phishing

LIBRO BLANCO

Libro blanco

Últimas tácticas de phishing

y sus posibles consecuencias
para las empresas
 Últimas tácticas de phishing y sus posibles consecuencias para las empresas

Últimas tácticas de phishing y sus posibles consecuencias para las

empresas

Índice

Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

El phishing no conoce límites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

El auge de los ataques a los servidores virtuales compartidos . . . . . . . . . . . . 4
Los spammers siguen estando más activos en vacaciones y durante aconte­
cimientos internacionales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
La actual situación económica es terreno abonado para el phishing . . . . . . 4
Amenazas que combinan phishing y malware . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Ataques «Man in the Middle» (MitM) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Estafas de phishing con mensajes de texto a través del móvil . . . . . . . . . . . . 5
El spam y el phishing se trasladan a las redes sociales . . . . . . . . . . . . . . . . . . 5
Cómo pueden afectar los ataques de phishing a su empresa . . . . . . . . . . . . . 5
Proteja su empresa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Enseñe a sus clientes y empleados a protegerse contra el fraude . . . . . . . . . 7

Los phishers, unos adversarios camaleónicos y duros de pelar . . . . . . . . . . . . . . 8

Glosario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

2
 Últimas tácticas de phishing y sus posibles consecuencias para las empresas

Introducción
El phishing, o la suplantación de identidad, uno de los delitos con más auge en la
Red durante los últimos años, supone una importante amenaza para particulares
y empre­sas. Las cifras hablan por sí solas: en 2012 se llevaron a cabo más de
37 000 ataques al mes.1

Hoy en día no hace falta ser ningún experto para cometer un fraude por Internet.
Está al alcance de cualquier hacker que se lo proponga, gracias a las herramientas
estándar de phishing que circulan por el floreciente ecosistema de la ciberdelin­
cuencia. Es más, los delincuentes informáticos están evolucionando hacia un nuevo
modelo de nego­cio conocido como MaaS («malware como servicio»), en el que los
autores de los kits de intrusión ofrecen servicios adicionales a sus clientes, además
del kit propiamente dicho.2

Las consecuencias para las empresas pueden ser realmente graves. Según ha cal­
culado RSA en su informe de fraudes publicado en febrero de 2013, las pérdidas a
nivel mundial alcanzaron los 1500 millones de USD en 2012 y, si la duración media
de los ataques hubiera sido similar a la de 2011, podrían haber llegado a los 2000
millones de dólares.3 Cualquiera que sea la amenaza —ya sea que los empleados
o clientes sean víctimas de un engaño, o que el sitio web de la empresa sufra una
intrusión—, la suplantación de identidad es un problema que hay que tener muy en
cuenta. Las empresas deben estar al corriente de los modernos métodos emplea­
dos por los atacantes y adoptar las medidas preventivas necesarias para proteger­
se contra el fraude.

En este artículo se aborda el auge y las tendencias de las actuales estrategias de

phishing, las consecuencias que tales prácticas tienen para las empresas y las
posibles soluciones tecnológicas que las empresas pueden implantar para prote­
gerse a sí mismas y a sus clientes.

El phishing no conoce límites

El phishing —el arte de atraer a internautas ingenuos para apoderarse de datos
confidenciales, tales como nombres de usuario, contraseñas y números de tarjetas
de crédito, mediante comunicados electrónicos en apariencia legítimos—, supone
una grave amenaza tanto para los particulares como para las empresas. Este tipo
de fraude ha proliferado con rapidez desde su aparición hace diez años: se calcula
que diariamente se cometen unos ocho millones de intentos de phishing en todo el
mun­do.4 En 2012, uno de cada 414 correos electrónicos enviados por la Red estaba
relacionado con la práctica del phishing.5

APWG (Anti-Phishing Working Group) cuantificó 123 486 ataques únicos de

phishing en el mundo durante la segunda mitad de 2012 en los que se vieron
involucrados 89 748 nombres de dominios únicos, lo que supuso un aumento del
32 % en el núme­ro de ataques con respecto a la primera mitad de 2012.6 Aunque
esta cifra supera con creces los 115 472 ataques que APWG observó en la primera
mitad de 2011, no llegó a los 126 697 registrados durante la segunda mitad de
2009, cuando la red zombi Avalanche se encontraba en pleno apogeo.

1
RSA: February Fraud Report, RSA, febrero de 2013.
2
Verisign iDefense 2012 Cyber Threats and Trends, Verisign, 2012.
3
RSA: February Fraud Report, RSA, febrero de 2013.
4
Counterfeiting & Spear Phishing — Growth Scams of 2009, Trade Me, Infonews.co.nz, 2 de marzo de 2009.
5
Symantec 2013 Internet Threat Report, Symantec.com/threatreport.
6
Global Phishing Survey 2H2012: Trends and Domain Name Use, Anti-Phishing Working Group.
3
 Últimas tácticas de phishing y sus posibles consecuencias para las empresas

El auge de los ataques a los servidores virtuales compartidos

Aunque los hackers siempre se las ingenian para usar nuevas técnicas de phishing,
esta en concreto es una estrategia antigua —aunque poco conocida— que ha
vuelto a cobrar protagonismo en la actualidad. En este tipo de ataques, el phisher
irrumpe en un servidor web donde están alojados una gran cantidad de dominios
y coloca el contenido malicioso en cada uno de ellos, de manera que todos los
dominios del servidor exhiben páginas de phishing. De este modo, son capaces de
infectar miles de sitios web simultáneamente. APWG identificó 42 448 ataques
únicos que siguieron esta estrategia, lo que representa el 37 % de todos los
ataques de phishing registrados en el mundo.7

Los spammers siguen estando más activos en vacaciones y durante aconte­

cimientos internacionales
Como ocurre todos los años, en las fechas próximas a la Navidad los spammers
engañaron a un buen número de comerciantes legítimos ofreciéndoles «jugosos
descuentos» en toda una serie de productos. Asimismo, se detectaron numerosas
campañas de phishing relacionadas con el terremoto de Japón, el movimiento de
la primavera árabe y otros acontecimientos internacionales importantes. Tras el
habitual embate del día de San Valentín, los expertos prevén un alud de correos
electrónicos en fechas próximas a eventos destacados.8 Los ataques dirigidos a
organizaciones concretas, aunque ya no aparecen tanto en la prensa como en
años anteriores, aumentan considerablemente durante los periodos vacacionales,
cuando las empre­sas tienen menos personal velando por las operaciones de
seguridad. De esta forma, los delincuentes tienen muchas más posibilidades de
lograr su objetivo. Cabría hacer la salvedad de que la tendencia parece menos
acusada durante las vacaciones navi­deñas. Una posible explicación a este hecho es
que, aunque hay menos técnicos en la empresa dedicados a la seguridad, también
es cierto que hay muchos menos emple­ados trabajando, por lo que también son
menores las posibilidades de que alguien abra archivos adjuntos fraudulentos.

La actual situación económica es terreno abonado para el phishing

El clima de incertidumbre económica ofrece a los delincuentes muchas más opor­
tunidades para llevar a cabo sus fechorías. Por ejemplo, una de las estafas más
habituales consiste en recibir un correo electrónico que simula provenir de una
entidad bancaria que recientemente ha adquirido el banco o caja de ahorros de la
víctima, por lo que supuestamente pasa a convertirse en acreedor del préstamo,
hipoteca, etc.9 La gran cantidad de fusiones y adquisiciones del sector genera
confusión entre los consumi­dores, agravada por el hecho de que los clientes no
reciben la información que debie­ran. En tales circunstancias, los phishers están en
su salsa.

Amenazas que combinan phishing y malware

Para aumentar las posibilidades de éxito, algunos ataques combinan técnicas de
phishing y malware en lo que podríamos llamar un modelo de ataque mixto. Por
ejemplo, supongamos que la posible víctima recibe el enlace a una postal electró­
nica en un correo electrónico aparentemente legítimo. Al hacer clic en el enlace
para ver la tarjeta, la víctima en realidad accede a un sitio web fraudulento que
descarga un troyano en su ordenador (o, por ejemplo, muestra un mensaje instán­
dole a descargar una determinada actualización de software para poder ver la
tarjeta). Y la víctima confiada descarga el software, que no es otra cosa que un
keylogger, un programa intruso que registra las pulsaciones del teclado.
7
Ibid.
8
Symantec Intelligence Report, Symantec, enero de 2012.
9
FTC Consumer Alert: Bank Failures, Mergers and Takeovers: A Phish-erman’s Special, www.ftc.gov.
4
 Últimas tácticas de phishing y sus posibles consecuencias para las empresas

Los keyloggers utilizados en la suplantación de identidad incorporan unos compo­

nentes de rastreo que hacen un seguimiento de acciones concretas (y de organiza­
ciones concretas, como en el caso de instituciones financieras y comercios en línea)
para sustraer datos confidenciales, tales como números de cuentas, nombres de
usuario y contraseñas.

Otro tipo de troyanos con los que se puede obtener información confidencial son
los redireccionadores, unos programas que redirigen el tráfico de los usuarios a un
sitio fraudulento.

Ataques «Man in the Middle» (MitM)

En 2008 apareció un nuevo tipo de malware con el que se podía falsificar una
sesión cifrada. Se trata de una variante del clásico ataque «Man in the Middle»
(«con intermediario», en castellano) que utilizan los delincuentes para acceder a
contraseñas o a información confidencial que circula de forma desprotegida por la
Red.

Estafas de phishing con mensajes de texto a través del móvil

Haciéndose pasar por una institución financiera real, los atacantes utilizan los
mensajes SMS como alternativa al correo electrónico para tratar de robar datos
confidenciales de las cuentas bancarias. En una práctica que se conoce como
smishing, la estafa típica consiste en informar al titular del teléfono móvil de que
alguien ha entrado en su cuenta sin su consentimiento o que su tarjeta de crédito
ha sido desactivada. Acto seguido, se explica a la víctima que para reactivar la
tarjeta debe llamar a un determinado número de teléfono o visitar un sitio web
que es naturalmente falso. Una vez en el sitio, o mediante un sistema telefónico
automatizado, se le solicita el número de la tarjeta, su código PIN o el número de la
cuenta.

El spam y el phishing se trasladan a las redes sociales

En los últimos años, los casos de spam (correo no deseado) y phishing en las redes
sociales han aumentado de forma considerable. Los delincuentes, atraídos por el
nivel de tráfico de Facebook y Twitter, actúan cada vez más en estas redes, y en
2012 empezaron a frecuentar otros sitios web más nuevos que están creciendo con
rapidez, como Instagram, Pinterest y Tumblr. Allí tientan a los usuarios con vales-
regalo falsos o encuestas tras las que se oculta una estafa. Las ofertas falsas son
el método elegido para más de la mitad (el 56 %) de los ataques realizados en las
redes sociales.

Cómo pueden afectar los ataques de phishing a su empresa

En 2012 se envió algo menos de spam, pero aumentaron los ataques de phishing.
Los phishers utilizan sitios web falsos cada vez más elaborados —en algunos
casos, copias exactas de otros legítimos— para tratar de engañar a las víctimas
y conseguir que faciliten contraseñas, datos personales o de tarjetas de crédito e
información de acceso a sus cuentas bancarias. Para atraer a las víctimas, antes
enviaban sobre todo mensajes de correo electrónico, pero ahora los combinan con
enlaces publicados en las redes sociales. Como es lógico, los sitios web más imita­
dos son los de entidades bancarias o empresas de pagos con tarjeta de crédito,
pero también los de conocidas redes sociales. En 2012, el número de sitios web
fraudulentos que se hacen pasar por redes sociales aumentó en un 123 %. Un
cibercriminal que logre registrar nuestros datos de inicio de sesión en una red
social podrá enviar mensajes de phishing a nuestros amigos a través del correo
electrónico. Con este método de acercamiento, inspirará mucha más confianza
5
 Últimas tácticas de phishing y sus posibles consecuencias para las empresas

porque la gente no sospecha de sus amigos. Las cuentas pirateadas también se

utilizan para enviar mensajes falsos de socorro a los amigos de la víctima.

Para tratar de eludir el software de seguridad y filtrado, los delincuentes usan

direcciones web complejas y servicios anidados de simplificación de direcciones
URL. La ingeniería social es otra artimaña para conseguir que las víctimas hagan
clic en determina­dos enlaces. El año pasado, quienes la usaron centraron sus
mensajes en famosos del mundo del deporte, el cine y otros ámbitos, así como en
dispositivos atractivos (p. ej., smartphones y tablets).

Los ataques que suplantan el sitio web oficial de una empresa perjudican su
imagen de marca en Internet y disuaden a los clientes de utilizar sus servicios por
temor a ser víctimas de un fraude. Además de los costes directos de las pérdidas
por fraude, las empresas cuyos clientes son víctimas de una estafa de phishing
también se exponen a otros riesgos:

• Caída de los ingresos por Internet o menor uso de los servicios debido a la pér­
dida de confianza de los clientes
• Posibles sanciones administrativas si se ponen en peligro los datos confidencia­
les de los clientes

Incluso los ataques dirigidos a marcas ajenas pueden afectar al propio negocio. El
temor de los clientes puede hacer que dejen de realizar transacciones con empre­
sas en las que no confíen plenamente.

Proteja su empresa
Aunque no existe ninguna solución milagrosa, hay tecnologías que pueden prote­
ger su empresa y a sus clientes. Muchas de las técnicas de phishing actuales se
basan en atraer a los clientes a sitios web fraudulentos para robar información
confidencial. Las tecnologías como Secure Sockets Layer (SSL) y SSL con Extended
Validation (EV) son fundamentales para combatir la suplantación de identidad y
otras estafas en la Red, ya que cifran la información confidencial y ayudan a los
clientes a autenticar el sitio web.

Las prácticas de seguridad recomendadas exigen implantar los máximos niveles de

cifrado y autenticación posibles para protegerse contra el fraude online y fomentar
la confianza del cliente en la marca. La tecnología SSL, el estándar mundial de
seguridad en Internet, cifra y protege la información que se transmite a través de
la Red mediante el protocolo HTTPS, cuyo uso está enormemente extendido. Esta
tecnología protege los datos en tránsito, ya que cuando se envían sin cifrar corren
el riesgo de que alguien los intercepte y manipule. Es compatible con los principa­
les sistemas operativos, navegadores, aplicaciones de Internet y hardware de ser-
vidores.

Para evitar que los ataques de phishing logren sus objetivos y mermen la confianza
de los clientes, las empresas también necesitan un modo de demostrar a los clien­
tes que son un negocio legítimo. Los certificados SSL con Extended Validation (EV)
son la mejor solución, ya que ofrecen el máximo grado de autenticación posible y
proporcionan una prueba tangible a los usuarios de que efectivamente se trata de
un sitio web legítimo.

6
 Últimas tácticas de phishing y sus posibles consecuencias para las empresas

SSL con Extended Validation proporciona a los visitantes del sitio una manera
fácil y fiable de fomentar la confianza online: el navegador muestra la barra de
direcciones en color verde, en la que consta el nombre de la empresa titular del
certificado SSL y el nombre de la autoridad emisora. La Figura 1 muestra el aspecto
que tiene la barra de direcciones de color verde en Internet Explorer.

Figura 1. Barra de direcciones de color verde, característica del certificado SSL con EV

Gracias a esta característica barra, los visitantes pueden asegurarse de que la

transacción está cifrada y de que la empresa ha sido autenticada con las normas
más rigurosas del sector. Así, los atacantes ya no pueden beneficiarse del hecho de
que los visitantes no se den cuenta de que la sesión no es segura.

Los estafadores son expertos a la hora de crear réplicas exactas de sitios web legí­
timos pero, sin el certificado SSL con EV emitido para la empresa, no podrán hacer
que el nombre de esta aparezca en la barra de direcciones, ya que no es algo que
puedan controlar. Y tampoco pueden obtener los certificados SSL con EV de la em­
presa legíti­ma debido al riguroso proceso de autenticación.

Enseñe a sus clientes y empleados a protegerse contra el fraude

Además de implantar la tecnología SSL con EV, las empresas deben seguir
enseñando a sus clientes y empleados a protegerse contra el fraude en Internet.
Explíqueles los típicos indicios de un ataque de phishing, por ejemplo:

• Errores ortográficos (menos habituales a medida que los ataques se van sofisti­
cando)
• Saludos genéricos en lugar de personalizados, enlaces que urgen a realizar
alguna acción
• Amenazas relativas al estado de una cuenta
• Solicitud de datos personales
• Nombres de dominio o enlaces falsos

Asimismo, antes de solicitar a sus clientes información personal o confidencial,

explíqueles que hay modos de asegurarse de que un sitio web es legítimo y seguro,
por ejemplo:

• La barra de direcciones es de color verde

• La URL va precedida de HTTPS
• Al hacer clic en el icono del candado, se puede comprobar que la información
del certificado se corresponde con el sitio web que quieren visitar
• Las marcas de confianza, como el sello Norton Secured

7
 Últimas tácticas de phishing y sus posibles consecuencias para las empresas

Facilitar este tipo de información a los clientes es un aspecto esencial que refuerza
la confianza para vencer el temor a caer en la trampa del phishing. Si pueden
determinar por sí mismos que al visitar el sitio web están en buenas manos, los
beneficios para su empresa son incuestionables, ya que podrá aumentar los ingre­
sos, diferenciarse de la competencia y ahorrarse costes operativos al generar más
transacciones online.

Los phishers, unos adversarios camaleónicos y duros de pelar

Los ataques de phishing no dejarán de adoptar nuevas formas que se aprovechen
de sentimientos tan humanos como la compasión, la confianza o la curiosidad.
Proteger su empresa y su marca frente a estos ataques requiere una gran dosis de
rigor y per­severancia, pero las ventajas que conlleva no se limitan a que las pérdi­
das por fraude sean mucho menores.

Si enseña a los clientes a defenderse y les proporciona el máximo nivel de pro­

tección que garantizan los certificados SSL con EV, fomentará su confianza en los
servicios de su empresa. Afianzar el liderazgo de su empresa en la seguridad online
le servirá para atraer a más clientes y generar nuevas fuentes de ingresos.

Para obtener la información más reciente sobre las tendencias de phishing en el

mundo, visite nuestro Symantec Monthly Intelligence Report.

8
 Últimas tácticas de phishing y sus posibles consecuencias para las empresas

Glosario
Autoridad de certificación (CA): Empresa externa de confianza que emite certifi­
cados digitales, como por ejemplo los certificados Secure Sockets Layer (SSL),
después de verificar la información incluida en los certificados.

Cifrado: Proceso de alterar un mensaje para hacerlo ininteligible, de modo que

solo puedan acceder a él las personas a las que va destinado. La tecnología Secure
Sockets Layer (SSL) establece un canal de comunicación privado en el que los
datos se trans­miten cifrados por Internet para proteger la información confidencial
frente a las interceptaciones electrónicas.

Certificado SSL con Extended Validation (EV): Requiere unas exigentes normas
de veri­ficación para los certificados SSL establecidas por una entidad externa, el
CA/Browser Forum. En Microsoft® Internet Explorer 7 y otros navegadores seguros
utilizados habitualmente, en los sitios web protegidos mediante certificados SSL
con Extended Validation la barra de direcciones URL aparece en color verde.

HTTPS: Las páginas web cuya URL empieza por HTTPS en lugar de HTTP garantizan
la transmisión segura de la información a través del protocolo HTTP seguro. HTTPS
es una medida de seguridad en la que los usuarios se deben fijar a la hora de enviar
o compartir información confidencial, como por ejemplo números de tarjetas de
crédito, registros de datos privados o información de empresas asociadas.

Tecnología Secure Sockets Layer (SSL): Tanto la tecnología SSL como su suceso­
ra, la tecnología TLS (Transport Layer Security), utilizan la criptografía para garan­
tizar la protección de las transacciones realizadas por Internet. La tecnología SSL
utiliza dos claves para cifrar y descifrar datos: una clave pública conocida y otra
privada o secreta que solo conoce el destinatario del mensaje.

Certificado SSL: Los certificados SSL incorporan una firma digital que vincula
una clave pública con una identidad. Sirven para cifrar la información confidencial
durante las transacciones online y, en el caso de los certificados con validación de
la empresa, también sirven como prueba fehaciente de la identidad del propietario
del certificado.

9
 Últimas tácticas de phishing y sus posibles consecuencias para las empresas

Más información
Visite nuestro sitio web
www.symantec.es/ssl

Para contactar con un especialista en nuestros productos,

llame al 900 931 298 o al +41 26 429 7727.

Acerca de Symantec
Symantec es líder mundial en soluciones de gestión de sistemas, almacenamiento
y seguridad. Su objetivo es ayudar a empresas y particulares a gestionar y proteger
sus datos en un mundo cada vez más dominado por la información. Nuestros
servicios y programas garantizan una protección más completa y eficaz frente a
una mayor cantidad de riesgos, lo que es sinónimo de tranquilidad sea cual sea el
medio donde se utilice o almacene la información.

Symantec Spain S.L.

Parque Empresarial La Finca – Somosaguas
Paseo del Club Deportivo, Edificio 13, oficina D1
28223, Pozuelo de Alarcón, Madrid
España
www.symantec.es

© 2013 Symantec Corporation. Todos los derechos reservados. Symantec, el logotipo de Symantec y el emblema del círculo con la marca de verificación son marcas comerciales o marcas
registradas de Symantec Corporation o sus filiales en los Estados Unidos y otros países. VeriSign, VeriSign Trust y otras marcas relacionadas son marcas comerciales o marcas registradas
de VeriSign, Inc., sus filiales o subsidiarias en los Estados Unidos y otros países, otorgadas bajo licencia a Symantec Corporation. Los demás nombres pueden ser marcas comerciales de sus
respectivos propietarios.