¨AÑO DE LA UNIDAD, LA PAZ Y EL DESARROLLO¨

INSTITUTO SUPERIOR TECNOLÓGICO PÚBLICO DE PISCO

CARRERA PROFESIONAL TÉCNICA:
ARQUITECTURA DE PLATAFORMAS Y SERVICIOS DE TECNOLOGÍAS DE LA
INFORMACIÓN
UNIDAD DIDÁCTICA: ATAQUE DE LOS PHISHING
PROFESORA: REBECA QUINTANILLA
PRESENTADO POR: PIERO LLANCARE ZARATE ALEXANDER

2023
 DEFINICIÓN DEL PHISHING
• Se conoce como phishing a la estrategia en la que los atacantes envían correos electrónicos
malintencionados diseñados para estafar a sus víctimas. La idea suele ser que los usuarios revelen
información financiera, credenciales del sistema u otros datos delicados.
• El phishing es un claro ejemplo de ingeniería social: una colección de técnicas que los estafadores
emplean para manipular la psicología humana. Las técnicas de ingeniería social incluyen la falsificación,
las mentiras y las falsas instrucciones. Todo esto puede estar presente en un ataque de phishing.
Básicamente, estos correos electrónicos se sirven de la ingeniería social para animar a los usuarios a
que actúen sin pensar mucho.
 HISTORIA DEL PHISHING
• El término phishing (que en inglés suena igual que fishing, que literalmente significa: pescar) se acuñó a mediados de la década de 1990,
cuando los hackers comenzaron a utilizar correos electrónicos fraudulentos para pescar información de usuarios incautos. Como a estos
primeros hackers se les conocía como phreaks (que en inglés suena igual que freaks, literalmente fenómenos o frikis), el término pasó a
conocerse como phishing, con “ph” (un baile de letras que en español sería: la pesca de los frikis). Un correo de phishing intenta engañar al
destinatario con un cebo para que pique. Y, una vez que han mordido el anzuelo, tanto el usuario como la organización están en problemas.
• Tal como ocurre con muchas amenazas comunes, la historia del phishing comienza en la década de 1990. Cuando AOL era un muy popular
sistema de contenidos con acceso a internet, los atacantes usaban el phishing y la mensajería instantánea para hacerse pasar por
empleados de AOL y convencer a los usuarios de que les dieran sus credenciales, con las cuales procedían a secuestrarles sus cuentas.
• En la década del 2000, los atacantes comenzaron a enfocarse en cuentas bancarias. Los correos electrónicos de phishing se empleaban
para convencer a los usuarios de que divulgasen las credenciales de sus cuentas bancarias. Los correos contenían un enlace a una página
web malintencionada que lucía igual que la web del banco, pero el dominio era una variación del nombre oficial (por ejemplo, paypai.com en
vez de paypal.com). Posteriormente, los atacantes fueron a por otros tipos de cuentas, como las de eBay y Google, para usar estas
credenciales robadas para robar dinero, cometer fraudes o enviar correo no deseado a otros usuarios.
 ¿POR QUÉ EL PHISHING ES UN
PROBLEMA?
• Los ciberdelincuentes utilizan los correos electrónicos de phishing porque es fácil, barato y eficaz. Las direcciones de
email son fáciles de obtener y enviar correos electrónicos es prácticamente gratis. Con poco esfuerzo y a bajo coste,
los atacantes pueden obtener acceso rápidamente a datos valiosos. Las víctimas de estas estafas pueden recibir
infecciones de malware (incluyendo al ransomware), robo de identidad y pérdida de datos.
• Los datos que buscan los hackers incluyen información personal identificable (PII)—como datos de cuentas
financieras, números de tarjetas de crédito y registros médicos y fiscales—, así como datos empresariales delicados,
tales como nombres de clientes e información de contacto, secretos relacionados con productos propios y
comunicaciones confidenciales.
• Los hackers también usan ataques de phishing para obtener acceso directo a cuentas de correo electrónico, redes
sociales y otras cuentas, de modo de conseguir permiso para modificar y comprometer los sistemas conectados,
como terminales de punto de ventas y sistemas de procesamiento de pedidos. Muchas de las principales filtraciones
de datos ─como la de Target en el 2013, que apareció en primera plana─ comienzan por un correo de phishing.
Mediante un correo aparentemente inocuo, los ciberdelincuentes logran hacerse con un punto de partida interno para
cometer sus fechorías.
¿CÓMO LUCE UN CORREO ELECTRÓNICO DE PHISHING?
El archivo adjunto puede ser una página web, un script de shell (por ejemplo, PowerShell) o un
• Los atacantes se sirven del documento de Microsoft Office con una macro malintencionada. Las macros y los scripts se
miedo y del sentido de la
urgencia. Es común que los pueden usar para descargar malware o tratar de convencer a los usuarios de que divulguen
atacantes les digan a los las credenciales de sus cuentas.
usuarios que sus cuentas Los atacantes registran dominios similares al oficial, o a veces emplean proveedores
están restringidas o que se
suspenderán si el usuario genéricos como Gmail. Es posible ocultar parcialmente la identidad del destinatario en los
objetivo no responde al correo protocolos de correo electrónico, pero la mayoría de los servidores destinatarios emplean
electrónico. El miedo logra que seguridad de correo electrónico capaz de detectar los encabezados falsificados. Cuando los
los usuarios víctimas ignoren
las señales de advertencia usuarios reciben los correos, es posible que los mensajes contengan el logotipo oficial de la
más comunes y se olviden de empresa, pero la dirección de remitente no tiene el dominio oficial de la empresa. La dirección
sus conocimientos de phishing. del remitente es una potencial señal de alarma, pero no debería ser el único factor utilizado
Hasta los administradores y
expertos en seguridad “pican” para determinar la legitimidad de un mensaje.
en estafas de vez en cuando.
• En general, los correos
electrónicos de phishing se
envían a la mayor cantidad
posible de personas, así que el
saludo suele ser genérico.
PRINCIPALES MECANISMOS UTILIZADOS EN LOS CORREOS ELECTRÓNICOS DE
PHISHING
• Los ciberatacantes usan tres mecanismos principales para robar información: enlaces web malintencionados, archivos
adjuntos malintencionados y formularios falsos de introducción de datos.

Enlaces web malintencionados

Los enlaces, también conocidos como URL, son comunes en los correos electrónicos normales y también en los de phishing. Los enlaces
malintencionados llevan a los usuarios a páginas web falsas o que están infectadas con software malintencionado, que se conoce también
como malware. Los enlaces malintencionados se pueden “disfrazar” para que luzcan igual que los enlaces confiables y se incrustan en los logotipos u
otras imágenes en un correo electrónico.
Aquí puede ver otro de los ejemplos de phishing en un correo electrónico recibido por usuarios de la Cornell University, una universidad de los
Estados Unidos. Es un mensaje sencillo que ponía “Help Desk” (servicio de asistencia) como nombre del remitente. Sin embargo, el correo no
provenía del servicio de asistencia, sino del dominio @connect.ust.hk. Según el equipo de TI de Cornell, el enlace incrustado en el correo electrónico
llevaba a los usuarios a una página que lucía como la página de inicio de sesión de Office 365. El correo electrónico de phishing intentaba robar las
credenciales de los usuarios.
 ARCHIVOS ADJUNTOS
MALINTENCIONADOS
• Estos adjuntos lucen como archivos legítimos, pero realmente están infectados con
malware que puede comprometer ordenadores y los archivos que contienen. En el
caso del ransomware —un tipo de malware—todos los archivos de una PC podrían
bloquearse y quedar inaccesibles. O también se podría instalar un registrador de
teclas (“keylogger”) para detectar todo lo que un usuario escribe, incluyendo sus
contraseñas. También es importante darse cuenta de que las infecciones de
ransomware y de malware pueden propagarse de una PC a otros dispositivos
conectados en red, tales como discos duros externos, servidores y hasta sistemas
basados en la nube.
• Otros ejemplos de phishing en la industria de la mensajería, se han alertado desde
la página de FedEX, donde se ha publicado el texto de un correo electrónico
fraudulento. Este correo exhortaba a los destinatarios que imprimiesen una copia
de un recibo postal adjunto y que lo llevaran físicamente a una sede de FedEX
para recuperar un paquete que no se había podido entregar. Desafortunadamente,
el archivo adjunto contenía un virus que infectaba las computadoras de los
destinatarios. Aunque este tipo de estafas basadas en falsos envíos son
particularmente comunes durante la temporada de compras navideñas, pueden
ocurrir en cualquier época del año.
Formularios falsos de inserción
de datos
Estos correos electrónicos les solicitan a los usuarios que introduzcan información
delicada, como ID de usuario, contraseñas, datos de tarjetas de crédito y números
telefónicos. Una vez que los usuarios envían esa información, los cibercriminales
pueden usarla para su beneficio personal.
Aquí les mostramos un ejemplo de phishing de una landing page o página de
destino falsa que fue publicada en la página web de gov.uk. Después de hacer clic
en un enlace de un correo de phishing, los usuarios son redireccionados a esta
página fraudulenta que parece ser parte de la agencia tributaria HMRC. A los
usuarios se les dice que pueden optar por un reembolso, pero que antes deben
rellenar el formulario. Este tipo de información personal puede ser usada por
delincuentes para una cantidad de actividades fraudulentas, incluyendo el robo de
identidad.
 LÍNEAS DE “ASUNTO” QUE SE SUELEN USAR EN EL
PHISHING
• El asunto de un correo electrónico determina si el usuario abrirá o no el mensaje. En un ataque de
phishing, la línea del asunto se aprovecha de los temores del usuario y de una sensación de
urgencia.

Es común que los atacantes utilicen mensajes que hablan de problemas con cuentas, envíos, información bancaria y
transacciones financieras. Los mensajes relacionados con envíos son comunes durante la época navideña, porque hay mucha
gente esperando recibir pedidos. Si un usuario no se da cuenta de que el dominio de la dirección del remitente no es legítimo, el
usuario podría ser convencido para que haga clic en el enlace y divulgue datos delicados.
 TIPOS DE ATAQUES DE PHISHING
• El phishing ha evolucionado mucho más allá del simple robo de datos y de credenciales. La manera en que
el atacante configure su campaña depende del tipo de phishing. Los diferentes tipos incluyen:

•Spear phishing: estos mensajes de correo electrónico se envían

a personas específicas dentro de una organización, típicamente
titulares de cuentas con alto nivel de privilegios.
•Manipulación de enlaces: los mensajes contienen un enlace a
una página malintencionada que luce igual que la página oficial
de una empresa.
•Fraude a directores generales (CEO): estos mensajes se envían
principalmente a personas del sector financiero para hacerles
creer que el CEO u otro ejecutivo les está pidiendo que
transfieran dinero.
•Inyección de contenidos: un atacante capaz de inyectar
contenidos malintencionados en una página oficial puede
engañar a los usuarios para que accedan a la página y mostrarles
una ventana emergente malintencionada o redirigirlos a una
página web de phishing.
 TIPOS DE ATAQUES DE PHISHING

• Malware: a los usuarios se les convence de hacer clic o abrir

un archivo adjunto que puede descargar malware en sus
dispositivos.
• Smishing: usando mensajes de SMS, los atacantes engañan a
los usuarios para que accedan a páginas web
malintencionadas desde sus smartphones.
• Vishing: los atacantes utilizan software de modificación de voz
para dejar un mensaje en el que le dicen a la víctima que
deben llamar a un número telefónico en el que pueden ser
estafados.
• Wi-Fi de “gemelo malvado”: suplantando a una red Wi-Fi, los
atacantes engañar a los usuarios para que se conecten a una
red malintencionada para poder ejecutar ataques de
intermediario.
 EJEMPLOS DE PHISHING
• La manera en que un atacante lleva a cabo la campaña de phishing depende de sus objetivos. Para empresas, es común que los atacantes
opten por usar facturas falsas para convencer al departamento de cuentas por pagar que les envíen dinero. En este ataque, el remitente no
es importante. Muchos proveedores usan cuentas personales de correo electrónico para sus operaciones comerciales.

En este ejemplo de phishing, el botón morado abre

una página web con un falso formulario de
autenticación de Google. La página intenta convencer
a las víctimas para que introduzcan sus credenciales
de Google, que los atacantes usarán después para
robarles sus cuentas.
Otro ejemplo de phishing es un método que usan los
atacantes para fingir que son parte del equipo de
soporte técnico. El correo electrónico de soporte
técnico les pide a los usuarios que instalen un sistema
de mensajería con malware oculto, o que ejecuten un
script que descarga ransomware. Los usuarios deben
prestar mucha atención a esta clase de correos
electrónicos y denunciarlos ante los administradores.
 ¿QUÉ ES UN KIT DE PHISHING?
• Como el phishing es eficaz, los atacantes utilizan kits de phishing para simplificar sus operaciones. Son los componentes del “back-end” de una
campaña de phishing. El kit incluye el servidor web, los elementos de la página web (es decir, imágenes y configuración de la página web
oficial) y el almacenamiento utilizado para recopilar credenciales del usuario. Otro componente que existe son los dominios registrados. Los
criminales registran docenas de dominios para enviar sus mensajes de phishing, de esta manera pueden alternar rápidamente entre unos y
otros cuando los filtros de correo no deseado los identifican como malintencionados. Al tener docenas de dominios, los criminales pueden
cambiar el dominio en la URL de phishing y reenviar mensajes a objetivos adicionales.
• Los kits de phishing también están diseñados para evitar la detección. Los scripts del “back-end” bloquean grandes bloques de direcciones IP
que pertenecen a organizaciones especializadas en virus y en investigaciones de seguridad, como McAfee, Google, Symantec y Kaspersky,
para que no puedan encontrar dominios de phishing. Los dominios que se utilizan suelen lucir como páginas legítimas e inocuas ante los
especialistas en seguridad, pero muestran contenidos de phishing a los usuarios objetivo.

Dónde ocurre
Es importante tener presentes las consecuencias de resultar víctima de un ataque de phishing, tanto en casa como en el trabajo. Aquí le
indicamos tan solo algunos de los problemas que pueden surgir al resultar víctima de un correo de phishing:
En su vida personal: En el trabajo:
•Robo de dinero de cuentas bancarias. •Pérdida de fondos corporativos.
•Cargos fraudulentos en tarjetas de crédito. •Divulgación de información personal de clientes y compañeros de trabajo.
•Declaraciones de impuestos realizadas a nombre de una persona. •Los intrusos pueden acceder a comunicaciones confidenciales, archivos y
•Préstamos e hipotecas contraídos a nombre de una persona. sistemas.
•Pérdida de acceso a fotos, videos, archivos y otros documentos •Los archivos se bloquean y se vuelven inaccesibles.
importantes. •Perjuicio a la reputación del empleador.
•Publicaciones falsas en redes sociales hechas en las cuentas de una •Multas financieras por infringir las reglas de cumplimiento.
persona. •Pérdida de valor de la compañía.
•Disminución en la confianza de los inversores.
•Interrupciones a la productividad que afectan a los ingresos.
 PHISHING Y
TELETRABAJO
Sectores más propensos a sufrir Marcas más suplantadas
• La pandemia ha cambiado radicalmente la manera de trabajar ataques
para la mayoría de las organizaciones y los empleados. El Con la finalidad de engañar a la mayor cantidad
trabajo remoto se ha convertido en el estándar, así que los El objetivo de la mayoría del phishing es posible de personas, los atacantes usan marcas
dispositivos corporativos y personales han pasado a ser de
presencia obligada en el lugar de trabajo. Este cambio en el obtener beneficios financieros, por lo que establecidas. Las marcas establecidas generan
entorno laboral les dio una ventaja a los atacantes. Los los atacantes suelen enfocarse en sectores
usuarios no cuentan con ciberseguridad de nivel corporativo confianza en los destinatarios, lo que incrementa
en sus casas, así que la seguridad para correo electrónico es muy específicos. El objetivo podría ser la posibilidad de éxito del ataque. Cualquier
menos eficaz, lo que a su vez les da a los atacantes una mayor
probabilidad de ejecutar exitosamente una campaña de tanto una organización entera como marca se puede utilizar en el phishing, pero
phishing. usuarios individuales. Los sectores más algunas de las más comunes son:
• Como ahora los empleados trabajan desde casa, es más propensos a sufrir estos ataques son: •Google
importante para las organizaciones el formarlos para que
adquieran conciencia acerca del phishing. Los casos de •Tiendas en línea (e-commerce). •Microsoft
suplantación de identidad de ejecutivos y proveedores •Redes sociales.
oficiales han aumentado durante la pandemia. Como los •Amazon
empleados aun necesitan tener acceso a los sistemas •Bancos y otras instituciones financieras. •Chase
corporativos, un atacante puede enfocarse en cualquier
empleado que trabaje desde casa para obtener acceso •Sistemas de pago (procesadoras de •Wells Fargo
remoto al entorno. Los administradores fueron obligados a
configurar accesos remotos rápidamente, así que la
tarjetas). •Bank of America
ciberseguridad del entorno fue dejada de lado en favor de la •Compañías de TI. •Apple
comodidad. Esta urgencia generó vulnerabilidades que los
atacantes podían explotar, muchas de las cuales eran debido •Compañías de telecomunicaciones. •LinkedIn
a errores humanos. •Compañías de envíos. •FedEx
• Si combinamos una mala ciberseguridad con el hecho de que •DHL
los empleados optan por conectarse desde sus dispositivos
personales, el resultado es una miríada de oportunidades
para los atacantes. El phishing aumentó en el mundo entero.
Google ha reportado un repunte del 350% en la creación de
páginas web de phishing a comienzos de 2020, después de
los confinamientos por la pandemia.
 PROTECCIÓN CONTRA EL
PHISHING

• La protección contra el phishing es una importante medida de seguridad que las Cómo actuar ante el phishing
empresas pueden implementar para evitar ataques a sus empleados y su
organización. La capacitación y formación para conciencia de seguridad, que permite a
los individuos detectar y reconocer cuándo luce sospechoso un correo electrónico Después de que la víctima ha enviado su información a un atacante, lo más
definitivamente ayuda a reducir la cantidad de ataques que tienen éxito. Sin
embargo, como el comportamiento del usuario no es predecible, es fundamental la probable es que esta se comparta con otros estafadores. Es probable que también
detección del phishing basada en soluciones.
reciba mensajes de vishing y de smishing, nuevos correos electrónicos de phishing
• La formación, aplicada a ejemplos y ejercicios reales, ayuda a los usuarios a
identificar el phishing. Es muy común que las organizaciones trabajen con expertos
para enviar correos electrónicos de phishing simulados a los empleados y que
y llamadas de voz. Manténgase siempre alerta ante mensajes sospechosos que le
rastreen quién abre el correo y clica en el enlace. A estos empleados se les puede
capacitar en mayor profundidad para que no cometan los mismos errores en
pidan información suya o detalles financieros.
futuros ataques.
La Comisión Federal de Comercio tiene una página web dedicada específicamente
• Algunas soluciones de email gateway basadas en la reputación son capaces de
detectar y clasificar los correos de phishing basándose en la mala reputación que a identificar robos para ayudarle a mitigar los daños y a monitorizar su calificación
pueden tener las URL incrustadas. Lo que estas soluciones suelen ser incapaces
de detectar son los correos bien redactados que contienen URL de páginas web crediticia. Si ha clicado en un enlace o ha abierto un archivo adjunto sospechoso,
legítimas que se encuentran comprometidas y que no tienen mala reputación al
momento de la entrega del correo electrónico. su computadora podría tener malware instalado. Para detectar y eliminar el
• Los sistemas más eficaces logran identificar los correos electrónicos sospechosos
basándose en el análisis de anomalías, que busca y detecta patrones inusuales en
malware, asegúrese de que su software antivirus esté actualizado y tenga
el tráfico para identificar correos electrónicos sospechosos y después reescribe la
URL incrustada y realiza una vigilancia constante sobre la URL para detectar
instaladas las revisiones más recientes.
“exploits” y descargas integradas en la página. Estas herramientas de
monitorización ponen en cuarentena a los mensajes sospechosos de correo
electrónico, para que los administradores puedan investigar ataques de phishing
continuos. Si se detecta una gran cantidad de correos electrónicos de phishing, los
administradores pueden alertar a los empleados y reducir las posibilidades de que
se perpetre una campaña de phishing dirigido.

• La escena de la ciberseguridad evoluciona continuamente, especialmente en el

mundo del phishing. Para las corporaciones es clave el estar siempre en
comunicación con sus empleados y brindarles formación para que estén bien
enterados de las técnicas más recientes de phishing y de ingeniería social.
Mantener a los empleados conscientes de las amenazas más recientes reduce los
riesgos y genera una cultura de ciberseguridad en la organización.
 Paquete de formación antiphishing
• Formar a los empleados para que puedan detectar el phishing ha demostrado ser un componente fundamental en la
concienciación y prevención, para garantizar que su organización no se convierta en la próxima víctima. Tan solo un
empleado que “pique” en una campaña de phishing abre la posibilidad de que la empresa protagonice la siguiente
filtración de datos reportada.
• La simulación de phishing es lo más puntero en formación para empleados. La aplicación práctica de un ataque activo,
brinda a los empleados experiencia de primera mano en cómo se perpetran estos ataques. La mayoría de las
simulaciones también conllevan el uso de la ingeniería social, porque los atacantes suelen combinar ambas para unas
campañas más eficaces. Las simulaciones se realizan tal como en un escenario de phishing real, pero monitorizando la
actividad de los empleados.
• Los informes y análisis les revelan a los administradores en dónde puede mejorar la organización, porque permiten
descubrir qué ataques de phishing lograron engañar a los empleados. Las simulaciones que incluyen enlaces están
vinculadas a los informes mediante el seguimiento a quién hace clic en un enlace malintencionado, qué empleados
introducen sus credenciales en una página malintencionada, y si hay mensajes de correo electrónico que disparen
automáticamente los filtros de correo no deseado. Los resultados se pueden utilizar para configurar filtros de spam y
para reforzar la capacitación y formación en la organización en pleno.
• Los clientes de Proofpoint usan el Anti-Phishing Training Suite (Paquete de capacitación anti-phishing) y la Continuous
Training Methodology (Metodología de formación continua) para reducir hasta en un 90% los ataques de phishing
eficaces y las infecciones de malware. Este enfoque único de cuatro pasos (evaluar, capacitar, reforzar y medir), puede
constituir la base del programa de capacitación ante el phishing de cualquier tipo de empresa.