Definición

Se conoce como phishing a la estrategia en la que los atacantes envían correos electrónicos malintencionados diseñados para estafar a sus víctimas. La idea suele ser que los usuarios revelen información financiera, credenciales del sistema u otros datos delicados.

El phishing es un claro ejemplo de ingeniería social: una colección de técnicas que los estafadores emplean para manipular la psicología humana. Las técnicas de ingeniería social incluyen la falsificación, las mentiras y las falsas instrucciones. Todo esto puede estar presente en un ataque de phishing. Básicamente, estos correos electrónicos se sirven de la ingeniería social para animar a los usuarios a que actúen sin pensar mucho.

Historia del phishing

El término phishing (que en inglés suena igual que fishing, que literalmente significa: pescar) se acuñó a mediados de la década de 1990, cuando los hackers comenzaron a utilizar correos electrónicos fraudulentos para pescar información de usuarios incautos. Como a estos primeros hackers se les conocía como phreaks (que en inglés suena igual que freaks, literalmente fenómenos o frikis), el término pasó a conocerse como phishing, con “ph” (un baile de letras que en español sería: la pesca de los frikis). Un correo de phishing intenta engañar al destinatario con un cebo para que pique. Y, una vez que han mordido el anzuelo, tanto el usuario como la organización están en problemas.

Tal como ocurre con muchas amenazas comunes, la historia del phishing comienza en la década de 1990. Cuando AOL era un muy popular sistema de contenidos con acceso a internet, los atacantes usaban el phishing y la mensajería instantánea para hacerse pasar por empleados de AOL y convencer a los usuarios de que les dieran sus credenciales, con las cuales procedían a secuestrarles sus cuentas.

En la década del 2000, los atacantes comenzaron a enfocarse en cuentas bancarias. Los correos electrónicos de phishing se empleaban para convencer a los usuarios de que divulgasen las credenciales de sus cuentas bancarias. Los correos contenían un enlace a una página web malintencionada que lucía igual que la web del banco, pero el dominio era una variación del nombre oficial (por ejemplo, paypai.com en vez de paypal.com). Posteriormente, los atacantes fueron a por otros tipos de cuentas, como las de eBay y Google, para usar estas credenciales robadas para robar dinero, cometer fraudes o enviar correo no deseado a otros usuarios.

¿Por qué el phishing es un problema?

Los ciberdelincuentes utilizan los correos electrónicos de phishing porque es fácil, barato y eficaz. Las direcciones de email son fáciles de obtener y enviar correos electrónicos es prácticamente gratis. Con poco esfuerzo y a bajo coste, los atacantes pueden obtener acceso rápidamente a datos valiosos. Las víctimas de estas estafas pueden recibir infecciones de malware (incluyendo al ransomware), robo de identidad y pérdida de datos.

Los datos que buscan los hackers incluyen información personal identificable (PII)—como datos de cuentas financieras, números de tarjetas de crédito y registros médicos y fiscales—, así como datos empresariales delicados, tales como nombres de clientes e información de contacto, secretos relacionados con productos propios y comunicaciones confidenciales.

Los hackers también usan ataques de phishing para obtener acceso directo a cuentas de correo electrónico, redes sociales y otras cuentas, de modo de conseguir permiso para modificar y comprometer los sistemas conectados, como terminales de punto de ventas y sistemas de procesamiento de pedidos. Muchas de las principales filtraciones de datos ─como la de Target en el 2013, que apareció en primera plana─ comienzan por un correo de phishing. Mediante un correo aparentemente inocuo, los ciberdelincuentes logran hacerse con un punto de partida interno para cometer sus fechorías.

¿Cómo luce un correo electrónico de phishing?

Los atacantes se sirven del miedo y del sentido de la urgencia. Es común que los atacantes les digan a los usuarios que sus cuentas están restringidas o que se suspenderán si el usuario objetivo no responde al correo electrónico. El miedo logra que los usuarios víctimas ignoren las señales de advertencia más comunes y se olviden de sus conocimientos de phishing. Hasta los administradores y expertos en seguridad “pican” en estafas de vez en cuando.

En general, los correos electrónicos de phishing se envían a la mayor cantidad posible de personas, así que el saludo suele ser genérico.

Ejemplo de mensaje de un correo de phishing

En el mensaje anterior, el nombre del usuario no se menciona y la sensación de urgencia tiene como objetivo convencer al usuario de que abra el archivo adjunto.

El archivo adjunto puede ser una página web, un script de shell (por ejemplo, PowerShell) o un documento de Microsoft Office con una macro malintencionada. Las macros y los scripts se pueden usar para descargar malware o tratar de convencer a los usuarios de que divulguen las credenciales de sus cuentas.

Los atacantes registran dominios similares al oficial, o a veces emplean proveedores genéricos como Gmail. Es posible ocultar parcialmente la identidad del destinatario en los protocolos de correo electrónico, pero la mayoría de los servidores destinatarios emplean seguridad de correo electrónico capaz de detectar los encabezados falsificados. Cuando los usuarios reciben los correos, es posible que los mensajes contengan el logotipo oficial de la empresa, pero la dirección de remitente no tiene el dominio oficial de la empresa. La dirección del remitente es una potencial señal de alarma, pero no debería ser el único factor utilizado para determinar la legitimidad de un mensaje.

Principales mecanismos utilizados en los correos electrónicos de phishing

Los ciberatacantes usan tres mecanismos principales para robar información: enlaces web malintencionados, archivos adjuntos malintencionados y formularios falsos de introducción de datos.

Enlaces web malintencionados

Los enlaces, también conocidos como URL, son comunes en los correos electrónicos normales y también en los de phishing. Los enlaces malintencionados llevan a los usuarios a páginas web falsas o que están infectadas con software malintencionado, que se conoce también como malware. Los enlaces malintencionados se pueden “disfrazar” para que luzcan igual que los enlaces confiables y se incrustan en los logotipos u otras imágenes en un correo electrónico.

Aquí puede ver otro de los ejemplos de phishing en un correo electrónico recibido por usuarios de la Cornell University, una universidad de los Estados Unidos. Es un mensaje sencillo que ponía “Help Desk” (servicio de asistencia) como nombre del remitente. Sin embargo, el correo no provenía del servicio de asistencia, sino del dominio @connect.ust.hk. Según el equipo de TI de Cornell, el enlace incrustado en el correo electrónico llevaba a los usuarios a una página que lucía como la página de inicio de sesión de Office 365. El correo electrónico de phishing intentaba robar las credenciales de los usuarios.

Ejemplo de mensaje de phishing usando un falso servicio de atención al cliente

Ejemplo de phishing usando un mensaje de un paquete no recibido.

Archivos adjuntos malintencionados

Estos adjuntos lucen como archivos legítimos, pero realmente están infectados con malware que puede comprometer ordenadores y los archivos que contienen. En el caso del ransomware —un tipo de malware—todos los archivos de una PC podrían bloquearse y quedar inaccesibles. O también se podría instalar un registrador de teclas (“keylogger”) para detectar todo lo que un usuario escribe, incluyendo sus contraseñas. También es importante darse cuenta de que las infecciones de ransomware y de malware pueden propagarse de una PC a otros dispositivos conectados en red, tales como discos duros externos, servidores y hasta sistemas basados en la nube.

Otros ejemplos de phishing en la industria de la mensajería, se han alertado desde la página de FedEX, donde se ha publicado el texto de un correo electrónico fraudulento. Este correo exhortaba a los destinatarios que imprimiesen una copia de un recibo postal adjunto y que lo llevaran físicamente a una sede de FedEX para recuperar un paquete que no se había podido entregar. Desafortunadamente, el archivo adjunto contenía un virus que infectaba las computadoras de los destinatarios. Aunque este tipo de estafas basadas en falsos envíos son particularmente comunes durante la temporada de compras navideñas, pueden ocurrir en cualquier época del año.

Formularios falsos de inserción de datos

Estos correos electrónicos les solicitan a los usuarios que introduzcan información delicada, como ID de usuario, contraseñas, datos de tarjetas de crédito y números telefónicos. Una vez que los usuarios envían esa información, los cibercriminales pueden usarla para su beneficio personal.

Aquí les mostramos un ejemplo de phishing de una landing page o página de destino falsa que fue publicada en la página web de gov.uk. Después de hacer clic en un enlace de un correo de phishing, los usuarios son redireccionados a esta página fraudulenta que parece ser parte de la agencia tributaria HMRC. A los usuarios se les dice que pueden optar por un reembolso, pero que antes deben rellenar el formulario. Este tipo de información personal puede ser usada por delincuentes para una cantidad de actividades fraudulentas, incluyendo el robo de identidad.

Ejemplo de phishing en una pagina falsa de de la agencia tributaria HMRC

Líneas de “Asunto” que se suelen usar en el phishing

El asunto de un correo electrónico determina si el usuario abrirá o no el mensaje. En un ataque de phishing, la línea del asunto se aprovecha de los temores del usuario y de una sensación de urgencia.

Ejemplo de phishing suplantando una marca con falsos problemas de envío.

Es común que los atacantes utilicen mensajes que hablan de problemas con cuentas, envíos, información bancaria y transacciones financieras. Los mensajes relacionados con envíos son comunes durante la época navideña, porque hay mucha gente esperando recibir pedidos. Si un usuario no se da cuenta de que el dominio de la dirección del remitente no es legítimo, el usuario podría ser convencido para que haga clic en el enlace y divulgue datos delicados.

Tipos de ataques de phishing

El phishing ha evolucionado mucho más allá del simple robo de datos y de credenciales. La manera en que el atacante configure su campaña depende del tipo de phishing. Los diferentes tipos incluyen:

  • Spear phishing: estos mensajes de correo electrónico se envían a personas específicas dentro de una organización, típicamente titulares de cuentas con alto nivel de privilegios.
  • Manipulación de enlaces: los mensajes contienen un enlace a una página malintencionada que luce igual que la página oficial de una empresa.
  • Fraude a directores generales (CEO): estos mensajes se envían principalmente a personas del sector financiero para hacerles creer que el CEO u otro ejecutivo les está pidiendo que transfieran dinero.
  • Inyección de contenidos: un atacante capaz de inyectar contenidos malintencionados en una página oficial puede engañar a los usuarios para que accedan a la página y mostrarles una ventana emergente malintencionada o redirigirlos a una página web de phishing.
  • Malware: a los usuarios se les convence de hacer clic o abrir un archivo adjunto que puede descargar malware en sus dispositivos.
  • Smishing: usando mensajes de SMS, los atacantes engañan a los usuarios para que accedan a páginas web malintencionadas desde sus smartphones.
  • Vishing: los atacantes utilizan software de modificación de voz para dejar un mensaje en el que le dicen a la víctima que deben llamar a un número telefónico en el que pueden ser estafados.
  • Wi-Fi de “gemelo malvado”: suplantando a una red Wi-Fi, los atacantes engañar a los usuarios para que se conecten a una red malintencionada para poder ejecutar ataques de intermediario.

Ejemplos de phishing

La manera en que un atacante lleva a cabo la campaña de phishing depende de sus objetivos. Para empresas, es común que los atacantes opten por usar facturas falsas para convencer al departamento de cuentas por pagar que les envíen dinero. En este ataque, el remitente no es importante. Muchos proveedores usan cuentas personales de correo electrónico para sus operaciones comerciales.

Ejemplo de phishing usando una factura falsa.

En este ejemplo de phishing, el botón morado abre una página web con un falso formulario de autenticación de Google. La página intenta convencer a las víctimas para que introduzcan sus credenciales de Google, que los atacantes usarán después para robarles sus cuentas.

Otro ejemplo de phishing es un método que usan los atacantes para fingir que son parte del equipo de soporte técnico. El correo electrónico de soporte técnico les pide a los usuarios que instalen un sistema de mensajería con malware oculto, o que ejecuten un script que descarga ransomware. Los usuarios deben prestar mucha atención a esta clase de correos electrónicos y denunciarlos ante los administradores.

¿Qué es un kit de phishing?

Como el phishing es eficaz, los atacantes utilizan kits de phishing para simplificar sus operaciones. Son los componentes del “back-end” de una campaña de phishing. El kit incluye el servidor web, los elementos de la página web (es decir, imágenes y configuración de la página web oficial) y el almacenamiento utilizado para recopilar credenciales del usuario. Otro componente que existe son los dominios registrados. Los criminales registran docenas de dominios para enviar sus mensajes de phishing, de esta manera pueden alternar rápidamente entre unos y otros cuando los filtros de correo no deseado los identifican como malintencionados. Al tener docenas de dominios, los criminales pueden cambiar el dominio en la URL de phishing y reenviar mensajes a objetivos adicionales.

Los kits de phishing también están diseñados para evitar la detección. Los scripts del “back-end” bloquean grandes bloques de direcciones IP que pertenecen a organizaciones especializadas en virus y en investigaciones de seguridad, como McAfee, Google, Symantec y Kaspersky, para que no puedan encontrar dominios de phishing. Los dominios que se utilizan suelen lucir como páginas legítimas e inocuas ante los especialistas en seguridad, pero muestran contenidos de phishing a los usuarios objetivo.

Dónde ocurre

Es importante tener presentes las consecuencias de resultar víctima de un ataque de phishing, tanto en casa como en el trabajo. Aquí le indicamos tan solo algunos de los problemas que pueden surgir al resultar víctima de un correo de phishing:

En su vida personal

  • Robo de dinero de cuentas bancarias.
  • Cargos fraudulentos en tarjetas de crédito.
  • Declaraciones de impuestos realizadas a nombre de una persona.
  • Préstamos e hipotecas contraídos a nombre de una persona.
  • Pérdida de acceso a fotos, videos, archivos y otros documentos importantes.
  • Publicaciones falsas en redes sociales hechas en las cuentas de una persona.

En el trabajo

  • Pérdida de fondos corporativos.
  • Divulgación de información personal de clientes y compañeros de trabajo.
  • Los intrusos pueden acceder a comunicaciones confidenciales, archivos y sistemas.
  • Los archivos se bloquean y se vuelven inaccesibles.
  • Perjuicio a la reputación del empleador.
  • Multas financieras por infringir las reglas de cumplimiento.
  • Pérdida de valor de la compañía.
  • Disminución en la confianza de los inversores.
  • Interrupciones a la productividad que afectan a los ingresos.

Phishing y teletrabajo

La pandemia ha cambiado radicalmente la manera de trabajar para la mayoría de las organizaciones y los empleados. El trabajo remoto se ha convertido en el estándar, así que los dispositivos corporativos y personales han pasado a ser de presencia obligada en el lugar de trabajo. Este cambio en el entorno laboral les dio una ventaja a los atacantes. Los usuarios no cuentan con ciberseguridad de nivel corporativo en sus casas, así que la seguridad para correo electrónico es menos eficaz, lo que a su vez les da a los atacantes una mayor probabilidad de ejecutar exitosamente una campaña de phishing.

Como ahora los empleados trabajan desde casa, es más importante para las organizaciones el formarlos para que adquieran conciencia acerca del phishing. Los casos de suplantación de identidad de ejecutivos y proveedores oficiales han aumentado durante la pandemia. Como los empleados aun necesitan tener acceso a los sistemas corporativos, un atacante puede enfocarse en cualquier empleado que trabaje desde casa para obtener acceso remoto al entorno. Los administradores fueron obligados a configurar accesos remotos rápidamente, así que la ciberseguridad del entorno fue dejada de lado en favor de la comodidad. Esta urgencia generó vulnerabilidades que los atacantes podían explotar, muchas de las cuales eran debido a errores humanos.

Si combinamos una mala ciberseguridad con el hecho de que los empleados optan por conectarse desde sus dispositivos personales, el resultado es una miríada de oportunidades para los atacantes. El phishing aumentó en el mundo entero. Google ha reportado un repunte del 350% en la creación de páginas web de phishing a comienzos de 2020, después de los confinamientos por la pandemia.

Sectores más propensos a sufrir ataques

El objetivo de la mayoría del phishing es obtener beneficios financieros, por lo que los atacantes suelen enfocarse en sectores muy específicos. El objetivo podría ser tanto una organización entera como usuarios individuales. Los sectores más propensos a sufrir estos ataques son:

  • Tiendas en línea (e-commerce).
  • Redes sociales.
  • Bancos y otras instituciones financieras.
  • Sistemas de pago (procesadoras de tarjetas).
  • Compañías de TI.
  • Compañías de telecomunicaciones.
  • Compañías de envíos.

Marcas más suplantadas

Con la finalidad de engañar a la mayor cantidad posible de personas, los atacantes usan marcas establecidas. Las marcas establecidas generan confianza en los destinatarios, lo que incrementa la posibilidad de éxito del ataque. Cualquier marca se puede utilizar en el phishing, pero algunas de las más comunes son:

  • Google
  • Microsoft
  • Amazon
  • Chase
  • Wells Fargo
  • Bank of America
  • Apple
  • LinkedIn
  • FedEx
  • DHL

Protección contra el phishing

La protección contra el phishing es una importante medida de seguridad que las empresas pueden implementar para evitar ataques a sus empleados y su organización. La capacitación y formación para conciencia de seguridad, que permite a los individuos detectar y reconocer cuándo luce sospechoso un correo electrónico definitivamente ayuda a reducir la cantidad de ataques que tienen éxito. Sin embargo, como el comportamiento del usuario no es predecible, es fundamental la detección del phishing basada en soluciones.

La formación, aplicada a ejemplos y ejercicios reales, ayuda a los usuarios a identificar el phishing. Es muy común que las organizaciones trabajen con expertos para enviar correos electrónicos de phishing simulados a los empleados y que rastreen quién abre el correo y clica en el enlace. A estos empleados se les puede capacitar en mayor profundidad para que no cometan los mismos errores en futuros ataques.

Algunas soluciones de email gateway basadas en la reputación son capaces de detectar y clasificar los correos de phishing basándose en la mala reputación que pueden tener las URL incrustadas. Lo que estas soluciones suelen ser incapaces de detectar son los correos bien redactados que contienen URL de páginas web legítimas que se encuentran comprometidas y que no tienen mala reputación al momento de la entrega del correo electrónico.

Los sistemas más eficaces logran identificar los correos electrónicos sospechosos basándose en el análisis de anomalías, que busca y detecta patrones inusuales en el tráfico para identificar correos electrónicos sospechosos y después reescribe la URL incrustada y realiza una vigilancia constante sobre la URL para detectar “exploits” y descargas integradas en la página. Estas herramientas de monitorización ponen en cuarentena a los mensajes sospechosos de correo electrónico, para que los administradores puedan investigar ataques de phishing continuos. Si se detecta una gran cantidad de correos electrónicos de phishing, los administradores pueden alertar a los empleados y reducir las posibilidades de que se perpetre una campaña de phishing dirigido.

La escena de la ciberseguridad evoluciona continuamente, especialmente en el mundo del phishing. Para las corporaciones es clave el estar siempre en comunicación con sus empleados y brindarles formación para que estén bien enterados de las técnicas más recientes de phishing y de ingeniería social. Mantener a los empleados conscientes de las amenazas más recientes reduce los riesgos y genera una cultura de ciberseguridad en la organización.

Estadísticas de phishing

El phishing representa una gigantesca amenaza para individuos y empresas por igual. Las siguientes estadísticas brindan una imagen de la extensión y gravedad de los ataques de phishing:

241,324

ataques de phishing fueron reportados en el 2020, lo que representa un aumento estimado del 110% en comparación con los 114.702 incidentes reportados en el 2019.

75%

de los encuestados en los EE. UU. han sido víctimas de un ataque de phishing.

96%

de los ataques de phishing se ejecutan por correo electrónico.

3,92 millones de USD

es el coste medio para una organización que resulta víctima de una campaña de phishing.

Cómo actuar ante el phishing

Después de que la víctima ha enviado su información a un atacante, lo más probable es que esta se comparta con otros estafadores. Es probable que también reciba mensajes de vishing y de smishing, nuevos correos electrónicos de phishing y llamadas de voz. Manténgase siempre alerta ante mensajes sospechosos que le pidan información suya o detalles financieros.

La Comisión Federal de Comercio tiene una página web dedicada específicamente a identificar robos para ayudarle a mitigar los daños y a monitorizar su calificación crediticia. Si ha clicado en un enlace o ha abierto un archivo adjunto sospechoso, su computadora podría tener malware instalado. Para detectar y eliminar el malware, asegúrese de que su software antivirus esté actualizado y tenga instaladas las revisiones más recientes.

Paquete de formación antiphishing

Formar a los empleados para que puedan detectar el phishing ha demostrado ser un componente fundamental en la concienciación y prevención, para garantizar que su organización no se convierta en la próxima víctima. Tan solo un empleado que “pique” en una campaña de phishing abre la posibilidad de que la empresa protagonice la siguiente filtración de datos reportada.

La simulación de phishing es lo más puntero en formación para empleados. La aplicación práctica de un ataque activo, brinda a los empleados experiencia de primera mano en cómo se perpetran estos ataques. La mayoría de las simulaciones también conllevan el uso de la ingeniería social, porque los atacantes suelen combinar ambas para unas campañas más eficaces. Las simulaciones se realizan tal como en un escenario de phishing real, pero monitorizando la actividad de los empleados.

Los informes y análisis les revelan a los administradores en dónde puede mejorar la organización, porque permiten descubrir qué ataques de phishing lograron engañar a los empleados. Las simulaciones que incluyen enlaces están vinculadas a los informes mediante el seguimiento a quién hace clic en un enlace malintencionado, qué empleados introducen sus credenciales en una página malintencionada, y si hay mensajes de correo electrónico que disparen automáticamente los filtros de correo no deseado. Los resultados se pueden utilizar para configurar filtros de spam y para reforzar la capacitación y formación en la organización en pleno.

Los clientes de Proofpoint usan el Anti-Phishing Training Suite (Paquete de capacitación anti-phishing) y la Continuous Training Methodology (Metodología de formación continua) para reducir hasta en un 90% los ataques de phishing eficaces y las infecciones de malware. Este enfoque único de cuatro pasos (evaluar, capacitar, reforzar y medir), puede constituir la base del programa de capacitación ante el phishing de cualquier tipo de empresa.

Preguntas frecuentes de phishing

¿Cómo informar acerca de los correos electrónicos de phishing?

Si le parece que está siendo víctima de una campaña de phishing, el primer paso es reportarlo a las personas correctas. En una red corporativa, lo mejor es informar al departamento de informática, para que puedan revisar el mensaje y determinar si es una campaña dirigida. En el caso de ataques individuales, se puede denunciar el fraude y el phishing a la FTC.

¿Qué es el trap phishing?

El phishing tiene múltiples avatares, pero una manera eficaz de lograr que las personas “piquen” en fraudes es simular ser un remitente de una organización legítima. Una trampa atrae a los usuarios a una página web malintencionada usando referencias comerciales conocidas y usando el diseño de una página web con el mismo logotipo, estilos e interfaz que un banco, tienda de e-commerce u otra marca conocida que pueda ser reconocida por el usuario objetivo. Esto también se conoce como un watering hole o ataque de abrevadero.

¿Qué es el barrel phishing?

Para evitar los filtros, un atacante puede enviar un correo electrónico inicial, en apariencia benigno, para crear confianza en el objetivo. Después, se le envía un segundo correo electrónico con un enlace o solicitud de información delicada. El barrel phishing (que en español significa, literalmente, “pescar en un barril”) exige más dedicación al atacante, pero el efecto puede ser mucho más dañino, porque los usuarios objetivo sienten que pueden confiar en el remitente del correo electrónico.

¿Cómo identificar un correo electrónico de phishing?

El principal objetivo del phishing es robar credenciales (phishing de credenciales), información delicada, o convencer al individuo de que envíe dinero. Tenga siempre cuidado con aquellos mensajes que solicitan información delicada o envían un enlace que usted debe autenticar de inmediato.

Estudio del Ponemon Institute sobre el coste del phishing en 2021

Los ataques de phishing cuestan a las grandes empresas casi 15 millones de dólares al año, o más de 1500 dólares por empleado.

Un nuevo estudio del Ponemon Institute descubre que el coste de los timos de phishing es más del triple que en 2015

Las campañas de correo electrónico de phishing son una de las tácticas predilectas de muchos ciberdelincuentes. Son fáciles de ejecutar y reportan pingües beneficios a los ciberdelincuentes.

What to Do After Responding to a Phishing Email

Falling victim to phishing scams may result in detrimental effects, either in a home setup or at the office.