¿Qué es el phishing?

Descubra qué es el phishing y ármese con conocimientos, herramientas y recomendaciones para proteger a su organización y a usted mismo de estas amenazas en permanente evolución.

Información general

Definición
Cómo funciona
Tipos de ataques
Detectar y prevenir ataques

Soluciones de seguridad

El phishing es un tipo de delito informático en el que los atacantes suplantan a una organización o individuo de confianza para sonsacar información confidencial a la víctima. El phishing suele manifestarse mediante ataques automatizados a través del correo electrónico, apoyándose en tácticas de ingeniería social, así como por medios más directos, a menudo manuales, como llamadas telefónicas, SMS y aplicaciones de mensajería. Tiene por objetivo conseguir datos personales, como credenciales de inicio de sesión o información financiera, que pueden emplearse para actividades fraudulentas, como el robo de identidad o de dinero.

Cómo funciona el phishing

El phishing es una forma de ingeniería social, es decir, para engañar a las víctimas, que se basa en la confianza en la tecnología y la manipulación psicológica. Básicamente, utiliza correos electrónicos u otros métodos de comunicación electrónica que parecen proceder de fuentes fiables.

Los delincuentes informáticos crean mensajes engañosos mediante técnicas de ingeniería social para conseguir que las víctimas lleven a cabo determinadas acciones, como hacer clic en un enlace, abrir un archivo adjunto o proporcionar información de carácter personal.

El responsable de un típico ataque de phishing decide en primer lugar qué organización o individuo será su blanco. El atacante recopila información sobre sus objetivos en fuentes disponibles públicamente (redes sociales como Facebook, Twitter y LinkedIn). Utiliza esta información personal para mejorar el contexto del mensaje de phishing. En los ataques selectivos, puede incluir el nombre de la víctima, su puesto de trabajo y su dirección de correo electrónico, o incluso citar alguno de sus intereses o actividades, para que el mensaje sea más creíble. Así, el atacante puede redactar un correo electrónico o mensaje convincente que parezca proceder de una fuente fiable, pero que contiene archivos adjuntos infectados o enlaces a sitios web maliciosos con los que continuará el ataque.

Si la víctima muerde el anzuelo, ya sea haciendo clic en el enlace, abriendo el archivo adjunto o introduciendo su información en un sitio web falso, el atacante logra su objetivo. Esto puede ir desde instalar malware en el dispositivo de la víctima (incluido ransomware) hasta robar información confidencial, como nombres de usuario, contraseñas o datos de tarjetas de crédito.

Tipos de ataques de phishing

El phishing por correo electrónico es un tipo de ataque de phishing en el que los delincuentes informáticos utilizan un mensaje de correo electrónico para engañar a sus objetivos. Habitualmente, los responsables de estos ataques crearán nombres de dominio falsos que se asemejen mucho a los de organizaciones legítimas de confianza. Por ejemplo, un correo electrónico de phishing podría provenir de un dominio como “paypa1.com”,en lugar del auténtico “paypal.com”;o podría utilizar un subdominio para parecer convincente, como “support.apple.com.fake.com”. Estos detalles, que los atacantes enmascaran con una amplia variedad de técnicas, suelen pasarle inadvertidas a la víctima, por lo que el mensaje parece más creíble.

El phishing selectivo forma parte de un ataque centrado en determinadas personas, en vez de lanzarse una amplia red mediante correos electrónicos masivos. Armados con detalles como el nombre de la víctima, su lugar de trabajo, su puesto y, a veces, hasta muestras de sus correos electrónicos, los atacantes personalizan sus mensajes para que parezcan más auténticos. El phishing selectivo es una buena táctica dentro de ataques coordinados para vulnerar las defensas de una empresa. Es particularmente peligroso dado su enfoque personalizado, que lo hace más difícil de detectar que los correos electrónicos masivos de phishing.

El smishing (phishing por SMS) utiliza mensajes SMS para engañar a sus víctimas y conseguir que revelen información confidencial. Estos SMS fraudulentos suelen hacerse pasar por empresas conocidas como Amazon o FedEx y redactan el mensaje como una alerta o notificación urgente.

El phishing de redes sociales se ha convertido en terreno abonado para este tipo de ataques. Los estafadores aprovechan la mensajería de plataformas como WhatsApp, Facebook, Twitter o LinkedIn para enviar enlaces de phishing o solicitar información confidencial. Estos intentos de phishing suelen disfrazarse de consultas de servicios al cliente o notificaciones de la propia red social.

El compromiso del correo electrónico empresarial (BEC) es también una forma de phishing selectivo con el objetivo de defraudar a las empresas, a las que cuesta miles de millones al año, siguiendo estrategias como facturas falsas, fraudes del director ejecutivo, compromiso de la cuenta de correo electrónico (EAC), suplantación de abogados o robo de datos y mercancías.

Los ataques de apropiación de cuentas (ATO) implican que los delincuentes informáticos hayan obtenido acceso a las credenciales mediante phishing y utilicen las cuentas comprometidas para cometer otros fraudes o robar datos.

El vishing (phishing de voz) emplea llamadas telefónicas para que el interlocutor les revele información confidencial.

La caza de ballenas (contra personas de alto perfil) se basa en una exhaustiva investigación de sus víctimas y la elaborada redacción de mensajes de correo electrónico personalizados para engañarlas y que autoricen grandes transacciones o divulguen información confidencial.

El pharmingredirige a los usuarios de un sitio web legítimo a otro fraudulento, lo que frecuentemente consigue aprovechando vulnerabilidades del sistema de nombres de dominio (DNS).

Otros tipos de ataques son el phishing de clonación, que duplica correos electrónicos legítimos y reemplaza sus enlaces o archivos adjuntos por otros maliciosos;el phishing evil twin, que configura redes Wi-Fi falsas para interceptar datos;el phishing de HTTPS, que oculta sitios web maliciosos tras un protocolo HTTPS seguro;el phishing de ventanas emergentes, que engaña a sus víctimas haciendo aparecer ventanas emergentes de sitios web falsos;los ataques man-in-the-middle, que interceptan las comunicaciones online y pueden incluso alterarlas; yel phishing de aplicaciones de mensajería, que utiliza populares aplicaciones de mensajería, como WhatsApp, Telegram o Vibe, para engañar a los usuarios y que revelen información confidencial.

Los ataques de phishing presentan diversas formas, cada una de las cuales se basa en diferentes medios y técnicas para engañar a personas u organizaciones. La vigilancia, la concienciación y las medidas de seguridad informática son cruciales para atajar estas tácticas de phishing en permanente evolución.

¿Cómo detectar un ataque de phishing?

El phishing es una herramienta importante en los ataques de ingeniería social y puede ser el primer paso para violaciones de la seguridad muy perjudiciales. Dado que se aprovecha del engaño, saber detectar un ataque de phishing es muy importante para salvaguardar sus datos.

Por suerte, existen síntomas habituales que pueden ayudarle a detectar un intento de phishing y diferenciarlo de una comunicación legítima:

• Enlaces maliciosos y manipulación de enlaces: Un objetivo habitual de los correos electrónicos de phishing es conseguir que el destinatario haga clic en un enlace malicioso. Estos enlaces suelen parecer legítimos a simple vista, pero conducen a sitios web de phishing donde se recopila información personal. Tenga cuidado si la URL real no coincide con el sitio web del supuesto remitente o presenta errores ortográficos.

• Archivos adjuntos maliciosos: Algunos correos electrónicos de phishing se acompañan de archivos destinados a infectar su dispositivo,como por ejemplo malware que comprometa sus datos una vez descargado. Debe tratar con precaución los archivos con extensiones que no sean.txt.

• Respuestas con información personal: Aunque es menos habitual, los correos electrónicos de phishing también pueden solicitar a los destinatarios que respondan enviando información personal o financiera. Como el mensaje parece provenir de una fuente fiable, hay veces en que el destinatario responde con los datos solicitados.

• Ofertas demasiado buenas para ser ciertas: Las estafas de phishing a menudo encandilan a sus víctimas con ofertas muy lucrativas y poco realistas. Mensajes que le digan cosas como que le ha tocado la lotería o un iPhone deben despertar siempre la máxima alerta.

• Urgencia: Muchos correos electrónicos de phishing tratan de transmitir una falsa sensación de urgencia, insistiendo en que hay que actuar rápidamente para evitar la suspensión de una cuenta o reclamar un premio.

• Solicitudes o remitentes inusuales: Que un conocido se dirija a usted en un contexto fuera de lo habitual o que un extraño le solicite que haga algo inusual pueden ser señales de un intento de phishing.

• Errores lingüísticos: Una gramática deficiente o con errores ortográficos puede revelar que se encuentra ante un correo electrónico de phishing.

• Dominios y direcciones de correo electrónico que no encajan: Fíjese siempre muy bien en la dirección de correo electrónico del remitente. Si el nombre de dominio no encaja o está mal escrito, es muy probable que se trate de un intento de phishing.

¿Cómo prevenir las estafas de phishing?

Prevenir las estafas de phishing es un esfuerzo colectivo que implica tanto a usuarios individuales como a organizaciones. Para detener eficazmente los ataques de phishing son fundamentales soluciones técnicas sofisticadas y una mayor concienciación.

En el caso de los individuos:

• Uso de filtros antispam: Estos filtros tienen en cuenta el origen, el software empleado y el contenido del mensaje para dilucidar si se trata de un correo electrónico de phishing o spam. Constituyen una primera línea de defensa contra el phishing.

• Ajustes del navegador: Configure su navegador para bloquear los sitios web falsos y las URL maliciosas. Los navegadores modernos le alertan de los sitios de phishing conocidos.

• Implementación de la autenticación multifactor (MFA): Active la MFA en sus cuentas. Esta capa de seguridad va más allá de la simple verificación mediante una contraseña.

• Cambios periódicos de las contraseñas: Modifique periódicamente sus contraseñas y evite emplear la misma para varias cuentas. Plantéese utilizar un gestor de contraseñas.

• Actualizaciones de software: Para protegerse contra nuevas vulnerabilidades en ataques de phishing, mantenga actualizado todo su software personal, en particular el de seguridad.

En el caso de las organizaciones o administradores:

• Protección de endpoints: Recopile señales de endpoints, redes, nube y otras fuentes de datos para detectar incidentes.

• Implementación de mecanismos para informar: Proporcione sistemas fáciles de usar para informar sobre correos electrónicos sospechosos de phishing. Esto contribuye a mejorar las futuras medidas de seguridad.

• Sistemas de copia de seguridad: Realice copias de seguridad periódicas de sus datos confidenciales en una ubicación segura, para poder recuperarlos en caso de sufrir un ataque.

• Imposición de protocolos de seguridad del navegador: Asegúrese de que los navegadores bloqueen sitios maliciosos y actualice estos ajustes en función de las nuevas amenazas.

Proteja su organización contra los ataques de phishing

Para proteger su organización contra los ataques de phishing, necesita una solución integral y proactiva capaz de detectar y bloquear los correos electrónicos, sitios web y archivos adjuntos maliciosos antes de que lleguen a sus usuarios. Asimismo, debe formar al personal respecto a cómo detectar y evitar los intentos de phishing y sobre cómo informar de cualquier actividad sospechosa.

El phishing no se limita a los correos electrónicos engañosos: forma parte de una secuencia de ataque más amplia. Para combatir el phishing y los ataques que a menudo pone en marcha, dótese de múltiples capas de seguridad dentro de una solución completa y unificada. Una estrategia polifacética para este tipo de amenazas tan complejas debería basarse en los siguientes aspectos:

Prevención: Minimice la superficie de ataque que se encuentra expuesta y reduzca los puntos de entrada. Para abordar las vulnerabilidades, asegúrese de la oportuna implementación de parches y soluciones de administración de riesgos.

Protección: Utilice herramientas de seguridad de red y de endpoints que atajen activamente los ataques cuando intenten comprometer sus sistemas. Una protección eficaz emplea varias técnicas, desde el filtrado de la red hasta la inspección avanzada de la memoria y los procesos.

Detección y respuesta: Hasta las mejores medidas preventivas pueden acabar siendo eludidas. Por ello, debe implementar sistemas de detección en tiempo real como la EDR y la XDR, que le ofrezcan una profunda visibilidad de su red y sus endpoints. Combine esto con características como asesores de incidentes para disponer de pautas de actuación claras cuando se detecten amenazas.

Detección y respuesta administradas (MDR): Mejore su seguridad con servicios de monitorización activos en todo momento, que le brinden alertas en tiempo real, inteligencia sobre amenazas y orientación profesional para abordar y neutralizar las amenazas.

La metodología multicapa de Bitdefender se basa en una tecnología antiphishing que utiliza machine learning avanzado y análisis del comportamiento para detectar y detener ataques de phishing en tiempo real, analizando y filtrando su tráfico web, sus mensajes de correo electrónico y sus descargas de archivos en busca de contenidos o enlaces maliciosos.

Preguntas más frecuentes

¿Qué debe hacer si recibe un correo electrónico de phishing?

Si le llega un intento de phishing, extreme las precauciones y no interactúe con el mensaje. Compruebe la identidad del remitente mediante canales oficiales antes de divulgar cualquier información personal. Marque los mensajes sospechosos como spam y elimínelos. Al encontrar enlaces en mensajes inesperados, los usuarios siempre deben poner el cursor sobre ellos para comprobar su destino antes de decidir hacer clic. En caso de que el enlace parezca sospechoso o no coincida con el sitio web del remitente, informe del mensaje a su departamento de informática o al equipo de ciberseguridad para que lo investigue más detenidamente, dado que podría ser blanco de un ataque selectivo.

¿Qué debería hacer si ha sido víctima de una estafa de phishing?

Recuerde que, al final, la vanguardia en la defensa contra el phishing y otras amenazas cibernéticas es una persona formada capaz de reconocer y frustrar los intentos de fraude. No obstante, si ha sido víctima de una estafa de phishing y ha divulgado información confidencial, debe actuar rápidamente para minimizar los daños:

1. Modifique inmediatamente las contraseñas que se hayan visto comprometidas, no solo de la cuenta afectada, sino de cualquier otra en la que haya empleado la misma contraseña. Plantéese utilizar un gestor de contraseñas para administrar todas sus contraseñas de forma segura.

2. En caso de que haya revelado sus datos bancarios, póngase inmediatamente en contacto con su entidad para advertirles de que ha sido víctima de una estafa. Consulte con ellos posibles soluciones.

3. Informe del incidente a las autoridades pertinentes, especialmente si efectuó algún pago al estafador o si este consiguió acceder a sus dispositivos. En la mayoría de los casos, no recuperará lo perdido, pero su información contribuirá a combatir futuras estafas.

4. Si pertenece a alguna organización y cree que la estafa podría poner en peligro la seguridad de esta, consulte sus procedimientos internos y transmita el problema a las personas adecuadas para evitar males mayores.

Este aviso al consumidor de la Comisión Federal de Comercio aborda la pregunta con consejos prácticos de una fuente de total confianza.

¿En qué se diferencia el phishing de la suplantación de identidad?

El phishing persigue engañar a la gente para que revele datos personales o confidenciales, normalmente a través de correos electrónicos, mensajes o páginas web fraudulentas. La suplantación de identidad consiste en disfrazar el origen de una comunicación para que parezca proceder de una fuente de confianza. Mientras que el phishing busca obtener información, la suplantación de identidad se basa en engañar al destinatario o saltarse las medidas de seguridad. Aunque son cosas diferentes, están relacionadas: los ataques de phishing suelen utilizar la suplantación de identidad para revestirse de mayor credibilidad.