Conoce Atico34 - Solicita presupuesto
CiberseguridadConsejosGlosario

Phishing: Qué es y tipos. Identificarlo y características

El phishing es uno de los ciberataques más utilizado por los delincuentes que quieren hacerse con nuestros datos personales y bancarios, nuestras cuentas de usuario o nuestro dinero o todo a la vez. No se trata, desde luego, de una nueva amenaza, sino que lleva entre nosotros mucho tiempo, sin embargo, se siguen produciendo víctimas de este tipo de ataque.

Por ello, en este artículo vamos a explicar en qué consiste el phishing, qué tipos existen, cómo podemos identificarlos y cómo podemos protegernos. Porque los peligros de Internet están ahí, pero podemos protegernos de ellos con un poco de precaución y conocimientos.

¿Qué es phishing?

Si bien no existe una definición de phishing propiamente dicha, podemos definirlo como las técnicas o métodos empleados por los delincuentes cibernéticos para conseguir información confidencial de sus víctimas; esta información pueden ser datos personales, cuentas de usuario y contraseñas o datos bancarios. Por lo tanto, el phishing es un tipo de fraude informático.

El significado de phishing proviene de la palabra inglesa «fishing», que significa pesca, y mediante la cual se hace alusión al hecho de utilizar un cebo para conseguir que las víctimas del ataque piquen.

A los ciberdelincuentes que llevan a cabo ataques de phishing, se les denomina «phishers»

¿Cómo funciona el phishing?

Una de las características del phishing es que se trata de una técnica de ingeniería social que los ciberdelincuentes emplean para estafar a sus víctimas y conseguir sus objetivos.

Lo habitual es que envíen un email en el que se hacen pasar por alguna empresa u organización (como bancos, plataformas de streaming, tiendas online, etc.). El email hace mención a algún tipo de problema que necesita ser solucionado (es habitual la «amenaza» del bloqueo de tarjetas de crédito o cuentas de usuario) y contiene un link o enlace que la víctima tendrá que pulsar para solucionarlo.

Este enlace conduce, normalmente, a una web fraudulenta, pero que imita (en ocasiones muy bien) la página real de la compañía en cuestión. Aquí a la víctima se le pedirá ingresar diferentes tipos de datos, en función de la intención y objetivo del ataque de phishing y los hackers tras él, o directamente se descargará algún tipo de malware al ordenador de la víctima, que les permita acceder a la información almacenada en él.

Aunque lo habitual es recurrir al email para phishing, lo cierto es que existen otras vías de ataque, como los servicios de mensajería instantánea, los SMS, los mensajes en redes sociales o incluso las aplicaciones de mensajería de voz o el teléfono.

Lo mismo ocurre con el contenido que podemos encontrar en estos mensajes, si bien lo habitual es que hagan referencia a tarjetas o cuentas bancarias, también podemos encontrar otros tipos de asuntos como falsas ofertas de empleo, promoción de nuevos productos, supuestos sorteos en los que hemos resultado ganadores, cancelación de cuentas de usuario en juegos online, etc.

Como veremos más adelante, no existe un único tipo de ataque de phishing, si bien los objetivos suelen ser siempre similares, conseguir datos personales y bancarios de las víctimas.

¿Cuáles son los efectos del phishing?

Ser víctimas de las estafas con phishing puede tener consecuencias graves; desde el robo de datos personales (que los delincuentes pueden vender a terceros), pasando por el posible robo de dinero al hacerse con nuestros datos bancarios, ser víctimas de suplantación de identidad, hasta perder el control de nuestro ordenador y tener que pagar un rescate para recuperarlo, entre otras.

Esto a nivel particular, cuando el phishing afecta a una empresa, las consecuencias para esta pueden ser más graves, puesto que se produce una brecha de seguridad que puede poner en riesgo la información confidencial y datos personales de empleados y clientes de la compañía. También puede ser víctima de ransomware o acabar con muchos o todos los equipos conectados a la red interna infectados por algún tipo de virus.

Tipos de ataques de phishing

Como dijimos al comienzo de este artículo, existen diferentes tipos de ataques de phishing online, que todos necesitamos conocer, para poder identificarlos y protegernos de los mismos.

Con los años, algunos de estos ataques de phishing en informática se han ido sofisticando, haciendo que reconocerlos sea algo más complicado; es cierto que muchos intentos de phishing que nos llegan al email son bastante burdos y obvios, pero otros están mucho más cuidados y si no se presta especial atención a algunos detalles, podemos caer víctimas de ellos.

A continuación vamos a ver los ataques de phishing más empleados.

Warning phishing online

Spear Phishing

Si bien el phishing tradicional utiliza un enfoque de «echar la caña y esperar», lo que significa que se envían correos electrónicos masivos a la mayor cantidad de personas posible, el spear phishing es un ataque mucho más selectivo en el que el pirata informático sabe qué persona u organización específica persigue. Investigan el objetivo para hacer que el ataque sea más personalizado y aumentar la probabilidad de que el objetivo caiga en su trampa.

El empleo de técnicas de ingeniería social aquí es clave, sobre todo porque el hacker procurará conocer toda la información que pueda sobre su objetivo, para que el contenido del email sea lo más convincente posible.

Email / Spam

Es la técnica más común para llevar a cabo ataques de phishing informático; se envía el mismo correo electrónico a millones de usuarios con una solicitud para completar sus datos personales. Estos detalles serán utilizados por los phishers para sus actividades ilegales. La mayoría de los mensajes tienen una nota urgente que requiere que el usuario ingrese sus credenciales para actualizar la información de la cuenta, cambiar detalles o verificar cuentas. A veces, se les puede pedir que completen un formulario para acceder a un nuevo servicio a través de un enlace que se proporciona en el correo electrónico.

Durante los meses de confinamiento y ahora con las vacunas, hemos visto aumentar este tipo de ataques de phishing basados en el Covid-19.

Entrega basada en web

La entrega basada en web es una de las técnicas de phishing más sofisticadas. También conocido como «hombre en el medio», el hacker se encuentra entre el sitio web original y el sistema de phishing. El phisher rastrea detalles durante una transacción entre el sitio web legítimo y el usuario. A medida que el usuario continúa pasando información, los phishers la recopilan sin que el usuario lo sepa.

Manipulación de enlaces

La manipulación de enlaces o URL phishing es la técnica mediante la cual el phisher envía un enlace a un sitio web malicioso. Cuando el usuario hace clic en el enlace engañoso, abre el sitio web del phisher en lugar del sitio web mencionado en el enlace. Lo normal es que el aspecto del sitio web fraudulento sea idéntico al real que espera el usuario, de manera que no sospeche nada y caiga así en la manipulación del enlace.

Keyloggers

Los keyloggers se refieren al malware utilizado para identificar entradas desde el teclado. La información se envía a los piratas informáticos que descifrarán las contraseñas y otros tipos de información. Para evitar que los registradores de teclas accedan a información personal, los sitios web seguros ofrecen opciones para usar clics del ratón para hacer entradas a través del teclado virtual.

Troyano

Un troyano o caballo de Troya es un tipo de malware diseñado para engañar al usuario con una acción que parece legítima (por ejemplo, descargar un software gratuito), pero que en realidad permite el acceso no autorizado a la cuenta del usuario para recopilar credenciales a través de la máquina local. La información adquirida se transmite a los ciberdelincuentes.

Malvertising

El malvertising o publicidad maliciosa es aquella que contiene scripts activos diseñados para descargar malware o forzar contenido no deseado en su computadora. Los exploits en Adobe PDF y Flash son los métodos más comunes utilizados en anuncios malignos.

Secuestro de sesión

En el secuestro de sesión, el phisher explota el mecanismo de control de sesión web para robar información del usuario. En un procedimiento simple de pirateo de sesión conocido como sniffing de sesión, el phisher puede usar un sniffer para interceptar información relevante y poder acceder ilegalmente al servidor web.

Inyección de contenido

La inyección de contenido es la técnica en la que el phisher cambia una parte del contenido en la página de un sitio web confiable. Esto se hace para engañar al usuario para que vaya a una página fuera del sitio web legítimo donde se le pide al usuario que ingrese información personal.

Phishing a través de motores de búsqueda

Algunas estafas de phishing involucran motores de búsqueda donde el usuario es dirigido a sitios de productos que pueden ofrecer productos o servicios de bajo costo. Cuando el usuario intenta comprar el producto ingresando los datos de la tarjeta de crédito, el sitio de phishing lo recopila. Hay muchos sitios web de bancos falsos que ofrecen tarjetas de crédito o préstamos a los usuarios a una tasa baja, pero en realidad son sitios de phishing.

Vishing (el phishing telefónico)

El vishing o phishing telefónico o por voz es aquel en el que el phisher realiza una llamada telefónica haciéndose pasar por alguna compañía o entidad. Las técnicas empleadas son similares a las que podemos encontrar en el phishing (comunicar algún problema con un servicio, el método de pago o de ese estilo). El objetivo es que la víctima proporcione información personal de la cuenta bancaria.

Aunque en el pasado era habitual que los ataques de vishing se llevaran a cabo a través de números privados o números con muchas más cifras de lo habitual, con el tiempo han ido cambiando y ahora se emplean números telefónicos que en principio no nos hacen sospechar que sea una llamada fraudulenta.

Smishing (phishing de SMS)

Phishing realizado a través del Servicio de mensajes cortos (SMS), un servicio de mensajes de texto por teléfono. Un texto smishing, por ejemplo, intenta atraer a una víctima para que revele información personal a través de un enlace que conduce a un sitio web de phishing.

Malware

Las estafas de phishing que involucran malware requieren que se ejecute en la computadora del usuario. El malware generalmente se adjunta al correo electrónico enviado al usuario por los phishers. Una vez que haga clic en el enlace, el malware comenzará a funcionar. A veces, el malware también se puede adjuntar a archivos descargables.

Malware hace referencia a cualquier tipo de virus, por lo que si hacemos clic en este tipo de enlaces, estaremos abriendo la puerta a diferentes tipos de virus con diferentes tipos de objetivos.

Secuestro de datos

El ransomware niega el acceso a un dispositivo o archivos hasta que se haya pagado un rescate. Puede aplicarse sobre todo el equipo, impidiendo su uso o limitar el acceso a unos archivos determinados.

Aunque los particulares también suelen ser víctimas de este tipo de ataque de phishing, es más habitual que sean las empresas u organismos públicos el objetivo favorito de estos ciberataques, puesto que el daño que puede causar un bloqueo de los equipos o de archivos concreto, es elevado.

La forma de llevarlo a cabo, como en la mayoría de estos ataques, es conseguir que la víctima haga clic en un enlace que descargará el malware en el equipo; puede ser un enlace en un email, un anuncio malicioso o un archivo adjunto.

419/Estafas nigerianas

La estafa nigeriana es uno de los fraudes por correo electrónico más antiguos. Reciben este nombre, porque Nigeria era, en un principio, el país de origen de esta estafa, y el 419 porque es el artículo del código penal nigeriano sobre fraude.

Esta forma de phishing consiste, generalmente (aunque hay variantes) en convencer a la víctima de que facilite su número de cuenta bancaria o adelante una cantidad de dinero, a cambio de lo cual, será recompensado con una cantidad mayor en el futuro. La idea base es que un supuesto funcionario nigeriano necesita sacar dinero fuera del país, pero para ello necesita la ayuda de la víctima, que debe adelantar ciertas cantidades de dinero para llevar a cabo el pago de supuestos sobornos, impuestos, etc. A cambio, el supuesto funcionario compartirá con la víctima ese dinero que quiere sacar del país.

Whaling

El whaling es un tipo de ataque de phishing mucho más dirigido y concreto, que tiene como objetivo altos cargos de una empresa, como los CEO y otros puestos de alto nivel. En este caso se emplean técnicas más sofisticadas y refinadas, para que las víctimas, que están mejor formadas para reconocer el phishing, caigan en la trampa.

El objetivo, como siempre en este tipo de ataques, es conseguir que la víctima acceda a un enlace de un sitio web falso, para conseguir credenciales de acceso, o descargar archivos adjuntos que instalen malware en su equipo y en la red de la empresa.

Phishing de clonación

En el phishing de clonación el phisher realiza una copia o clona un correo electrónico legítimo de una compañía u organización que ha sido enviado con anterioridad y que contenía o algún enlace o algún archivo adjunto. El phisher manipula estos enlaces o adjuntos para que lleven a contenido malicioso y vuelve a enviar los correos. Dado que el email es exactamente igual que los últimos recibidos, la víctima suele caer en la trampa y pinchar en el enlace o descargar el archivo, permitiendo la infección del equipo.

Phishing de clonación

¿Cómo identificar un ataque de phishing?

Ahora que ya conocéis los ataques de phishing más habituales, vemos cómo podéis identificarlos para evitar ser víctimas de los mismos.

Todos los ataques de phishing se basan en la suplantación de identidad, bien a través de un email, bien a través de una página web falsa o, como hemos visto, incluso recurriendo a llamadas telefónicas. Así que la forma de identificarlos es prestar atención al detalle.

Es cierto que algunos phishers falsifican emails o webs hasta el mínimo detalle, pero siempre hay algo que no pueden falsear completamente y eso es la dirección de la que proviene el email o la URL de la web. Es ahí donde debemos fijarnos bien.

Normalmente, los emails que provienen de compañías, organizaciones o bancos, incluyen su nombre de dominio, por ejemplo, info@nombreempresa.com. Cuando se trata de un intento de phishing, la dirección se parecerá a esto: info.nombreempresa@gmail.com o similares. Es decir, el nombre de dominio no figurará después de la @, sino que será alguna plataforma de correo o dominio extraño.

Así que comprobad la dirección del remitente y si os resulta sospechosa, no pulséis en los enlaces que pueda contener ni descarguéis archivos adjuntos.

En cuanto a las páginas web, lo primero que tenéis que mirar es si la dirección empieza por «https://», esa «s» es la clave y nos indica que estamos en un sitio web seguro, igual que el candado que aparece a la izquierda de la barra de dirección.

Es cierto que hay páginas legítimas que no tienen el candado, así que en este caso, debéis aseguraros de que estáis en el sitio correcto, especialmente si habéis entrado en él vía enlace, en vez de haber introducido vosotros la dirección manualmente. Y si no termináis de estar seguros, no llevéis a cabo ninguna acción ahí y cerrar la web.

Cuando los intentos de phishing son menos sofisticados, es más fácil reconocerlos, porque la redacción del texto tiene errores gramaticales, ya que se suelen emplear traductores para componerlos. Así que atentos al lenguaje del texto también.

Y si lo que recibís es una llamada telefónica, lo más probable es que el delincuente se esté intentando hacer pasar por un servicio técnico. Normalmente, al otro lado de la línea tendréis a personas extranjeras, por lo que eso ya es una pista para colgar la llamada. Pero en caso de que sean españoles, recordad que los servicios técnicos solo se pondrán en contacto con vosotros si así lo solicitáis. Y si os dicen que son bancos o compañías telefónicas de suministros de energía o agua, recordad que estas llaman para venderos servicios, no para pediros vuestros datos a las primeras de cambio.

¿Cómo protegerse del phishing?

Para protegerse o evitar el phishing podéis poner en práctica las contramedidas, que incluyen recibir capacitación, conocer conceptos legales, implementar medidas de control de seguridad y crear conciencia a través de mejores prácticas de seguridad.

Estas prácticas mejoran la arquitectura empresarial y la hacen adecuada para resistir los ataques.

Inicio de sesión seguro

El primer paso de seguridad debe ser el uso de un sitio HTTPS en lugar de HTTP. Cada vez que se inicia sesión desde una página HTTP, no hay garantía de que tus credenciales de inicio de sesión se envíen en un formato cifrado a la página principal. Además, la autenticación bidireccional o el inicio de sesión basado en certificados es imprescindible para inicios de sesión significativos. Esta es una combinación de un nombre de usuario y contraseña tradicionales junto con un código que se envió a tu teléfono.

Implementación de políticas y procedimientos de la organización

Cada empresa debe actualizar periódicamente sus políticas, procedimientos y procesos para proteger los datos confidenciales de sus usuarios. Esa es la razón por la cual los departamentos de TI presionan continuamente para realizar copias de seguridad, restauraciones y cambios mensuales de contraseña.

Formar a la plantilla en materia de ciberseguridad es muy recomendable también, porque los trabajadores son uno de los eslabones débiles de la cadena de seguridad, en muchas ocasiones basta con que uno de ellos pinche en un enlace malicioso o descargue un archivo adjunto infectado con malware, para afectar al resto de un departamento o, en el peor de los casos, a toda la compañía.

Informes

Informar sobre actividades sospechosas observadas en cuentas de correo electrónico es imprescindible para los empleados. Deben mantenerse alerta ante correos electrónicos sospechosos, enlaces o archivos adjuntos para mantener su seguridad.

Firma digital de correos electrónicos seguros

Agregar una capa digital de seguridad asegura que los estafadores no puedan alterar su contenido. Esto se puede hacer mediante el «envío de marcos de políticas». Un marco de políticas de envío es una medida de seguridad utilizada para bloquear correos electrónicos falsificados. Las empresas que usan políticas SPF permiten a los intercambiadores de correo verificar si los correos electrónicos entrantes provienen de un host autorizado aprobado por los administradores de dominio.

Actualizaciones de software

Se debe mantener siempre actualizado los software que tengamos instalados en el ordenador, incluidos los antivirus, los firewalls y el navegador, ya que contar con la última versión de estos programas, nos asegura estar a salvo de las vulnerabilidades conocidas de versiones anteriores.

Manejo de correo no deseado

Puedes configurar su solución Anti-phishing para que tome una de varias acciones cuando se enfrente a un ataque de phishing de correo electrónico, como eliminar permanentemente dichos correos electrónicos, regresar al remitente, almacenar en una carpeta dedicada o casilla de correo no deseado, reenviar el correo electrónico a tu jefe de seguridad cibernética junto con etiquetas relevantes o encabezados X.

Contrarrestando los ataques del Hombre en el Medio

En este tipo de ataque, los phishers recopilan contraseñas de un solo uso de corta duración llamadas contraseñas de identificación de usuario y organizaciones de ataque. El software puede detectar si hay muchas conexiones desde un PC al sitio de tu organización, ya que esto es indicativo de un hombre en el medio del ataque.

Ejemplos de phishing

Cerramos este artículo con algunos ejemplos de phishing recientes.

En este primer ejemplo, podéis ver un intento de phishing en el que supuestamente, gracias a que el destinatario ha acumulado unos puntos, Amazon le ofrece como recompensa adquirir un smartphone Samsung Galaxy S20 por 1,50 euros. Si os fijáis en la dirección del remitente, es evidente que el email no proviene de Amazon. Pero en este caso, no haría falta, porque Amazon no tiene un programa de fidelización basado en puntos.

Ejemplo de phishing

Otro ejemplo de phishing vía email es aquel en el que nos premian con algo o nos dicen que nos van a dar dinero, como el que podéis ver en la imagen bajo estas líneas. Proviene nada menos que de la ONU y nos dice que hemos sido seleccionados para recibir una compensación por la pandemia de coronavirus de 2.500.000 dólares. Nos explican que es una iniciativa de la UE, el gobierno de EE. UU., el FMI, la ONU y el Banco Mundial.

El email está muy bien redactado (si bien en inglés) y emplea un lenguaje cuidado y que suena a oficial, pero, por supuesto, nos apremia a llevar a cabo las acciones que nos pide, que es suministrar datos personales y nos dan un código que tenemos que incluir en el asunto del email cuando les contactemos. Y al final nos indican que no comuniquemos esto a nadie.

Intento de phishing

Un ejemplo de las consecuencias que un ataque de ransomware llevado a cabo a través de técnicas de phishing, lo tenemos en los diferentes ataques que han sufrido algunos hospitales utilizando el Covid-19 como punto de entrada. Estos ataques han llegado a bloquear el acceso a los historiales de los pacientes, provocando la cancelación de cirugías o tratamientos.

Y para finalizar, un ejemplo de vishing lo tenemos estos últimos años en el conocido como el timo de la llamada de Microsoft, en el que recibimos una llamada del supuesto soporte técnico de Microsoft, en la que nos informan de que existe algún problema en nuestro ordenador y que para solucionarlo, debemos entrar en una página web que nos indican y descargarnos un programa. Al hacerlo, estaremos dando el control sobre nuestro equipo a los phishers.