" puede parecer seguro, pero revíselo. La "m" en "Microsoft" es en realidad una "r" y una "n".
Otra táctica común es emplear una URL como "bankingapp.scamsite.com". Un usuario podría pensar que esto enlaza con bankingapp.com, pero en realidad apunta a un subdominio de scamsite.com. Los hackers también pueden emplear servicios de acortamiento de enlaces para disfrazar URL maliciosas.
Los estafadores pueden enviar archivos y archivos adjuntos que el objetivo no solicitó y no espera. Pueden usar imágenes de texto en lugar de texto real en mensajes y sitios web para evitar los filtros de spam.
Algunos estafadores hacen referencia a temas delicados para irritar a las víctimas. Por ejemplo, IBM X-Force descubrió que los estafadores suelen emplear el conflicto en Ucrania para avivar las emociones de las víctimas.
Debido a que las estafas de phishing se dirigen a las personas, los empleados suelen ser la primera y última línea de defensa de una organización contra estos ataques. Las organizaciones pueden enseñar a los usuarios a reconocer los signos de intentos de phishing y responder a correos electrónicos y mensajes de texto sospechosos. Esto puede incluir ofrecer a los empleados formas sencillas de denunciar intentos de phishing al equipo de TI o de seguridad.
Las organizaciones también pueden establecer políticas y prácticas que dificulten el éxito de los phishers.
Por ejemplo, las organizaciones pueden prohibir que las personas inicien transferencias monetarias por correo electrónico. Pueden exigir a los empleados que verifiquen las solicitudes de dinero o información al contactar al solicitante por medios distintos a los proporcionados en el mensaje. Por ejemplo, los empleados pueden escribir una URL directamente en su navegador, en lugar de hacer clic en un enlace; o llamar a la línea de la oficina de un colega, en lugar de responder a un mensaje de texto de un número desconocido.
Las organizaciones pueden complementar la formación de los empleados y las políticas de la compañía con herramientas de seguridad que ayuden a detectar los mensajes de phishing y frustrar a los hackers que lo emplean para entrar en las redes.
Realice evaluaciones de riesgos casi en tiempo real impulsadas por IA y proteja las aplicaciones y los datos críticos con las soluciones de seguridad móvil de IBM.
Ofrezca una experiencia del cliente fluida y fomente la confianza en la identidad digital con detección de fraude en tiempo real impulsada por IA.
IBM Security Trusteer Rapport ayuda a las instituciones financieras a detectar y prevenir infecciones de malware y ataques de phishing protegiendo a sus clientes comerciales y minoristas.
Manténgase al día sobre las novedades, tendencias y técnicas de prevención de phishing en Security Intelligence, el blog de liderazgo de opinión a cargo de IBM Security®.
Descubra por qué y cómo las organizaciones emplean simulaciones de phishing para fortalecer las defensas contra los ataques de ingeniería social.
Al comprender las causas y los factores que aumentan o reducen los costos de las filtraciones, usted estará mejor preparado para enfrentarlas. Basado en las experiencias de más de 550 organizaciones que enfrentaron filtraciones de datos del mundo real.
Todos los enlaces se encuentran fuera de ibm.com
1 How Russian hackers pried into Clinton Campaign emails, Associated Press, 4 de noviembre de 2017.
2 How cybercriminals are targeting Amazon Prime Day shoppers, TechRepublic, 6 de julio de 2022.
3 How this scammer used phishing emails to steal over USD 100 million from Google and Facebook, CNBC, 27 de marzo de 2019.
4, 5 Phishing Activity Trends Report,Anti-Phishing Working Group, 13 de febrero de 2024.
6 Quishing is the new phishing, ZDNET, 11 de diciembre de 2023.
7 That panicky call from a relative? It could be a thief using a voice clone, FTC warns, NPR, 22 de marzo de 2023.