¿Qué es el phishing? Tipos de ataques y consejos para prevenirlos
El phishing es un ataque cibernético cuyo objetivo es persuadir a las posibles víctimas a que revelen información confidencial, como contraseñas o números de tarjetas de crédito. Los cibercriminales consiguen su cometido fingiendo ser quienes no son y mostrando cierto grado de urgencia.
¿Cómo funciona el phishing?
El phishing es un método peligroso y efectivo de hackeo. Consiste en que los cibercriminales envían mensajes a personas o empresas con algún enlace o archivo malicioso. El objetivo es que hagan clic en esos enlaces para que se descargue malware o se les dirija a algún sitio web ilegítimo para robar su información personal. Los ataques de phishing se pueden perpetrar de distintas formas, en función del atacante y de la información que se intente proteger.
Con los años, el phishing se ha vuelto mucho más sofisticado. Se estima que el phishing está presente en alrededor del 32 % de todas las violaciones y en torno al 64 % de las organizaciones ha informado sobre intentos de phishing alguna vez en su trayectoria.
El principal problema del phishing es que puede ser difícil de detectar, ya que los métodos son cada vez más sofisticados, sobre todo con la aparición de la IA. Puede que haya abierto alguna vez un correo de phishing y no se haya dado cuenta, ya que los cibercriminales usan la ingeniería social para convencer a las víctimas desprevenidas de que abran archivos adjuntos sospechosos.
Técnicas de phishing de uso habitual
Ingeniería social
La ingeniería social es un ataque que manipula a la víctima para que actúe rápidamente con información engañosa. Un ejemplo consiste en aprovecharse del miedo a que Hacienda tome acciones contra la víctima. Este tipo de estafa de phishing es más habitual durante la campaña fiscal. El mensaje de phishing exige acciones inmediatas como "hágalo ahora o Hacienda tomará acciones legales", por lo que finalmente la víctima facilita la información confidencial al cibercriminal.
Otros ejemplos más sofisticados incluyen, por ejemplo, mensajes ilegítimos procedentes de compañeros de trabajo y superiores o mensajes que contienen información confirmada del destinatario. Estos ejemplos pueden vulnerar la información en formas muy variadas.
Imitación de enlaces
La imitación de enlaces se utiliza a menudo junto con la ingeniería social. Tomaremos como ejemplo una estafa en la que se manipula a la víctima para que crea que debe dinero a Hacienda. Esta accede al enlace proporcionado que, a simple vista, parece real. A primera vista, el enlace parecerá legítimo, incluso puede que contenga lo que parece ser la URL correcta del sitio web de Hacienda. Una vez que la víctima accede al enlace, se la redirige a un sitio web falso donde se solicita la información. Cuando la víctima introduce la información, el cibercriminal sabrá lo que es y podrá después usarla para sus propios fines ilícitos.
¿Qué ocurre cuando hace clic en un enlace de phishing?
Un enlace de phishing puede redirigir a la víctima a un sitio web falso, descargar un archivo adjunto malicioso o instalar malware en el dispositivo o red.
Un ataque de phishing puede alterar por completo la red de una organización secuestrándola o robando información. Un ataque puede obligar a una organización a cesar sus servicios digitales durante un periodo de tiempo indefinido y causar importantes pérdidas de ingresos y daños adicionales por culpa del malware. Además, las empresas pueden tener que hacer frente a multas e impactos en su reputación tras una violación.
Un ataque de phishing también es peligroso para particulares, ya que provocan pérdidas financieras o el robo de identidades.
Ataques de phishing por correo electrónico
Los ataques de phishing por correo electrónico están entre los ataques de phishing más comunes y versátiles, además de ser normalmente los más efectivos. Estos ataques utilizan a menudo la ingeniería social para manipular a los usuarios y que hagan clic en enlaces maliciosos o descarguen malware.
Tipos de phishing por correo electrónico
Spear phishing
Se trata de un ataque de phishing dirigido que aprovecha la información personal para causar el máximo daño. El atacante ya conoce datos de la víctima, como el número de teléfono, la dirección, el nombre completo e incluso el número de la seguridad social. Aprovecha esta información para hacer que los archivos adjuntos o los enlaces de phishing parezcan más reales.
Whale phishing
Se trata de un ataque similar al spear phishing excepto que en este caso el objetivo es un pez gordo, es decir, un objetivo notorio en lugar de un particular o la red de una pequeña empresa. La intención es conseguir acceso a datos de alto nivel, a sistemas internos o a información clasificada.
Clone phishing
En este tipo de ataque de phishing, los cibercriminales clonan y reenvían mensajes auténticos a los que añaden malware o enlaces maliciosos con la intención de engañar a los destinatarios y que hagan clic en ellos.
Otros tipos de ataques de phishing
Smishing
El smishing es igual que el phishing por correo electrónico, pero en este caso el ataque se realiza mediante mensajes SMS. La víctima recibe un mensaje similar a un correo de phishing por mensaje de texto con un enlace o un archivo para descargar.
Vishing
Vishing es un tipo de phishing más sofisticado y en ocasiones más efectivo, ya que incluye una persona real con la que se habla por teléfono. El objetivo del atacante es conseguir información, normalmente datos de tarjetas de crédito, con fines económicos. Las personas mayores son las más propensas a caer en este tipo de ataque.
Angler phishing o phishing social
Consiste en que el atacante se hace pasar por un representante legítimo de atención al cliente y convence a la víctima para que revele información personal.
Malvertising
Se trata de un ataque en el que los cibercriminales pagan a anunciantes reales para que muestren anuncios en sus sitios web o redes sociales. Cuando el usuario hace clic en el anuncio malicioso, se le redirige a un sitio web falso que descarga malware en sus dispositivos.
Cómo protegerse de los ataques de phishing
Use un gestor de contraseñas
Un gestor de contraseñas puede protegerle de los ataques de phishing ayudándole a crear, gestionar y almacenar contraseñas de forma segura. Los gestores de contraseñas como Keeper Password Manager incluyen avisos sobre sitios web de phishing. Si sus credenciales de acceso guardadas no se muestran en el sitio web al que ha accedido, es probable que esté en el sitio equivocado. Además, el generador de contraseñas integrado le ayuda a crear contraseñas seguras y aleatorias para reemplazar las vulneradas y limitar el riesgo de sufrir un ataque de completado de credenciales.
No haga clic en enlaces o archivos adjuntos no solicitados
Si recibe enlaces y archivos adjuntos no solicitados por correo electrónico, mensajes de texto u otras plataformas de mensajería, no haga clic en ellos. Es posible que contengan malware con el que podrían robarle información o espiarle.
Si no está seguro de si un enlace es seguro, desplace el ratón por encima del enlace para ver la dirección completa del sitio web o utilice una herramienta como Google Transparency Report.
Use un analizador de correos electrónicos
Un analizador de correos electrónicos es una herramienta que examina los archivos adjuntos de los correos electrónicos en busca de malware. Invertir en un analizador de correos electrónicos le ayudará a protegerse de los intentos de ataques de phishing por correo.
Cómo proteger su empresa de los ataques de phishing
Formación de los empleados
Forme a sus empleados sobre los peligros del phishing, los distintos tipos que existen y cómo prevenir estos ataques. También puede realizar exámenes de phishing aleatorios para que su equipo esté alerta.
Use un gestor de contraseñas empresarial
El uso de una solución de gestión de contraseñas en su empresa le garantiza que sus contraseñas se almacenan de forma segura y que solo están disponibles para las personas adecuadas. Keeper Security, por ejemplo, ofrece funciones de acceso específicas según el rol y las carpetas compartidas para restringir quién puede ver determinados registros o credenciales. Nuestras sólidas funciones empresariales también incluyen auditorías e informes de contraseñas, que proporcionan actualizaciones útiles sobre la higiene de las contraseñas del equipo y facilitan la aplicación de las políticas de contraseñas.
Use un software antivirus
Un programa antivirus detecta, aísla y elimina el malware descargado en los dispositivos de los empleados. También puede analizar correos electrónicos, archivos específicos o rutas en dispositivos en busca de malware u otros virus. Existe una gran cantidad de programas antivirus gratuitos y para empresas en la web.
