Documentos de Académico
Documentos de Profesional
Documentos de Cultura
2023
DEFINICIÓN DEL PHISHING
• Se conoce como phishing a la estrategia en la que los atacantes envían correos electrónicos
malintencionados diseñados para estafar a sus víctimas. La idea suele ser que los usuarios revelen
información financiera, credenciales del sistema u otros datos delicados.
• El phishing es un claro ejemplo de ingeniería social: una colección de técnicas que los estafadores
emplean para manipular la psicología humana. Las técnicas de ingeniería social incluyen la falsificación,
las mentiras y las falsas instrucciones. Todo esto puede estar presente en un ataque de phishing.
Básicamente, estos correos electrónicos se sirven de la ingeniería social para animar a los usuarios a
que actúen sin pensar mucho.
HISTORIA DEL PHISHING
• El término phishing (que en inglés suena igual que fishing, que literalmente significa: pescar) se acuñó a mediados de la década de 1990, cuando los
hackers comenzaron a utilizar correos electrónicos fraudulentos para pescar información de usuarios incautos. Como a estos primeros hackers se les
conocía como phreaks (que en inglés suena igual que freaks, literalmente fenómenos o frikis), el término pasó a conocerse como phishing, con “ph” (un
baile de letras que en español sería: la pesca de los frikis). Un correo de phishing intenta engañar al destinatario con un cebo para que pique. Y, una vez
que han mordido el anzuelo, tanto el usuario como la organización están en problemas.
• Tal como ocurre con muchas amenazas comunes, la historia del phishing comienza en la década de 1990. Cuando AOL era un muy popular sistema de
contenidos con acceso a internet, los atacantes usaban el phishing y la mensajería instantánea para hacerse pasar por empleados de AOL y convencer a
los usuarios de que les dieran sus credenciales, con las cuales procedían a secuestrarles sus cuentas.
• En la década del 2000, los atacantes comenzaron a enfocarse en cuentas bancarias. Los correos electrónicos de phishing se empleaban para convencer a
los usuarios de que divulgasen las credenciales de sus cuentas bancarias. Los correos contenían un enlace a una página web malintencionada que lucía
igual que la web del banco, pero el dominio era una variación del nombre oficial (por ejemplo, paypai.com en vez de paypal.com). Posteriormente, los
atacantes fueron a por otros tipos de cuentas, como las de eBay y Google, para usar estas credenciales robadas para robar dinero, cometer fraudes o
enviar correo no deseado a otros usuarios.
¿POR QUÉ EL PHISHING ES UN
PROBLEMA?
• Los ciberdelincuentes utilizan los correos electrónicos de phishing porque es fácil, barato y eficaz. Las direcciones de email
son fáciles de obtener y enviar correos electrónicos es prácticamente gratis. Con poco esfuerzo y a bajo coste, los atacantes
pueden obtener acceso rápidamente a datos valiosos. Las víctimas de estas estafas pueden recibir infecciones de malware
(incluyendo al ransomware), robo de identidad y pérdida de datos.
• Los datos que buscan los hackers incluyen información personal identificable (PII)—como datos de cuentas financieras,
números de tarjetas de crédito y registros médicos y fiscales—, así como datos empresariales delicados, tales como nombres
de clientes e información de contacto, secretos relacionados con productos propios y comunicaciones confidenciales.
• Los hackers también usan ataques de phishing para obtener acceso directo a cuentas de correo electrónico, redes sociales y
otras cuentas, de modo de conseguir permiso para modificar y comprometer los sistemas conectados, como terminales de
punto de ventas y sistemas de procesamiento de pedidos. Muchas de las principales filtraciones de datos ─como la de Target
en el 2013, que apareció en primera plana─ comienzan por un correo de phishing. Mediante un correo aparentemente inocuo,
los ciberdelincuentes logran hacerse con un punto de partida interno para cometer sus fechorías.
¿CÓMO LUCE UN CORREO ELECTRÓNICO DE PHISHING?
• Los atacantes se sirven del miedo El archivo adjunto puede ser una página web, un script de shell (por ejemplo, PowerShell) o
y del sentido de la urgencia. Es un documento de Microsoft Office con una macro malintencionada. Las macros y los scripts se
común que los atacantes les digan pueden usar para descargar malware o tratar de convencer a los usuarios de que divulguen
a los usuarios que sus cuentas las credenciales de sus cuentas.
están restringidas o que se Los atacantes registran dominios similares al oficial, o a veces emplean proveedores
suspenderán si el usuario objetivo
genéricos como Gmail. Es posible ocultar parcialmente la identidad del destinatario en los
no responde al correo electrónico.
El miedo logra que los usuarios protocolos de correo electrónico, pero la mayoría de los servidores destinatarios emplean
víctimas ignoren las señales de seguridad de correo electrónico capaz de detectar los encabezados falsificados. Cuando los
advertencia más comunes y se usuarios reciben los correos, es posible que los mensajes contengan el logotipo oficial de la
olviden de sus conocimientos de empresa, pero la dirección de remitente no tiene el dominio oficial de la empresa. La dirección
phishing. Hasta los del remitente es una potencial señal de alarma, pero no debería ser el único factor utilizado
administradores y expertos en para determinar la legitimidad de un mensaje.
seguridad “pican” en estafas de
vez en cuando.
• En general, los correos
electrónicos de phishing se envían
a la mayor cantidad posible de
personas, así que el saludo suele
ser genérico.
PRINCIPALES MECANISMOS UTILIZADOS EN LOS CORREOS ELECTRÓNICOS DE
PHISHING
• Los ciberatacantes usan tres mecanismos principales para robar información: enlaces web malintencionados,
archivos adjuntos malintencionados y formularios falsos de introducción de datos.
Es común que los atacantes utilicen mensajes que hablan de problemas con cuentas, envíos, información bancaria y
transacciones financieras. Los mensajes relacionados con envíos son comunes durante la época navideña, porque hay mucha
gente esperando recibir pedidos. Si un usuario no se da cuenta de que el dominio de la dirección del remitente no es legítimo, el
usuario podría ser convencido para que haga clic en el enlace y divulgue datos delicados.
TIPOS DE ATAQUES DE PHISHING
• El phishing ha evolucionado mucho más allá del simple robo de datos y de credenciales. La manera en
que el atacante configure su campaña depende del tipo de phishing. Los diferentes tipos incluyen:
Dónde ocurre
Es importante tener presentes las consecuencias de resultar víctima de un ataque de phishing, tanto en casa como en el trabajo. Aquí le
indicamos tan solo algunos de los problemas que pueden surgir al resultar víctima de un correo de phishing:
En su vida personal: En el trabajo:
•Robo de dinero de cuentas bancarias. •Pérdida de fondos corporativos.
•Cargos fraudulentos en tarjetas de crédito. •Divulgación de información personal de clientes y compañeros de trabajo.
•Declaraciones de impuestos realizadas a nombre de una persona. •Los intrusos pueden acceder a comunicaciones confidenciales, archivos y
•Préstamos e hipotecas contraídos a nombre de una persona. sistemas.
•Pérdida de acceso a fotos, videos, archivos y otros documentos importantes. •Los archivos se bloquean y se vuelven inaccesibles.
•Publicaciones falsas en redes sociales hechas en las cuentas de una persona. •Perjuicio a la reputación del empleador.
•Multas financieras por infringir las reglas de cumplimiento.
•Pérdida de valor de la compañía.
•Disminución en la confianza de los inversores.
•Interrupciones a la productividad que afectan a los ingresos.
PHISHING Y
TELETRABAJO
• La pandemia ha cambiado radicalmente la manera de trabajar Sectores más propensos a sufrir ataques Marcas más suplantadas
para la mayoría de las organizaciones y los empleados. El
trabajo remoto se ha convertido en el estándar, así que los
El objetivo de la mayoría del phishing es Con la finalidad de engañar a la mayor cantidad
dispositivos corporativos y personales han pasado a ser de obtener beneficios financieros, por lo que posible de personas, los atacantes usan marcas
presencia obligada en el lugar de trabajo. Este cambio en el los atacantes suelen enfocarse en sectores establecidas. Las marcas establecidas generan
entorno laboral les dio una ventaja a los atacantes. Los usuarios
no cuentan con ciberseguridad de nivel corporativo en sus casas,
muy específicos. El objetivo podría ser confianza en los destinatarios, lo que incrementa
así que la seguridad para correo electrónico es menos eficaz, lo tanto una organización entera como la posibilidad de éxito del ataque. Cualquier
que a su vez les da a los atacantes una mayor probabilidad de usuarios individuales. Los sectores más marca se puede utilizar en el phishing, pero
ejecutar exitosamente una campaña de phishing.
propensos a sufrir estos ataques son: algunas de las más comunes son:
• Como ahora los empleados trabajan desde casa, es más
importante para las organizaciones el formarlos para que
•Tiendas en línea (e-commerce). •Google
adquieran conciencia acerca del phishing. Los casos de •Redes sociales. •Microsoft
suplantación de identidad de ejecutivos y proveedores oficiales •Bancos y otras instituciones financieras. •Amazon
han aumentado durante la pandemia. Como los empleados aun
necesitan tener acceso a los sistemas corporativos, un atacante
•Sistemas de pago (procesadoras de •Chase
puede enfocarse en cualquier empleado que trabaje desde casa tarjetas). •Wells Fargo
para obtener acceso remoto al entorno. Los administradores •Compañías de TI. •Bank of America
fueron obligados a configurar accesos remotos rápidamente, así
que la ciberseguridad del entorno fue dejada de lado en favor de
•Compañías de telecomunicaciones. •Apple
la comodidad. Esta urgencia generó vulnerabilidades que los •Compañías de envíos. •LinkedIn
atacantes podían explotar, muchas de las cuales eran debido a
•FedEx
errores humanos.
• Si combinamos una mala ciberseguridad con el hecho de que los
•DHL
empleados optan por conectarse desde sus dispositivos
personales, el resultado es una miríada de oportunidades para los
atacantes. El phishing aumentó en el mundo entero. Google ha
reportado un repunte del 350% en la creación de páginas web de
phishing a comienzos de 2020, después de los confinamientos
por la pandemia.
PROTECCIÓN CONTRA EL
PHISHING
• La protección contra el phishing es una importante medida de seguridad que las
empresas pueden implementar para evitar ataques a sus empleados y su
organización. La capacitación y formación para conciencia de seguridad, que permite a los
individuos detectar y reconocer cuándo luce sospechoso un correo electrónico Cómo actuar ante el phishing
definitivamente ayuda a reducir la cantidad de ataques que tienen éxito. Sin
embargo, como el comportamiento del usuario no es predecible, es fundamental la
Después de que la víctima ha enviado su información a un atacante, lo más probable
detección del phishing basada en soluciones. es que esta se comparta con otros estafadores. Es probable que también reciba
• La formación, aplicada a ejemplos y ejercicios reales, ayuda a los usuarios a
identificar el phishing. Es muy común que las organizaciones trabajen con expertos
mensajes de vishing y de smishing, nuevos correos electrónicos de phishing y
para enviar correos electrónicos de phishing simulados a los empleados y que llamadas de voz. Manténgase siempre alerta ante mensajes sospechosos que le pidan
rastreen quién abre el correo y clica en el enlace. A estos empleados se les puede
capacitar en mayor profundidad para que no cometan los mismos errores en futuros información suya o detalles financieros.
ataques.
• Algunas soluciones de email gateway basadas en la reputación son capaces de
La Comisión Federal de Comercio tiene una página web dedicada específicamente a
detectar y clasificar los correos de phishing basándose en la mala reputación que identificar robos para ayudarle a mitigar los daños y a monitorizar su calificación
pueden tener las URL incrustadas. Lo que estas soluciones suelen ser incapaces de
detectar son los correos bien redactados que contienen URL de páginas web crediticia. Si ha clicado en un enlace o ha abierto un archivo adjunto sospechoso, su
legítimas que se encuentran comprometidas y que no tienen mala reputación al
momento de la entrega del correo electrónico.
computadora podría tener malware instalado. Para detectar y eliminar el malware,
• Los sistemas más eficaces logran identificar los correos electrónicos sospechosos asegúrese de que su software antivirus esté actualizado y tenga instaladas las
basándose en el análisis de anomalías, que busca y detecta patrones inusuales en el
tráfico para identificar correos electrónicos sospechosos y después reescribe la URL
revisiones más recientes.
incrustada y realiza una vigilancia constante sobre la URL para detectar “exploits” y
descargas integradas en la página. Estas herramientas de monitorización ponen en
cuarentena a los mensajes sospechosos de correo electrónico, para que los
administradores puedan investigar ataques de phishing continuos. Si se detecta una
gran cantidad de correos electrónicos de phishing, los administradores pueden
alertar a los empleados y reducir las posibilidades de que se perpetre una campaña
de phishing dirigido.
• La escena de la ciberseguridad evoluciona continuamente, especialmente en el
mundo del phishing. Para las corporaciones es clave el estar siempre en
comunicación con sus empleados y brindarles formación para que estén bien
enterados de las técnicas más recientes de phishing y de ingeniería social. Mantener
a los empleados conscientes de las amenazas más recientes reduce los riesgos y
genera una cultura de ciberseguridad en la organización.
Paquete de formación antiphishing
• Formar a los empleados para que puedan detectar el phishing ha demostrado ser un componente fundamental en la
concienciación y prevención, para garantizar que su organización no se convierta en la próxima víctima. Tan solo un
empleado que “pique” en una campaña de phishing abre la posibilidad de que la empresa protagonice la siguiente
filtración de datos reportada.
• La simulación de phishing es lo más puntero en formación para empleados. La aplicación práctica de un ataque activo,
brinda a los empleados experiencia de primera mano en cómo se perpetran estos ataques. La mayoría de las simulaciones
también conllevan el uso de la ingeniería social, porque los atacantes suelen combinar ambas para unas campañas más
eficaces. Las simulaciones se realizan tal como en un escenario de phishing real, pero monitorizando la actividad de los
empleados.
• Los informes y análisis les revelan a los administradores en dónde puede mejorar la organización, porque permiten
descubrir qué ataques de phishing lograron engañar a los empleados. Las simulaciones que incluyen enlaces están
vinculadas a los informes mediante el seguimiento a quién hace clic en un enlace malintencionado, qué empleados
introducen sus credenciales en una página malintencionada, y si hay mensajes de correo electrónico que disparen
automáticamente los filtros de correo no deseado. Los resultados se pueden utilizar para configurar filtros de spam y para
reforzar la capacitación y formación en la organización en pleno.
• Los clientes de Proofpoint usan el Anti-Phishing Training Suite (Paquete de capacitación anti-phishing) y la Continuous
Training Methodology (Metodología de formación continua) para reducir hasta en un 90% los ataques de phishing
eficaces y las infecciones de malware. Este enfoque único de cuatro pasos (evaluar, capacitar, reforzar y medir), puede
constituir la base del programa de capacitación ante el phishing de cualquier tipo de empresa.