Qué es phishing?

Si bien no existe una definición de phishing propiamente dicha,

podemos definirlo como las técnicas o métodos empleados por
los delincuentes cibernéticos para conseguir información
confidencial de sus víctimas; esta información pueden ser datos
personales, cuentas de usuario y contraseñas o datos bancarios.
Por lo tanto, el phishing es un tipo de fraude informático.

El significado de phishing proviene de la palabra inglesa

«fishing», que significa pesca, y mediante la cual se hace alusión al
hecho de utilizar un cebo para conseguir que las víctimas del
ataque piquen.

A los ciberdelincuentes que llevan a cabo ataques de phishing, se

les denomina «phishers»

¿Cómo funciona el phishing?

Una de las características del phishing es que se trata de una

técnica de ingeniería social que los ciberdelincuentes emplean para
estafar a sus víctimas y conseguir sus objetivos.

Lo habitual es que envíen un email en el que se hacen pasar por

alguna empresa u organización (como bancos, plataformas de
streaming, tiendas online, etc.). El email hace mención a algún tipo
de problema que necesita ser solucionado (es habitual la
«amenaza» del bloqueo de tarjetas de crédito o cuentas de usuario)
y contiene un link o enlace que la víctima tendrá que pulsar para
solucionarlo.

Este enlace conduce, normalmente, a una web fraudulenta, pero

que imita (en ocasiones muy bien) la página real de la compañía en
cuestión. Aquí a la víctima se le pedirá ingresar diferentes tipos de
datos, en función de la intención y objetivo del ataque de phishing
y los hackers tras él, o directamente se descargará algún tipo de
malware al ordenador de la víctima, que les permita acceder a la
información almacenada en él.

Aunque lo habitual es recurrir al email para phishing, lo cierto es

que existen otras vías de ataque, como los servicios de mensajería
instantánea, los SMS, los mensajes en redes sociales o incluso las
aplicaciones de mensajería de voz o el teléfono.
Lo mismo ocurre con el contenido que podemos encontrar en estos
mensajes, si bien lo habitual es que hagan referencia a tarjetas o
cuentas bancarias, también podemos encontrar otros tipos de
asuntos como falsas ofertas de empleo, promoción de nuevos
productos, supuestos sorteos en los que hemos resultado
ganadores, cancelación de cuentas de usuario en juegos online,
etc.

Como veremos más adelante, no existe un único tipo de ataque de

phishing, si bien los objetivos suelen ser siempre similares,
conseguir datos personales y bancarios de las víctimas.

¿Cuáles son los efectos del phishing?

Ser víctimas de las estafas con phishing puede tener

consecuencias graves; desde el robo de datos personales (que los
delincuentes pueden vender a terceros), pasando por el posible
robo de dinero al hacerse con nuestros datos bancarios, ser
víctimas de suplantación de identidad, hasta perder el control de
nuestro ordenador y tener que pagar un rescate para recuperarlo,
entre otras.

Esto a nivel particular, cuando el phishing afecta a una empresa,

las consecuencias para esta pueden ser más graves, puesto que se
produce una brecha de seguridad que puede poner en riesgo la
información confidencial y datos personales de empleados y
clientes de la compañía. También puede ser víctima de ransomware
o acabar con muchos o todos los equipos conectados a la red
interna infectados por algún tipo de virus.

Tipos de ataques de phishing

Como dijimos al comienzo de este artículo, existen diferentes tipos

de ataques de phishing online, que todos necesitamos conocer,
para poder identificarlos y protegernos de los mismos.

Con los años, algunos de estos ataques de phishing en

informática se han ido sofisticando, haciendo que reconocerlos sea
algo más complicado; es cierto que muchos intentos de phishing
que nos llegan al email son bastante burdos y obvios, pero otros
están mucho más cuidados y si no se presta especial atención a
algunos detalles, podemos caer víctimas de ellos.
A continuación vamos a ver los ataques de phishing más
empleados.

Spear Phishing

Si bien el phishing tradicional utiliza un enfoque de «echar la caña y

esperar», lo que significa que se envían correos electrónicos
masivos a la mayor cantidad de personas posible, el spear phishing
es un ataque mucho más selectivo en el que el pirata informático
sabe qué persona u organización específica persigue. Investigan el
objetivo para hacer que el ataque sea más personalizado y
aumentar la probabilidad de que el objetivo caiga en su trampa.

El empleo de técnicas de ingeniería social aquí es clave, sobre todo

porque el hacker procurará conocer toda la información que pueda
sobre su objetivo, para que el contenido del email sea lo más
convincente posible.

Email / Spam

Es la técnica más común para llevar a cabo ataques de phishing

informático; se envía el mismo correo electrónico a millones de
usuarios con una solicitud para completar sus datos personales.
Estos detalles serán utilizados por los phishers para sus actividades
ilegales. La mayoría de los mensajes tienen una nota urgente que
requiere que el usuario ingrese sus credenciales para actualizar la
información de la cuenta, cambiar detalles o verificar cuentas. A
veces, se les puede pedir que completen un formulario para
acceder a un nuevo servicio a través de un enlace que se
proporciona en el correo electrónico.

Durante los meses de confinamiento y ahora con las vacunas,

hemos visto aumentar este tipo de ataques de phishing basados en
el Covid-19.

Entrega basada en web

La entrega basada en web es una de las técnicas de phishing más

sofisticadas. También conocido como «hombre en el medio», el
hacker se encuentra entre el sitio web original y el sistema de
phishing. El phisher rastrea detalles durante una transacción entre
el sitio web legítimo y el usuario. A medida que el usuario continúa
pasando información, los phishers la recopilan sin que el usuario lo
sepa.
Manipulación de enlaces

La manipulación de enlaces o URL phishing es la técnica mediante

la cual el phisher envía un enlace a un sitio web malicioso. Cuando
el usuario hace clic en el enlace engañoso, abre el sitio web del
phisher en lugar del sitio web mencionado en el enlace. Lo normal
es que el aspecto del sitio web fraudulento sea idéntico al real que
espera el usuario, de manera que no sospeche nada y caiga así en
la manipulación del enlace.

Keyloggers

Los keyloggers se refieren al malware utilizado para identificar

entradas desde el teclado. La información se envía a los piratas
informáticos que descifrarán las contraseñas y otros tipos de
información. Para evitar que los registradores de teclas accedan a
información personal, los sitios web seguros ofrecen opciones para
usar clics del ratón para hacer entradas a través del teclado virtual.

Troyano

Un troyano o caballo de Troya es un tipo de malware diseñado para

engañar al usuario con una acción que parece legítima (por
ejemplo, descargar un software gratuito), pero que en realidad
permite el acceso no autorizado a la cuenta del usuario para
recopilar credenciales a través de la máquina local. La información
adquirida se transmite a los ciberdelincuentes.

Malvertising

El malvertising o publicidad maliciosa es aquella que contiene

scripts activos diseñados para descargar malware o forzar
contenido no deseado en su computadora. Los exploits en Adobe
PDF y Flash son los métodos más comunes utilizados en anuncios
malignos.

Secuestro de sesión

En el secuestro de sesión, el phisher explota el mecanismo de

control de sesión web para robar información del usuario. En un
procedimiento simple de pirateo de sesión conocido como sniffing
de sesión, el phisher puede usar un sniffer para interceptar
información relevante y poder acceder ilegalmente al servidor web.
Inyección de contenido

La inyección de contenido es la técnica en la que el phisher cambia

una parte del contenido en la página de un sitio web confiable. Esto
se hace para engañar al usuario para que vaya a una página fuera
del sitio web legítimo donde se le pide al usuario que ingrese
información personal.

Phishing a través de motores de búsqueda

Algunas estafas de phishing involucran motores de búsqueda donde

el usuario es dirigido a sitios de productos que pueden ofrecer
productos o servicios de bajo costo. Cuando el usuario intenta
comprar el producto ingresando los datos de la tarjeta de crédito, el
sitio de phishing lo recopila. Hay muchos sitios web de bancos
falsos que ofrecen tarjetas de crédito o préstamos a los usuarios a
una tasa baja, pero en realidad son sitios de phishing.

Vishing (el phishing telefónico)

El vishing o phishing telefónico o por voz es aquel en el que el

phisher realiza una llamada telefónica haciéndose pasar por alguna
compañía o entidad. Las técnicas empleadas son similares a las
que podemos encontrar en el phishing (comunicar algún problema
con un servicio, el método de pago o de ese estilo). El objetivo es
que la víctima proporcione información personal de la cuenta
bancaria.

Aunque en el pasado era habitual que los ataques de vishing se

llevaran a cabo a través de números privados o números con
muchas más cifras de lo habitual, con el tiempo han ido cambiando
y ahora se emplean números telefónicos que en principio no nos
hacen sospechar que sea una llamada fraudulenta.

Smishing (phishing de SMS)

Phishing realizado a través del Servicio de mensajes cortos (SMS),

un servicio de mensajes de texto por teléfono. Un texto smishing,
por ejemplo, intenta atraer a una víctima para que revele
información personal a través de un enlace que conduce a un sitio
web de phishing.

Malware
Las estafas de phishing que involucran malware requieren que se
ejecute en la computadora del usuario. El malware generalmente se
adjunta al correo electrónico enviado al usuario por los phishers.
Una vez que haga clic en el enlace, el malware comenzará a
funcionar. A veces, el malware también se puede adjuntar a
archivos descargables.

Malware hace referencia a cualquier tipo de virus, por lo que si

hacemos clic en este tipo de enlaces, estaremos abriendo la puerta
a diferentes tipos de virus con diferentes tipos de objetivos.

Secuestro de datos

El ransomware niega el acceso a un dispositivo o archivos hasta

que se haya pagado un rescate. Puede aplicarse sobre todo el
equipo, impidiendo su uso o limitar el acceso a unos archivos
determinados.

Aunque los particulares también suelen ser víctimas de este tipo de

ataque de phishing, es más habitual que sean las empresas u
organismos públicos el objetivo favorito de estos ciberataques,
puesto que el daño que puede causar un bloqueo de los equipos o
de archivos concreto, es elevado.

La forma de llevarlo a cabo, como en la mayoría de estos ataques,

es conseguir que la víctima haga clic en un enlace que descargará
el malware en el equipo; puede ser un enlace en un email, un
anuncio malicioso o un archivo adjunto.

419/Estafas nigerianas

La estafa nigeriana es uno de los fraudes por correo electrónico

más antiguos. Reciben este nombre, porque Nigeria era, en un
principio, el país de origen de esta estafa, y el 419 porque es el
artículo del código penal nigeriano sobre fraude.

Esta forma de phishing consiste, generalmente (aunque hay

variantes) en convencer a la víctima de que facilite su número de
cuenta bancaria o adelante una cantidad de dinero, a cambio de lo
cual, será recompensado con una cantidad mayor en el futuro. La
idea base es que un supuesto funcionario nigeriano necesita sacar
dinero fuera del país, pero para ello necesita la ayuda de la víctima,
que debe adelantar ciertas cantidades de dinero para llevar a cabo
el pago de supuestos sobornos, impuestos, etc. A cambio, el
supuesto funcionario compartirá con la víctima ese dinero que
quiere sacar del país.

Whaling

El whaling es un tipo de ataque de phishing mucho más dirigido y

concreto, que tiene como objetivo altos cargos de una empresa,
como los CEO y otros puestos de alto nivel. En este caso se
emplean técnicas más sofisticadas y refinadas, para que las
víctimas, que están mejor formadas para reconocer el phishing,
caigan en la trampa.

El objetivo, como siempre en este tipo de ataques, es conseguir que

la víctima acceda a un enlace de un sitio web falso, para conseguir
credenciales de acceso, o descargar archivos adjuntos que instalen
malware en su equipo y en la red de la empresa.

Phishing de clonación

En el phishing de clonación el phisher realiza una copia o clona un

correo electrónico legítimo de una compañía u organización que ha
sido enviado con anterioridad y que contenía o algún enlace o algún
archivo adjunto. El phisher manipula estos enlaces o adjuntos para
que lleven a contenido malicioso y vuelve a enviar los correos. Dado
que el email es exactamente igual que los últimos recibidos, la
víctima suele caer en la trampa y pinchar en el enlace o descargar
el archivo, permitiendo la infección del equipo.

¿Cómo identificar un ataque de phishing?

Ahora que ya conocéis los ataques de phishing más habituales,

vemos cómo podéis identificarlos para evitar ser víctimas de los
mismos.

Todos los ataques de phishing se basan en la suplantación de

identidad, bien a través de un email, bien a través de una página
web falsa o, como hemos visto, incluso recurriendo a llamadas
telefónicas. Así que la forma de identificarlos es prestar atención al
detalle.

Es cierto que algunos phishers falsifican emails o webs hasta el

mínimo detalle, pero siempre hay algo que no pueden falsear
completamente y eso es la dirección de la que proviene el email o la
URL de la web. Es ahí donde debemos fijarnos bien.
Normalmente, los emails que provienen de compañías,
organizaciones o bancos, incluyen su nombre de dominio, por
ejemplo, info@nombreempresa.com. Cuando se trata de un
intento de phishing, la dirección se parecerá a esto:
info.nombreempresa@gmail.com o similares. Es decir, el nombre
de dominio no figurará después de la @, sino que será alguna
plataforma de correo o dominio extraño.

Así que comprobad la dirección del remitente y si os resulta

sospechosa, no pulséis en los enlaces que pueda contener ni
descarguéis archivos adjuntos.

En cuanto a las páginas web, lo primero que tenéis que mirar es si

la dirección empieza por «https://», esa «s» es la clave y nos indica
que estamos en un sitio web seguro, igual que el candado que
aparece a la izquierda de la barra de dirección.

Es cierto que hay páginas legítimas que no tienen el candado, así

que en este caso, debéis aseguraros de que estáis en el sitio
correcto, especialmente si habéis entrado en él vía enlace, en vez
de haber introducido vosotros la dirección manualmente. Y si no
termináis de estar seguros, no llevéis a cabo ninguna acción ahí y
cerrar la web.

Cuando los intentos de phishing son menos sofisticados, es más

fácil reconocerlos, porque la redacción del texto tiene errores
gramaticales, ya que se suelen emplear traductores para
componerlos. Así que atentos al lenguaje del texto también.

Y si lo que recibís es una llamada telefónica, lo más probable es

que el delincuente se esté intentando hacer pasar por un servicio
técnico. Normalmente, al otro lado de la línea tendréis a personas
extranjeras, por lo que eso ya es una pista para colgar la llamada.
Pero en caso de que sean españoles, recordad que los servicios
técnicos solo se pondrán en contacto con vosotros si así lo
solicitáis. Y si os dicen que son bancos o compañías telefónicas de
suministros de energía o agua, recordad que estas llaman para
venderos servicios, no para pediros vuestros datos a las primeras
de cambio.

¿Cómo protegerse del phishing?

Para protegerse o evitar el phishing podéis poner en práctica las

contramedidas, que incluyen recibir capacitación, conocer
conceptos legales, implementar medidas de control de seguridad y
crear conciencia a través de mejores prácticas de seguridad.

Estas prácticas mejoran la arquitectura empresarial y la hacen

adecuada para resistir los ataques.

Inicio de sesión seguro

El primer paso de seguridad debe ser el uso de un sitio HTTPS en

lugar de HTTP. Cada vez que se inicia sesión desde una página
HTTP, no hay garantía de que tus credenciales de inicio de sesión
se envíen en un formato cifrado a la página principal. Además, la
autenticación bidireccional o el inicio de sesión basado en
certificados es imprescindible para inicios de sesión significativos.
Esta es una combinación de un nombre de usuario y contraseña
tradicionales junto con un código que se envió a tu teléfono.

Implementación de políticas y procedimientos de la

organización

Cada empresa debe actualizar periódicamente sus políticas,

procedimientos y procesos para proteger los datos confidenciales
de sus usuarios. Esa es la razón por la cual los departamentos de
TI presionan continuamente para realizar copias de seguridad,
restauraciones y cambios mensuales de contraseña.

Formar a la plantilla en materia de ciberseguridad es muy

recomendable también, porque los trabajadores son uno de los
eslabones débiles de la cadena de seguridad, en muchas ocasiones
basta con que uno de ellos pinche en un enlace malicioso o
descargue un archivo adjunto infectado con malware, para afectar al
resto de un departamento o, en el peor de los casos, a toda la
compañía.

Informes

Informar sobre actividades sospechosas observadas en cuentas de

correo electrónico es imprescindible para los empleados. Deben
mantenerse alerta ante correos electrónicos sospechosos, enlaces
o archivos adjuntos para mantener su seguridad.

Firma digital de correos electrónicos seguros

Agregar una capa digital de seguridad asegura que los estafadores
no puedan alterar su contenido. Esto se puede hacer mediante el
«envío de marcos de políticas». Un marco de políticas de envío es
una medida de seguridad utilizada para bloquear correos
electrónicos falsificados. Las empresas que usan políticas SPF
permiten a los intercambiadores de correo verificar si los correos
electrónicos entrantes provienen de un host autorizado aprobado
por los administradores de dominio.

Actualizaciones de software

Se debe mantener siempre actualizado los software que tengamos

instalados en el ordenador, incluidos los antivirus, los firewalls y el
navegador, ya que contar con la última versión de estos programas,
nos asegura estar a salvo de las vulnerabilidades conocidas de
versiones anteriores.

Manejo de correo no deseado

Puedes configurar su solución Anti-phishing para que tome una de

varias acciones cuando se enfrente a un ataque de phishing de
correo electrónico, como eliminar permanentemente dichos correos
electrónicos, regresar al remitente, almacenar en una carpeta
dedicada o casilla de correo no deseado, reenviar el correo
electrónico a tu jefe de seguridad cibernética junto con etiquetas
relevantes o encabezados X.

Contrarrestando los ataques del Hombre en el Medio

En este tipo de ataque, los phishers recopilan contraseñas de un

solo uso de corta duración llamadas contraseñas de identificación
de usuario y organizaciones de ataque. El software puede detectar
si hay muchas conexiones desde un PC al sitio de tu organización,
ya que esto es indicativo de un hombre en el medio del ataque.

Ejemplos de phishing

Cerramos este artículo con algunos ejemplos de phishing

recientes.

En este primer ejemplo, podéis ver un intento de phishing en el que

supuestamente, gracias a que el destinatario ha acumulado unos
puntos, Amazon le ofrece como recompensa adquirir un
smartphone Samsung Galaxy S20 por 1,50 euros. Si os fijáis en la
dirección del remitente, es evidente que el email no proviene de
Amazon. Pero en este caso, no haría falta, porque Amazon no tiene
un programa de fidelización basado en puntos.

Otro ejemplo de phishing vía email es aquel en el que nos premian

con algo o nos dicen que nos van a dar dinero, como el que podéis
ver en la imagen bajo estas líneas. Proviene nada menos que de la
ONU y nos dice que hemos sido seleccionados para recibir una
compensación por la pandemia de coronavirus de 2.500.000
dólares. Nos explican que es una iniciativa de la UE, el gobierno de
EE. UU., el FMI, la ONU y el Banco Mundial.

El email está muy bien redactado (si bien en inglés) y emplea un

lenguaje cuidado y que suena a oficial, pero, por supuesto, nos
apremia a llevar a cabo las acciones que nos pide, que es
suministrar datos personales y nos dan un código que tenemos que
incluir en el asunto del email cuando les contactemos. Y al final nos
indican que no comuniquemos esto a nadie.

Un ejemplo de las consecuencias que un ataque de ransomware

llevado a cabo a través de técnicas de phishing, lo tenemos en los
diferentes ataques que han sufrido algunos hospitales utilizando el
Covid-19 como punto de entrada. Estos ataques han llegado a
bloquear el acceso a los historiales de los pacientes, provocando la
cancelación de cirugías o tratamientos.

Y para finalizar, un ejemplo de vishing lo tenemos estos últimos

años en el conocido como el timo de la llamada de Microsoft, en el
que recibimos una llamada del supuesto soporte técnico de
Microsoft, en la que nos informan de que existe algún problema en
nuestro ordenador y que para solucionarlo, debemos entrar en una
página web que nos indican y descargarnos un programa. Al
hacerlo, estaremos dando el control sobre nuestro equipo a los
phishers.