Informe de Ataque de Phishing y Pérdida de Fondos

Fecha: 25/09/2023] Elaborado por: Carlos Torres /Jorge Hernández

Phishing

El phishing es un método para intentar recopilar información personal utilizando correos

electrónicos y sitios web engañosos.

¿Qué es el Phishing?

El phishing se refiere al envío de correos electrónicos que tienen la apariencia de

proceder de fuentes de confianza (como bancos, compañías de energía etc.) pero que en
realidad pretenden manipular al receptor para robar información confidencial. Por eso siempre
es recomendable acceder a las páginas web escribiendo la dirección directamente en el
navegador.

Cómo actúa el Phishing

La mayoría de los ataques de phishing comienzan con la recepción de un correo

electrónico o un mensaje directo en el que el remitente se hace pasar por un banco, una
empresa u otra organización real con el fin de engañar al destinatario. Este correo electrónico
incluye enlaces a un sitio web preparado por los criminales -que imita al de la empresa legítima-
y en el que se invita a la víctima a introducir sus datos personales.

En este sentido existe una vinculación entre el spam y el phishing, ya que los correos
electrónicos fraudulentos suelen enviarse de forma masiva para multiplicar el número de
víctimas potenciales de los hackers. De hecho, si bien el e-mail continúa siendo el medio más
utilizado por los ciberdelincuentes para este tipo de fraudes, el phishing puede utilizar otros
medios de comunicación además: son frecuentes los intentos vía SMS (a veces llamados
smishing), VoIP (vishing) o los mensajes instantáneos en redes sociales.

Además, los criminales se valen de ciertos trucos de ingeniería social para crear alarma
en los receptores de los mensajes, con indicaciones de urgencia, alarma y diferentes llamadas a
la acción. La idea es que el usuario actúe de inmediato ante el estímulo y no se detenga a analizar
los riesgos de su acción.

Cómo reconocer un mensaje de Phishing

 Es raro que las empresas -ya sean de banca, energía o telecomunicaciones- pidan datos
personales vía correo electrónico. El mero hecho de que ocurra debería ponernos en
guardia.

 No siempre es fácil reconocer los mensajes de phishing por su apariencia. Sin embargo,
reproducir de manera fidedigna el formato de una empresa requiere un tiempo y
esfuerzo que los criminales no suelen estar dispuestos a invertir. Los errores,
incoherencias o faltas de ortografía son un indicio claro. Fíjate también en la dirección
del remitente.

 Sé precavido en las operaciones desde tu Smartphone. La creciente popularidad de los

teléfonos inteligentes hace que muchos usuarios realicen muchas de sus gestiones en
 su móvil. Los criminales lo saben y tratan de aprovecharse de la pérdida de claridad
derivada de pantallas más pequeñas y de menores medidas de seguridad.

Resumen:

Este informe describe en detalle un incidente de ataque de phishing que resultó en la

pérdida de fondos de la organización. Se proporciona información sobre la detección, la
respuesta, las acciones tomadas y las recomendaciones para evitar futuros incidentes similares.

Detalles del Incidente:

El 22/09/2023, la organización fue víctima de un ataque de phishing que resultó en la

pérdida de fondos. Los detalles clave del incidente son los siguientes:

1. Origen del Ataque: El ataque comenzó cuando un empleado recibió un correo

electrónico aparentemente legítimo que solicitaba instalar un aplicativo. El correo
electrónico parecía provenir de un cliente y utilizaba tácticas de ingeniería social para
engañar al empleado.

2. Exposición de Credenciales: Lamentablemente, el empleado proporcionó el acceso al

pc solicitadas en el correo electrónico, creyendo que era una solicitud legítima.

3. Transferencia no Autorizada: Los atacantes utilizaron las credenciales robadas para

acceder a las cuentas bancaria y realizaron varias transferencias no autorizadas de a una
cuenta externa controlada por ellos.

4. Detección del Incidente: El incidente fue detectado cuando el equipo financiero revisó
los estados de cuenta y notaron la transferencia no autorizada.

Acciones Tomadas:

Tras la detección del incidente, se tomaron las siguientes acciones:

1. Bloqueo de la Transferencia: Se contactó de inmediato al banco para bloquear la

transferencia y se inició una investigación.

2. Restablecimiento de Credenciales: Las credenciales comprometidas fueron

inmediatamente revocadas y se restablecieron las contraseñas de todas las cuentas
relacionadas y no relacionadas.

3. Análisis Forense: Se realizó un análisis forense de las comunicaciones y los registros de

actividad para identificar la fuente del ataque y las posibles vulnerabilidades en los
sistemas de seguridad.

4. Implementar Autenticación de Dos Factores (2FA): Se configuro la autenticación de dos

factores a la mayoría de correos electrónicos de la empresa.

5. Análisis en general con una herramienta de detección de malware y rasomware.

Recomendaciones:

Para evitar incidentes similares en el futuro, se recomienda:

1. Mejorar la Capacitación en Seguridad: Continuar y reforzar la capacitación en seguridad

cibernética para todo el personal, enfocándose en la detección y prevención de ataques
de phishing.
 2. Implementar Autenticación de Dos Factores (2FA): Configurar la autenticación de dos
factores en todas las cuentas sensibles para añadir una capa adicional de seguridad.

3. Monitorear Transacciones: Establecer un monitoreo constante de las transacciones

financieras y configurar alertas para detectar actividades inusuales.

4. Fortalecer la Detección de Phishing: Implementar soluciones avanzadas de detección

de phishing que identifiquen correos electrónicos sospechosos antes de que lleguen a
los buzones de entrada.

5. Revisar Políticas de Seguridad: Evaluar y actualizar las políticas de seguridad de la

organización para abordar las amenazas emergentes y las mejores prácticas de
seguridad.

6. Sospecha de Correos Electrónicos No Solicitados: No abras ni hagas clic en enlaces ni

descargues archivos adjuntos de correos electrónicos no solicitados o de remitentes
desconocidos. Verifica la autenticidad del remitente antes de tomar cualquier acción.

7. Comprueba la Autenticidad del Remitente: Si recibes un correo electrónico de una

organización o empresa que te solicita información confidencial, verifica su
autenticidad. Llama directamente a la organización o visita su sitio web oficial en lugar
de hacer clic en enlaces proporcionados en el correo electrónico.

8. No Compartas Información Confidencial: Nunca compartas información personal o

financiera, como contraseñas, números de tarjeta de crédito o números de seguridad
social, a través de correos electrónicos o enlaces no verificados.

Como medida Urgente:

Instalar Kaspersky Internet Security o ESET Internet Security

Son un software antivirus y de seguridad de renombre que incluye múltiples características

de seguridad diseñadas para proteger a los usuarios de una variedad de amenazas cibernéticas,
incluidos los ataques de phishing. A continuación, se detallan algunas de las formas en que estos
softwares específicos pueden ayudar a prevenir el phishing:

1. Detección de Sitios Web de Phishing: utiliza tecnología avanzada para identificar sitios
web de phishing conocidos y desconocidos. Cuando visitas un sitio web que parece ser
un sitio de phishing, Kaspersky puede alertarte y bloquear el acceso al sitio.

2. Filtro de Correo Electrónico: incluye un filtro de correo electrónico que puede detectar
correos electrónicos de phishing. Esto ayuda a evitar que los correos electrónicos
maliciosos lleguen a tu bandeja de entrada y, en su lugar, los coloca en una carpeta de
correo no deseado.

3. Verificación de Enlaces y Adjuntos: El software analiza enlaces y archivos adjuntos en

los correos electrónicos y las páginas web para identificar amenazas potenciales. Si un
enlace o archivo adjunto parece sospechoso puede advertirte antes de que interactúes
con él.

4. Herramientas de Navegación Segura: suele incluir complementos de navegación segura

para navegadores web populares. Estos complementos pueden verificar la autenticidad
de los sitios web y advertirte si un sitio es sospechoso.
 5. Actualizaciones de Seguridad en Tiempo Real: El software se actualiza regularmente
para mantenerse al día con las últimas amenazas de phishing y otras amenazas
cibernéticas. Esto garantiza que estés protegido contra las amenazas más recientes.

6. Protección de Contraseñas: Algunas versiones incluyen administradores de contraseñas

seguras que te ayudan a crear y almacenar contraseñas fuertes. Esto evita que caigas en
trampas de phishing que intenten robar tus credenciales de inicio de sesión.

7. Filtrado de Redes Sociales: también puede ayudar a identificar amenazas en redes

sociales, donde los atacantes a menudo intentan engañar a las personas para que
revelen información personal.

8. Informes de Seguridad: El software puede proporcionar informes detallados sobre la

seguridad de tu sistema, incluidos los posibles ataques de phishing que ha bloqueado.

Es importante destacar que ningún software de seguridad puede ofrecer una protección al
100% contra el phishing, ya que los atacantes utilizan tácticas cada vez más sofisticadas. Sin
embargo, contar con una solución de seguridad confiable como Kaspersky Internet Security es
una parte importante de una estrategia de seguridad en línea sólida que puede ayudar a
protegerte contra una amplia variedad de amenazas cibernéticas, incluidos los ataques de
phishing. Además, es fundamental mantener el software actualizado y seguir prácticas seguras
en línea para maximizar tu protección.

Las licencias por 1 año por cada equipo a configurar varían entre 31$ y 45$ dependiendo del
Antivirus.

Formatear el equipo desde donde vino el ataque principal:

Formatear un equipo es una medida extrema y debe realizarse con precaución,

especialmente si se sospecha que el equipo ha sido comprometido o utilizado en un ataque
cibernético. Existen razones sólidas para creer que el equipo desde donde se originó un ataque
principal está comprometido se necesita formatear.

Como medida Extra:

1) Servidor de dominio:

La restricción de instalación de aplicativos en las computadoras de una red mediante políticas

de dominio puede ser una medida efectiva para mejorar la seguridad y control en un entorno
empresarial o institucional. Aquí se explican algunos beneficios y consideraciones al respecto:

Beneficios:

1. Mayor Control: Al restringir la instalación de aplicativos, los administradores de TI

tienen un mayor control sobre qué software se instala en las computadoras de la red.
Esto puede ayudar a prevenir la instalación de software no autorizado o potencialmente
peligroso.

2. Reducción de Riesgos: Al evitar que los usuarios instalen aplicativos por su cuenta, se
reduce el riesgo de que se instalen programas maliciosos o software potencialmente no
seguro que pueda comprometer la seguridad de la red.
 3. Cumplimiento de Políticas: Puede ayudar a garantizar que los usuarios cumplan con las
políticas de seguridad y las regulaciones de la organización, ya que no podrán instalar
software que viole estas políticas.

4. Mantenimiento Simplificado: Al limitar las instalaciones de software, la gestión y el

mantenimiento de las computadoras en la red pueden simplificarse, ya que los
administradores saben qué aplicativos están autorizados y cuáles no.

Consideraciones:

1. Necesidades de los Usuarios: Debes considerar las necesidades legítimas de los

usuarios. Restringir demasiado la instalación de software podría dificultar que los
empleados realicen su trabajo de manera eficiente si necesitan herramientas
específicas.

2. Políticas Claras: Es importante que existan políticas claras y comunicadas a los usuarios
sobre qué aplicativos están permitidos y cuáles no. También deben establecerse
procedimientos para solicitar la instalación de software necesario.

3. Excepciones: Debes tener un proceso para gestionar excepciones. En ocasiones, puede

haber casos legítimos en los que se necesite instalar software no previamente
autorizado.

4. Actualizaciones de Software: Aunque puedes restringir la instalación de software, aún

debes permitir que se realicen actualizaciones críticas de seguridad para el software
existente. Esto es esencial para mantener la seguridad.

5. Gestión de Políticas: Utiliza herramientas de administración de políticas de grupo (GPO)

o soluciones de administración de dispositivos para implementar y hacer cumplir las
políticas de restricción de software.

6. Concientización y Educación: Educa a los usuarios sobre las razones detrás de las
restricciones y cómo solicitar software adicional cuando sea necesario.

En resumen, restringir la instalación de aplicativos mediante políticas de dominio puede ser

una medida efectiva para fortalecer la seguridad y el control en una red, pero debe hacerse con
consideración de las necesidades de los usuarios y con políticas claras y procedimientos para
gestionar excepciones. Además, la seguridad no se limita solo a la restricción de software, sino
que es parte de una estrategia de seguridad más amplia que incluye otras capas de protección.

Conclusiones:

Este incidente de phishing y la pérdida de fondos resultante resaltan la importancia de

la educación en seguridad cibernética y la vigilancia constante.
 ANEXOS

Hora y fecha de los archivos descargados desde el correo en formato ZIP:

Reglas de entrada/salida del Firewall deshabilitado en la PC para la captura de información:

En sentir salud software de antivirus gratis como el 360 dando vulnerabilidad al equipo: