Documentos de Académico
Documentos de Profesional
Documentos de Cultura
2023
DEFINICIÓN DEL PHISHING
• Se conoce como phishing a la estrategia en la que los atacantes envían correos electrónicos
malintencionados diseñados para estafar a sus víctimas. La idea suele ser que los usuarios revelen
información financiera, credenciales del sistema u otros datos delicados.
• El phishing es un claro ejemplo de ingeniería social: una colección de técnicas que los estafadores
emplean para manipular la psicología humana. Las técnicas de ingeniería social incluyen la falsificación,
las mentiras y las falsas instrucciones. Todo esto puede estar presente en un ataque de phishing.
Básicamente, estos correos electrónicos se sirven de la ingeniería social para animar a los usuarios a
que actúen sin pensar mucho.
HISTORIA DEL PHISHING
• El término phishing (que en inglés suena igual que fishing, que literalmente significa: pescar) se acuñó a mediados de la década de 1990,
cuando los hackers comenzaron a utilizar correos electrónicos fraudulentos para pescar información de usuarios incautos. Como a estos
primeros hackers se les conocía como phreaks (que en inglés suena igual que freaks, literalmente fenómenos o frikis), el término pasó a
conocerse como phishing, con “ph” (un baile de letras que en español sería: la pesca de los frikis). Un correo de phishing intenta engañar al
destinatario con un cebo para que pique. Y, una vez que han mordido el anzuelo, tanto el usuario como la organización están en problemas.
• Tal como ocurre con muchas amenazas comunes, la historia del phishing comienza en la década de 1990. Cuando AOL era un muy popular
sistema de contenidos con acceso a internet, los atacantes usaban el phishing y la mensajería instantánea para hacerse pasar por
empleados de AOL y convencer a los usuarios de que les dieran sus credenciales, con las cuales procedían a secuestrarles sus cuentas.
• En la década del 2000, los atacantes comenzaron a enfocarse en cuentas bancarias. Los correos electrónicos de phishing se empleaban
para convencer a los usuarios de que divulgasen las credenciales de sus cuentas bancarias. Los correos contenían un enlace a una página
web malintencionada que lucía igual que la web del banco, pero el dominio era una variación del nombre oficial (por ejemplo, paypai.com en
vez de paypal.com). Posteriormente, los atacantes fueron a por otros tipos de cuentas, como las de eBay y Google, para usar estas
credenciales robadas para robar dinero, cometer fraudes o enviar correo no deseado a otros usuarios.
¿POR QUÉ EL PHISHING ES UN
PROBLEMA?
• Los ciberdelincuentes utilizan los correos electrónicos de phishing porque es fácil, barato y eficaz. Las direcciones de
email son fáciles de obtener y enviar correos electrónicos es prácticamente gratis. Con poco esfuerzo y a bajo coste,
los atacantes pueden obtener acceso rápidamente a datos valiosos. Las víctimas de estas estafas pueden recibir
infecciones de malware (incluyendo al ransomware), robo de identidad y pérdida de datos.
• Los datos que buscan los hackers incluyen información personal identificable (PII)—como datos de cuentas
financieras, números de tarjetas de crédito y registros médicos y fiscales—, así como datos empresariales delicados,
tales como nombres de clientes e información de contacto, secretos relacionados con productos propios y
comunicaciones confidenciales.
• Los hackers también usan ataques de phishing para obtener acceso directo a cuentas de correo electrónico, redes
sociales y otras cuentas, de modo de conseguir permiso para modificar y comprometer los sistemas conectados,
como terminales de punto de ventas y sistemas de procesamiento de pedidos. Muchas de las principales filtraciones
de datos ─como la de Target en el 2013, que apareció en primera plana─ comienzan por un correo de phishing.
Mediante un correo aparentemente inocuo, los ciberdelincuentes logran hacerse con un punto de partida interno para
cometer sus fechorías.
¿CÓMO LUCE UN CORREO ELECTRÓNICO DE PHISHING?
El archivo adjunto puede ser una página web, un script de shell (por ejemplo, PowerShell) o un
• Los atacantes se sirven del documento de Microsoft Office con una macro malintencionada. Las macros y los scripts se
miedo y del sentido de la
urgencia. Es común que los pueden usar para descargar malware o tratar de convencer a los usuarios de que divulguen
atacantes les digan a los las credenciales de sus cuentas.
usuarios que sus cuentas Los atacantes registran dominios similares al oficial, o a veces emplean proveedores
están restringidas o que se
suspenderán si el usuario genéricos como Gmail. Es posible ocultar parcialmente la identidad del destinatario en los
objetivo no responde al correo protocolos de correo electrónico, pero la mayoría de los servidores destinatarios emplean
electrónico. El miedo logra que seguridad de correo electrónico capaz de detectar los encabezados falsificados. Cuando los
los usuarios víctimas ignoren
las señales de advertencia usuarios reciben los correos, es posible que los mensajes contengan el logotipo oficial de la
más comunes y se olviden de empresa, pero la dirección de remitente no tiene el dominio oficial de la empresa. La dirección
sus conocimientos de phishing. del remitente es una potencial señal de alarma, pero no debería ser el único factor utilizado
Hasta los administradores y
expertos en seguridad “pican” para determinar la legitimidad de un mensaje.
en estafas de vez en cuando.
• En general, los correos
electrónicos de phishing se
envían a la mayor cantidad
posible de personas, así que el
saludo suele ser genérico.
PRINCIPALES MECANISMOS UTILIZADOS EN LOS CORREOS ELECTRÓNICOS DE
PHISHING
• Los ciberatacantes usan tres mecanismos principales para robar información: enlaces web malintencionados, archivos
adjuntos malintencionados y formularios falsos de introducción de datos.
Es común que los atacantes utilicen mensajes que hablan de problemas con cuentas, envíos, información bancaria y
transacciones financieras. Los mensajes relacionados con envíos son comunes durante la época navideña, porque hay mucha
gente esperando recibir pedidos. Si un usuario no se da cuenta de que el dominio de la dirección del remitente no es legítimo, el
usuario podría ser convencido para que haga clic en el enlace y divulgue datos delicados.
TIPOS DE ATAQUES DE PHISHING
• El phishing ha evolucionado mucho más allá del simple robo de datos y de credenciales. La manera en que
el atacante configure su campaña depende del tipo de phishing. Los diferentes tipos incluyen:
Dónde ocurre
Es importante tener presentes las consecuencias de resultar víctima de un ataque de phishing, tanto en casa como en el trabajo. Aquí le
indicamos tan solo algunos de los problemas que pueden surgir al resultar víctima de un correo de phishing:
En su vida personal: En el trabajo:
•Robo de dinero de cuentas bancarias. •Pérdida de fondos corporativos.
•Cargos fraudulentos en tarjetas de crédito. •Divulgación de información personal de clientes y compañeros de trabajo.
•Declaraciones de impuestos realizadas a nombre de una persona. •Los intrusos pueden acceder a comunicaciones confidenciales, archivos y
•Préstamos e hipotecas contraídos a nombre de una persona. sistemas.
•Pérdida de acceso a fotos, videos, archivos y otros documentos •Los archivos se bloquean y se vuelven inaccesibles.
importantes. •Perjuicio a la reputación del empleador.
•Publicaciones falsas en redes sociales hechas en las cuentas de una •Multas financieras por infringir las reglas de cumplimiento.
persona. •Pérdida de valor de la compañía.
•Disminución en la confianza de los inversores.
•Interrupciones a la productividad que afectan a los ingresos.
PHISHING Y
TELETRABAJO
Sectores más propensos a sufrir Marcas más suplantadas
• La pandemia ha cambiado radicalmente la manera de trabajar ataques
para la mayoría de las organizaciones y los empleados. El Con la finalidad de engañar a la mayor cantidad
trabajo remoto se ha convertido en el estándar, así que los El objetivo de la mayoría del phishing es posible de personas, los atacantes usan marcas
dispositivos corporativos y personales han pasado a ser de
presencia obligada en el lugar de trabajo. Este cambio en el obtener beneficios financieros, por lo que establecidas. Las marcas establecidas generan
entorno laboral les dio una ventaja a los atacantes. Los los atacantes suelen enfocarse en sectores
usuarios no cuentan con ciberseguridad de nivel corporativo confianza en los destinatarios, lo que incrementa
en sus casas, así que la seguridad para correo electrónico es muy específicos. El objetivo podría ser la posibilidad de éxito del ataque. Cualquier
menos eficaz, lo que a su vez les da a los atacantes una mayor
probabilidad de ejecutar exitosamente una campaña de tanto una organización entera como marca se puede utilizar en el phishing, pero
phishing. usuarios individuales. Los sectores más algunas de las más comunes son:
• Como ahora los empleados trabajan desde casa, es más propensos a sufrir estos ataques son: •Google
importante para las organizaciones el formarlos para que
adquieran conciencia acerca del phishing. Los casos de •Tiendas en línea (e-commerce). •Microsoft
suplantación de identidad de ejecutivos y proveedores •Redes sociales.
oficiales han aumentado durante la pandemia. Como los •Amazon
empleados aun necesitan tener acceso a los sistemas •Bancos y otras instituciones financieras. •Chase
corporativos, un atacante puede enfocarse en cualquier
empleado que trabaje desde casa para obtener acceso •Sistemas de pago (procesadoras de •Wells Fargo
remoto al entorno. Los administradores fueron obligados a
configurar accesos remotos rápidamente, así que la
tarjetas). •Bank of America
ciberseguridad del entorno fue dejada de lado en favor de la •Compañías de TI. •Apple
comodidad. Esta urgencia generó vulnerabilidades que los
atacantes podían explotar, muchas de las cuales eran debido •Compañías de telecomunicaciones. •LinkedIn
a errores humanos. •Compañías de envíos. •FedEx
• Si combinamos una mala ciberseguridad con el hecho de que •DHL
los empleados optan por conectarse desde sus dispositivos
personales, el resultado es una miríada de oportunidades
para los atacantes. El phishing aumentó en el mundo entero.
Google ha reportado un repunte del 350% en la creación de
páginas web de phishing a comienzos de 2020, después de
los confinamientos por la pandemia.
PROTECCIÓN CONTRA EL
PHISHING
• La protección contra el phishing es una importante medida de seguridad que las Cómo actuar ante el phishing
empresas pueden implementar para evitar ataques a sus empleados y su
organización. La capacitación y formación para conciencia de seguridad, que permite a
los individuos detectar y reconocer cuándo luce sospechoso un correo electrónico Después de que la víctima ha enviado su información a un atacante, lo más
definitivamente ayuda a reducir la cantidad de ataques que tienen éxito. Sin
embargo, como el comportamiento del usuario no es predecible, es fundamental la probable es que esta se comparta con otros estafadores. Es probable que también
detección del phishing basada en soluciones.
reciba mensajes de vishing y de smishing, nuevos correos electrónicos de phishing
• La formación, aplicada a ejemplos y ejercicios reales, ayuda a los usuarios a
identificar el phishing. Es muy común que las organizaciones trabajen con expertos
para enviar correos electrónicos de phishing simulados a los empleados y que
y llamadas de voz. Manténgase siempre alerta ante mensajes sospechosos que le
rastreen quién abre el correo y clica en el enlace. A estos empleados se les puede
capacitar en mayor profundidad para que no cometan los mismos errores en
pidan información suya o detalles financieros.
futuros ataques.
La Comisión Federal de Comercio tiene una página web dedicada específicamente
• Algunas soluciones de email gateway basadas en la reputación son capaces de
detectar y clasificar los correos de phishing basándose en la mala reputación que a identificar robos para ayudarle a mitigar los daños y a monitorizar su calificación
pueden tener las URL incrustadas. Lo que estas soluciones suelen ser incapaces
de detectar son los correos bien redactados que contienen URL de páginas web crediticia. Si ha clicado en un enlace o ha abierto un archivo adjunto sospechoso,
legítimas que se encuentran comprometidas y que no tienen mala reputación al
momento de la entrega del correo electrónico. su computadora podría tener malware instalado. Para detectar y eliminar el
• Los sistemas más eficaces logran identificar los correos electrónicos sospechosos
basándose en el análisis de anomalías, que busca y detecta patrones inusuales en
malware, asegúrese de que su software antivirus esté actualizado y tenga
el tráfico para identificar correos electrónicos sospechosos y después reescribe la
URL incrustada y realiza una vigilancia constante sobre la URL para detectar
instaladas las revisiones más recientes.
“exploits” y descargas integradas en la página. Estas herramientas de
monitorización ponen en cuarentena a los mensajes sospechosos de correo
electrónico, para que los administradores puedan investigar ataques de phishing
continuos. Si se detecta una gran cantidad de correos electrónicos de phishing, los
administradores pueden alertar a los empleados y reducir las posibilidades de que
se perpetre una campaña de phishing dirigido.