¨AÑO DE LA UNIDAD, LA PAZ Y EL DESARROLLO¨

INSTITUTO SUPERIOR TECNOLÓGICO PÚBLICO DE PISCO

CARRERA PROFESIONAL TÉCNICA:
ARQUITECTURA DE PLATAFORMAS Y SERVICIOS DE TECNOLOGÍAS DE
LA INFORMACIÓN
UNIDAD DIDÁCTICA: ATAQUE DE LOS PHISHING
PROFESORA: REBECA QUINTANILLA
PRESENTADO POR: PIERO LLANCARE ZARATE ALEXANDER

2023
 DEFINICIÓN DEL PHISHING
• Se conoce como phishing a la estrategia en la que los atacantes envían correos electrónicos
malintencionados diseñados para estafar a sus víctimas. La idea suele ser que los usuarios revelen
información financiera, credenciales del sistema u otros datos delicados.
• El phishing es un claro ejemplo de ingeniería social: una colección de técnicas que los estafadores
emplean para manipular la psicología humana. Las técnicas de ingeniería social incluyen la falsificación,
las mentiras y las falsas instrucciones. Todo esto puede estar presente en un ataque de phishing.
Básicamente, estos correos electrónicos se sirven de la ingeniería social para animar a los usuarios a
que actúen sin pensar mucho.
 HISTORIA DEL PHISHING
• El término phishing (que en inglés suena igual que fishing, que literalmente significa: pescar) se acuñó a mediados de la década de 1990, cuando los
hackers comenzaron a utilizar correos electrónicos fraudulentos para pescar información de usuarios incautos. Como a estos primeros hackers se les
conocía como phreaks (que en inglés suena igual que freaks, literalmente fenómenos o frikis), el término pasó a conocerse como phishing, con “ph” (un
baile de letras que en español sería: la pesca de los frikis). Un correo de phishing intenta engañar al destinatario con un cebo para que pique. Y, una vez
que han mordido el anzuelo, tanto el usuario como la organización están en problemas.
• Tal como ocurre con muchas amenazas comunes, la historia del phishing comienza en la década de 1990. Cuando AOL era un muy popular sistema de
contenidos con acceso a internet, los atacantes usaban el phishing y la mensajería instantánea para hacerse pasar por empleados de AOL y convencer a
los usuarios de que les dieran sus credenciales, con las cuales procedían a secuestrarles sus cuentas.
• En la década del 2000, los atacantes comenzaron a enfocarse en cuentas bancarias. Los correos electrónicos de phishing se empleaban para convencer a
los usuarios de que divulgasen las credenciales de sus cuentas bancarias. Los correos contenían un enlace a una página web malintencionada que lucía
igual que la web del banco, pero el dominio era una variación del nombre oficial (por ejemplo, paypai.com en vez de paypal.com). Posteriormente, los
atacantes fueron a por otros tipos de cuentas, como las de eBay y Google, para usar estas credenciales robadas para robar dinero, cometer fraudes o
enviar correo no deseado a otros usuarios.
 ¿POR QUÉ EL PHISHING ES UN
PROBLEMA?
• Los ciberdelincuentes utilizan los correos electrónicos de phishing porque es fácil, barato y eficaz. Las direcciones de email
son fáciles de obtener y enviar correos electrónicos es prácticamente gratis. Con poco esfuerzo y a bajo coste, los atacantes
pueden obtener acceso rápidamente a datos valiosos. Las víctimas de estas estafas pueden recibir infecciones de malware
(incluyendo al ransomware), robo de identidad y pérdida de datos.
• Los datos que buscan los hackers incluyen información personal identificable (PII)—como datos de cuentas financieras,
números de tarjetas de crédito y registros médicos y fiscales—, así como datos empresariales delicados, tales como nombres
de clientes e información de contacto, secretos relacionados con productos propios y comunicaciones confidenciales.
• Los hackers también usan ataques de phishing para obtener acceso directo a cuentas de correo electrónico, redes sociales y
otras cuentas, de modo de conseguir permiso para modificar y comprometer los sistemas conectados, como terminales de
punto de ventas y sistemas de procesamiento de pedidos. Muchas de las principales filtraciones de datos ─como la de Target
en el 2013, que apareció en primera plana─ comienzan por un correo de phishing. Mediante un correo aparentemente inocuo,
los ciberdelincuentes logran hacerse con un punto de partida interno para cometer sus fechorías.
 ¿CÓMO LUCE UN CORREO ELECTRÓNICO DE PHISHING?
• Los atacantes se sirven del miedo El archivo adjunto puede ser una página web, un script de shell (por ejemplo, PowerShell) o
y del sentido de la urgencia. Es un documento de Microsoft Office con una macro malintencionada. Las macros y los scripts se
común que los atacantes les digan pueden usar para descargar malware o tratar de convencer a los usuarios de que divulguen
a los usuarios que sus cuentas las credenciales de sus cuentas.
están restringidas o que se Los atacantes registran dominios similares al oficial, o a veces emplean proveedores
suspenderán si el usuario objetivo
genéricos como Gmail. Es posible ocultar parcialmente la identidad del destinatario en los
no responde al correo electrónico.
El miedo logra que los usuarios protocolos de correo electrónico, pero la mayoría de los servidores destinatarios emplean
víctimas ignoren las señales de seguridad de correo electrónico capaz de detectar los encabezados falsificados. Cuando los
advertencia más comunes y se usuarios reciben los correos, es posible que los mensajes contengan el logotipo oficial de la
olviden de sus conocimientos de empresa, pero la dirección de remitente no tiene el dominio oficial de la empresa. La dirección
phishing. Hasta los del remitente es una potencial señal de alarma, pero no debería ser el único factor utilizado
administradores y expertos en para determinar la legitimidad de un mensaje.
seguridad “pican” en estafas de
vez en cuando.
• En general, los correos
electrónicos de phishing se envían
a la mayor cantidad posible de
personas, así que el saludo suele
ser genérico.
 PRINCIPALES MECANISMOS UTILIZADOS EN LOS CORREOS ELECTRÓNICOS DE
PHISHING
• Los ciberatacantes usan tres mecanismos principales para robar información: enlaces web malintencionados, 
archivos adjuntos malintencionados y formularios falsos de introducción de datos.

Enlaces web malintencionados

Los enlaces, también conocidos como URL, son comunes en los correos electrónicos normales y también en los de phishing. Los enlaces
malintencionados llevan a los usuarios a páginas web falsas o que están infectadas con software malintencionado, que se conoce también como  
malware. Los enlaces malintencionados se pueden “disfrazar” para que luzcan igual que los enlaces confiables y se incrustan en los logotipos u otras
imágenes en un correo electrónico.
Aquí puede ver otro de los ejemplos de phishing en un correo electrónico recibido por usuarios de la Cornell University, una universidad de los
Estados Unidos. Es un mensaje sencillo que ponía “Help Desk” (servicio de asistencia) como nombre del remitente. Sin embargo, el correo no
provenía del servicio de asistencia, sino del dominio @connect.ust.hk. Según el equipo de TI de Cornell, el enlace incrustado en el correo electrónico
llevaba a los usuarios a una página que lucía como la página de inicio de sesión de Office 365. El correo electrónico de phishing intentaba robar las
credenciales de los usuarios.
 ARCHIVOS ADJUNTOS Formularios falsos de inserción de
MALINTENCIONADOS datos
• Estos adjuntos lucen como archivos legítimos, pero realmente están infectados con
malware que puede comprometer ordenadores y los archivos que contienen. En el Estos correos electrónicos les solicitan a los usuarios que introduzcan información
caso del ransomware —un tipo de malware—todos los archivos de una PC podrían delicada, como ID de usuario, contraseñas, datos de tarjetas de crédito y números
bloquearse y quedar inaccesibles. O también se podría instalar un registrador de telefónicos. Una vez que los usuarios envían esa información, los cibercriminales
teclas (“keylogger”) para detectar todo lo que un usuario escribe, incluyendo sus pueden usarla para su beneficio personal.
contraseñas. También es importante darse cuenta de que las infecciones de Aquí les mostramos un ejemplo de phishing de una landing page o página de
ransomware y de malware pueden propagarse de una PC a otros dispositivos
destino falsa que fue publicada en la página web de gov.uk. Después de hacer clic
conectados en red, tales como discos duros externos, servidores y hasta sistemas
basados en la nube.
en un enlace de un correo de phishing, los usuarios son redireccionados a esta
página fraudulenta que parece ser parte de la agencia tributaria HMRC. A los
• Otros ejemplos de phishing en la industria de la mensajería, se han alertado desde usuarios se les dice que pueden optar por un reembolso, pero que antes deben
la página de FedEX, donde se ha publicado el texto de un correo electrónico rellenar el formulario. Este tipo de información personal puede ser usada por
fraudulento. Este correo exhortaba a los destinatarios que imprimiesen una copia
delincuentes para una cantidad de actividades fraudulentas, incluyendo el robo de
de un recibo postal adjunto y que lo llevaran físicamente a una sede de FedEX
identidad.
para recuperar un paquete que no se había podido entregar. Desafortunadamente,
el archivo adjunto contenía un virus que infectaba las computadoras de los
destinatarios. Aunque este tipo de estafas basadas en falsos envíos son
particularmente comunes durante la temporada de compras navideñas, pueden
ocurrir en cualquier época del año.
 LÍNEAS DE “ASUNTO” QUE SE SUELEN USAR EN EL
PHISHING
• El asunto de un correo electrónico determina si el usuario abrirá o no el mensaje. En un ataque de
phishing, la línea del asunto se aprovecha de los temores del usuario y de una sensación de urgencia.

Es común que los atacantes utilicen mensajes que hablan de problemas con cuentas, envíos, información bancaria y
transacciones financieras. Los mensajes relacionados con envíos son comunes durante la época navideña, porque hay mucha
gente esperando recibir pedidos. Si un usuario no se da cuenta de que el dominio de la dirección del remitente no es legítimo, el
usuario podría ser convencido para que haga clic en el enlace y divulgue datos delicados.
 TIPOS DE ATAQUES DE PHISHING
• El phishing ha evolucionado mucho más allá del simple robo de datos y de credenciales. La manera en
que el atacante configure su campaña depende del tipo de phishing. Los diferentes tipos incluyen:

•Spear phishing: estos mensajes de correo electrónico se envían

a personas específicas dentro de una organización, típicamente
titulares de cuentas con alto nivel de privilegios.
•Manipulación de enlaces: los mensajes contienen un enlace a
una página malintencionada que luce igual que la página oficial
de una empresa.
•Fraude a directores generales (CEO): estos mensajes se
envían principalmente a personas del sector financiero para
hacerles creer que el CEO u otro ejecutivo les está pidiendo que
transfieran dinero.
•Inyección de contenidos: un atacante capaz de inyectar
contenidos malintencionados en una página oficial puede engañar
a los usuarios para que accedan a la página y mostrarles una
ventana emergente malintencionada o redirigirlos a una página
web de phishing.
 TIPOS DE ATAQUES DE PHISHING

• Malware: a los usuarios se les convence de hacer clic o abrir

un archivo adjunto que puede descargar malware en sus
dispositivos.
• Smishing: usando mensajes de SMS, los atacantes engañan a
los usuarios para que accedan a páginas web malintencionadas
desde sus smartphones.
• Vishing: los atacantes utilizan software de modificación de
voz para dejar un mensaje en el que le dicen a la víctima que
deben llamar a un número telefónico en el que pueden ser
estafados.
• Wi-Fi de “gemelo malvado”: suplantando a una red Wi-Fi,
los atacantes engañar a los usuarios para que se conecten a una
red malintencionada para poder ejecutar ataques de
intermediario.
 EJEMPLOS DE PHISHING
• La manera en que un atacante lleva a cabo la campaña de phishing depende de sus objetivos. Para empresas, es común que los atacantes opten
por usar facturas falsas para convencer al departamento de cuentas por pagar que les envíen dinero. En este ataque, el remitente no es
importante. Muchos proveedores usan cuentas personales de correo electrónico para sus operaciones comerciales.

En este ejemplo de phishing, el botón morado abre

una página web con un falso formulario de
autenticación de Google. La página intenta convencer
a las víctimas para que introduzcan sus credenciales
de Google, que los atacantes usarán después para
robarles sus cuentas.
Otro ejemplo de phishing es un método que usan los
atacantes para fingir que son parte del equipo de
soporte técnico. El correo electrónico de soporte
técnico les pide a los usuarios que instalen un sistema
de mensajería con malware oculto, o que ejecuten un
script que descarga ransomware. Los usuarios deben
prestar mucha atención a esta clase de correos
electrónicos y denunciarlos ante los administradores.
 ¿QUÉ ES UN KIT DE PHISHING?
• Como el phishing es eficaz, los atacantes utilizan kits de phishing para simplificar sus operaciones. Son los componentes del “back-end” de una campaña de
phishing. El kit incluye el servidor web, los elementos de la página web (es decir, imágenes y configuración de la página web oficial) y el almacenamiento
utilizado para recopilar credenciales del usuario. Otro componente que existe son los dominios registrados. Los criminales registran docenas de dominios para
enviar sus mensajes de phishing, de esta manera pueden alternar rápidamente entre unos y otros cuando los filtros de correo no deseado los identifican como
malintencionados. Al tener docenas de dominios, los criminales pueden cambiar el dominio en la URL de phishing y reenviar mensajes a objetivos adicionales.
• Los kits de phishing también están diseñados para evitar la detección. Los scripts del “back-end” bloquean grandes bloques de direcciones IP que pertenecen
a organizaciones especializadas en virus y en investigaciones de seguridad, como McAfee, Google, Symantec y Kaspersky, para que no puedan encontrar
dominios de phishing. Los dominios que se utilizan suelen lucir como páginas legítimas e inocuas ante los especialistas en seguridad, pero muestran
contenidos de phishing a los usuarios objetivo.

Dónde ocurre
Es importante tener presentes las consecuencias de resultar víctima de un ataque de phishing, tanto en casa como en el trabajo. Aquí le
indicamos tan solo algunos de los problemas que pueden surgir al resultar víctima de un correo de phishing:
En su vida personal: En el trabajo:
•Robo de dinero de cuentas bancarias. •Pérdida de fondos corporativos.
•Cargos fraudulentos en tarjetas de crédito. •Divulgación de información personal de clientes y compañeros de trabajo.
•Declaraciones de impuestos realizadas a nombre de una persona. •Los intrusos pueden acceder a comunicaciones confidenciales, archivos y
•Préstamos e hipotecas contraídos a nombre de una persona. sistemas.
•Pérdida de acceso a fotos, videos, archivos y otros documentos importantes. •Los archivos se bloquean y se vuelven inaccesibles.
•Publicaciones falsas en redes sociales hechas en las cuentas de una persona. •Perjuicio a la reputación del empleador.
•Multas financieras por infringir las reglas de cumplimiento.
•Pérdida de valor de la compañía.
•Disminución en la confianza de los inversores.
•Interrupciones a la productividad que afectan a los ingresos.
 PHISHING Y
TELETRABAJO
• La pandemia ha cambiado radicalmente la manera de trabajar Sectores más propensos a sufrir ataques Marcas más suplantadas
para la mayoría de las organizaciones y los empleados. El
trabajo remoto se ha convertido en el estándar, así que los
El objetivo de la mayoría del phishing es Con la finalidad de engañar a la mayor cantidad
dispositivos corporativos y personales han pasado a ser de obtener beneficios financieros, por lo que posible de personas, los atacantes usan marcas
presencia obligada en el lugar de trabajo. Este cambio en el los atacantes suelen enfocarse en sectores establecidas. Las marcas establecidas generan
entorno laboral les dio una ventaja a los atacantes. Los usuarios
no cuentan con ciberseguridad de nivel corporativo en sus casas,
muy específicos. El objetivo podría ser confianza en los destinatarios, lo que incrementa
así que la seguridad para correo electrónico es menos eficaz, lo tanto una organización entera como la posibilidad de éxito del ataque. Cualquier
que a su vez les da a los atacantes una mayor probabilidad de usuarios individuales. Los sectores más marca se puede utilizar en el phishing, pero
ejecutar exitosamente una campaña de phishing.
propensos a sufrir estos ataques son: algunas de las más comunes son:
• Como ahora los empleados trabajan desde casa, es más
importante para las organizaciones el formarlos para que
•Tiendas en línea (e-commerce). •Google
adquieran conciencia acerca del phishing. Los casos de •Redes sociales. •Microsoft
suplantación de identidad de ejecutivos y proveedores oficiales •Bancos y otras instituciones financieras. •Amazon
han aumentado durante la pandemia. Como los empleados aun
necesitan tener acceso a los sistemas corporativos, un atacante
•Sistemas de pago (procesadoras de •Chase
puede enfocarse en cualquier empleado que trabaje desde casa tarjetas). •Wells Fargo
para obtener acceso remoto al entorno. Los administradores •Compañías de TI. •Bank of America
fueron obligados a configurar accesos remotos rápidamente, así
que la ciberseguridad del entorno fue dejada de lado en favor de
•Compañías de telecomunicaciones. •Apple
la comodidad. Esta urgencia generó vulnerabilidades que los •Compañías de envíos. •LinkedIn
atacantes podían explotar, muchas de las cuales eran debido a
•FedEx
errores humanos.
• Si combinamos una mala ciberseguridad con el hecho de que los
•DHL
empleados optan por conectarse desde sus dispositivos
personales, el resultado es una miríada de oportunidades para los
atacantes. El phishing aumentó en el mundo entero. Google ha
reportado un repunte del 350% en la creación de páginas web de
phishing a comienzos de 2020, después de los confinamientos
por la pandemia.
 PROTECCIÓN CONTRA EL
PHISHING
• La protección contra el phishing es una importante medida de seguridad que las
empresas pueden implementar para evitar ataques a sus empleados y su
organización. La capacitación y formación para conciencia de seguridad, que permite a los
individuos detectar y reconocer cuándo luce sospechoso un correo electrónico Cómo actuar ante el phishing
definitivamente ayuda a reducir la cantidad de ataques que tienen éxito. Sin
embargo, como el comportamiento del usuario no es predecible, es fundamental la
Después de que la víctima ha enviado su información a un atacante, lo más probable
detección del phishing basada en soluciones. es que esta se comparta con otros estafadores. Es probable que también reciba
• La formación, aplicada a ejemplos y ejercicios reales, ayuda a los usuarios a
identificar el phishing. Es muy común que las organizaciones trabajen con expertos
mensajes de vishing y de smishing, nuevos correos electrónicos de phishing y
para enviar correos electrónicos de phishing simulados a los empleados y que llamadas de voz. Manténgase siempre alerta ante mensajes sospechosos que le pidan
rastreen quién abre el correo y clica en el enlace. A estos empleados se les puede
capacitar en mayor profundidad para que no cometan los mismos errores en futuros información suya o detalles financieros.
ataques.
• Algunas soluciones de email gateway basadas en la reputación son capaces de
La Comisión Federal de Comercio tiene una página web dedicada específicamente a
detectar y clasificar los correos de phishing basándose en la mala reputación que identificar robos para ayudarle a mitigar los daños y a monitorizar su calificación
pueden tener las URL incrustadas. Lo que estas soluciones suelen ser incapaces de
detectar son los correos bien redactados que contienen URL de páginas web crediticia. Si ha clicado en un enlace o ha abierto un archivo adjunto sospechoso, su
legítimas que se encuentran comprometidas y que no tienen mala reputación al
momento de la entrega del correo electrónico.
computadora podría tener malware instalado. Para detectar y eliminar el malware,
• Los sistemas más eficaces logran identificar los correos electrónicos sospechosos asegúrese de que su software antivirus esté actualizado y tenga instaladas las
basándose en el análisis de anomalías, que busca y detecta patrones inusuales en el
tráfico para identificar correos electrónicos sospechosos y después reescribe la URL
revisiones más recientes.
incrustada y realiza una vigilancia constante sobre la URL para detectar “exploits” y
descargas integradas en la página. Estas herramientas de monitorización ponen en
cuarentena a los mensajes sospechosos de correo electrónico, para que los
administradores puedan investigar ataques de phishing continuos. Si se detecta una
gran cantidad de correos electrónicos de phishing, los administradores pueden
alertar a los empleados y reducir las posibilidades de que se perpetre una campaña
de phishing dirigido.
• La escena de la ciberseguridad evoluciona continuamente, especialmente en el
mundo del phishing. Para las corporaciones es clave el estar siempre en
comunicación con sus empleados y brindarles formación para que estén bien
enterados de las técnicas más recientes de phishing y de ingeniería social. Mantener
a los empleados conscientes de las amenazas más recientes reduce los riesgos y
genera una cultura de ciberseguridad en la organización.
 Paquete de formación antiphishing
• Formar a los empleados para que puedan detectar el phishing ha demostrado ser un componente fundamental en la
concienciación y prevención, para garantizar que su organización no se convierta en la próxima víctima. Tan solo un
empleado que “pique” en una campaña de phishing abre la posibilidad de que la empresa protagonice la siguiente
filtración de datos reportada.
• La simulación de phishing es lo más puntero en formación para empleados. La aplicación práctica de un ataque activo,
brinda a los empleados experiencia de primera mano en cómo se perpetran estos ataques. La mayoría de las simulaciones
también conllevan el uso de la ingeniería social, porque los atacantes suelen combinar ambas para unas campañas más
eficaces. Las simulaciones se realizan tal como en un escenario de phishing real, pero monitorizando la actividad de los
empleados.
• Los informes y análisis les revelan a los administradores en dónde puede mejorar la organización, porque permiten
descubrir qué ataques de phishing lograron engañar a los empleados. Las simulaciones que incluyen enlaces están
vinculadas a los informes mediante el seguimiento a quién hace clic en un enlace malintencionado, qué empleados
introducen sus credenciales en una página malintencionada, y si hay mensajes de correo electrónico que disparen
automáticamente los filtros de correo no deseado. Los resultados se pueden utilizar para configurar filtros de spam y para
reforzar la capacitación y formación en la organización en pleno.
• Los clientes de Proofpoint usan el Anti-Phishing Training Suite (Paquete de capacitación anti-phishing) y la Continuous
Training Methodology (Metodología de formación continua) para reducir hasta en un 90% los ataques de phishing
eficaces y las infecciones de malware. Este enfoque único de cuatro pasos (evaluar, capacitar, reforzar y medir), puede
constituir la base del programa de capacitación ante el phishing de cualquier tipo de empresa.