Phishing

El phishing hace referencia a cualquier intento de obtener información confidencial, como nombres de usuario, contraseñas o datos bancarios, a menudo con fines maliciosos, haciéndose pasar por una entidad de confianza en una comunicación electrónica.

El phishing es un ejemplo de técnica de social engineering utilizada para engañar a los usuarios y explotar las debilidades en la seguridad de la red. Se han realizado varios intentos para controlar el aumento de los casos notificados de phishing, en especial mediante legislación, formación del personal y los usuarios en general, educación pública y protocolos de seguridad de red estandarizados.

El phishing se lleva a cabo típicamente a través de comunicación digital directa. Un ataque suele redirigir a los usuarios a introducir información sensible en un sitio web falso, de aspecto similar al del legítimo. La correspondencia, que afirma haberse originado en redes sociales, sitios de subastas o minoristas, instituciones financieras o administradores de redes y TI, se utiliza para tender trampas a los usuarios. Los correos electrónicos de phishing pueden contener enlaces a malware distribuido, lo que podría dañar aún más el sistema de la víctima.

Tipos de phishing

Además de las técnicas estándar de phishing, se pueden emplear tipos de phishing específicos para alcanzar diferentes objetivos.

• Spear phishing: ataque de spoofing por correo electrónico que se dirige a una organización o individuo específico para obtener acceso no autorizado a información sensible. Los atacantes suelen recopilar información personal sobre el objetivo previsto para aumentar las probabilidades de éxito.
• Phishing de clonación: consiste en robar un correo electrónico auténtico y previamente válido, copiar su contenido y dirección de destinatario, y luego crear una versión idéntica o clonada del correo electrónico. Los archivos adjuntos o enlaces legítimos del correo original se reemplazan por software malicioso, y el mensaje se envía desde una dirección falsa para engañar a la víctima haciéndole creer que es auténtico.
• Whaling: ataque de phishing diseñado contra un alto cargo, según su puesto en la empresa. El contenido de un correo electrónico de whaling suele adoptar la forma de una citación legal, una queja de cliente o un tema ejecutivo. Los correos electrónicos de whaling están pensados para parecerse a un correo electrónico empresarial crítico, enviado por una autoridad empresarial legítima.

Características comunes de los correos electrónicos de phishing

En lo que respecta a seguridad web, es importante reconocer los aspectos más comunes de un ataque de phishing. Los usuarios a menudo son la única razón por la que los ataques de phishing logran su cometido, de modo que evitar los principales escollos puede ayudar a las empresas a evitar las amenazas de ciberseguridad.

• Afirmaciones impactantes: las ofertas lucrativas y las afirmaciones llamativas o que captan la atención están diseñadas para no pasar desapercibidas. Por ejemplo, muchas afirman que el destinatario ha ganado un premio, como un teléfono, un sorteo de lotería u otro tipo de lujo.
• Urgencia: una táctica común entre los ciberdelincuentes es solicitar a la víctima que actúe rápidamente antes de que finalice una oportunidad. La mayoría de las organizaciones fiables dan un tiempo considerable antes de cerrar una cuenta y nunca solicitan de manera informal a sus usuarios que actualicen sus datos personales en internet.
• Hipervínculos: un enlace puede no ser lo que aparenta. Al pasar el cursor sobre un enlace, se muestra la URL real, que puede no tener ninguna relación con el texto del enlace. A veces puede parecer un sitio web seguro, pero con una ortografía ligeramente alterada —por ejemplo, con el número 1 en sustitución de una "l" minúscula—.
• Archivos adjuntos: los archivos adjuntos inesperados en los correos electrónicos deben tratarse con precaución. A menudo contienen cargas útiles como ransomware u otros tipos de virus.
• Remitente inusual: el spam de bajo nivel a menudo se remite desde usuarios desconocidos o de aspecto sospechoso. Si recibe un correo electrónico de alguien desconocido que parece actuar de manera sospechosa, contenga el impulso de responder demasiado rápido, si es que responde en absoluto.

Evitar ataques de phishing

• Respuestas sociales: forme a las personas para que reconozcan los intentos de phishing y los aborden. La educación puede ser eficaz, especialmente cuando la formación hace hincapié en el conocimiento conceptual.
• Alertas de navegador: mantenga una lista de sitios de phishing conocidos y verifique si los sitios web están en la lista. Uno de estos servicios es la Navegación segura de Google Chrome.
• Eliminar correos de phishing: filtros de spam especializados, que reducen el número de correos electrónicos de phishing que llegan al buzón de los destinatarios o proporcionan corrección postentrega, analizando y eliminando los ataques de phishing mediante la integración a nivel de proveedor de correo electrónico.
• Monitorización y eliminación: servicios disponibles las 24 horas para supervisar, analizar y colaborar en el cierre de sitios web de phishing.
• Verificación y firma de transacciones: uso de un teléfono móvil (smartphone) o dirección de correo electrónico alternativa como canal de copia de seguridad para la autenticación y autorización de interacciones sensibles (como las transacciones financieras).

El phishing es una de las mayores amenazas para las empresas hoy en día. Un ataque de phishing materializado no solo puede costar dinero, sino también exponer a una empresa a violaciones de seguridad y de datos mucho más graves. Por eso la formación y la educación son importantes, ya que pueden reducir significativamente la tasa de ataques de phishing que consiguen su objetivo.