Blog de ciberseguridad

Aprende a mantener segura la información sensible de tu empresa.

qué es el phishing

Phishing: qué es y cómo evitarlo

El phishing es una de las amenazas más peligrosas para las empresas en la actualidad. Mediante este tipo de ataques, se busca acceder a datos sensibles y confidenciales, y otro tipo de información que pueden generar un daño irreversible en una empresa.

La mejor manera de actuar frente a estas amenazas es prevenirlas, y en este post tienes toda la información necesaria para ello.

Qué es el phishing

El phishing es un ataque de ingeniería social mediante el cual se suplanta la identidad de una persona o empresa de confianza para manipular al usuario y que realice acciones que no debería realizar, tales como ofrecer datos confidenciales o descargar e instalar programas maliciosos.

Estos ataques se realizan con el fin de obtener información sensible (cómo credenciales de inicio de sesión o tarjetas de crédito) con el fin de obtener un beneficio económico a costa de la víctima. 

La característica de estos ataques es que es la víctima quien proporciona los datos voluntariamente dado que es mucho más sencillo conseguirlos de esta manera.

Por este motivo es importante que todos los usuarios aprendan a detectar este tipo de mensajes fraudulentos para evitar ceder información sensible. 

Cómo funciona el phishing

El phiser o remitente envía un mensaje suplantando la identidad de una persona u organización, solicitando a los receptores que realicen alguna acción con caracter urgente, por ejemplo, modificar la contraseña de un servicio, o volver a introducir los datos de pago. También puede solicitar descargar algún archivo que permita la inclusión de malware en el ordenador o dispositivo desde el que se ha abierto el mensaje. 

Las víctimas creen que la solicitud llega de un remitente de confianza y llevan a cabo la acción, entregando sus datos a los ciberdelincuentes. 

Debido a la dificultad de conseguir estos datos por otros métodos, es más sencillo provocar que los usuarios los entregen voluntariamente a través de un engaño, por lo que la formación en este sentido es la clave para evitar daños derivados de ser víctima de una de estas estafas.

Canales habituales para el fraude

La suplantación de identidad por medios electrónicos suele aparecer habitualmente por los siguientes canales:

Email 

El correo electrónico es el canal más habitual para los ataques de phishing (si bien no el único). El método consiste en hacer pasar los diferentes aspectos del email (desde el remitente a firma, logo y otras señas de identidad) por una identidad falsa que convenza al usuario de entregar datos sensibles o llevar a cabo determinadas acciones bajo engaño.

Teléfono (Vishing)

En este caso la suplantación de identidad se lleva a cabo a través de una llamada, en la que el atacante se hace pasar por una persona de confianza o relacionada de alguna manera con el receptor, con la intención de obtener información.

SMS

El procedimiento es similar al email, sólo que el vehículo en esta ocasión es un mensaje de texto que suele incluir un enlace malicioso que servirá de vía de entrada al acceso a los datos sensibles.

Redes sociales y aplicaciones de mensajería

Las redes sociales y aplicaciones de mensajería también son canales susceptibles de alojar mensajes fraudulentos que pueden exponer datos e información delicada que los atacantes pueden aprovechar para sus fines.

Peligros de no detectar el phishing

Cuando una víctima no detecta el fraude puede generar una serie de consecuencias negativas para él mismo o para la empresa para la que trabaja, como pueden ser las siguientes:

Robo de identidad

Si el usuario cede credenciales de sus cuentas puede ser suplantado para llevar a cabo acciones delictivas en su nombre.

Robo de dinero

En caso de hacerse con credenciales de aplicaciones bancarias o con autorización de pagos, los atacantes puede obtener un rendimiento económico de sus estafas.

Robo o secuestro de datos sensibles

Los datos, especialmente en el caso de empresas, son uno de los activos más valiosos de las mismas por lo que suelen ser uno de los principales objetivos de este tipo de ataque, con el fin de utilizarlos maliciosamente (espionaje industrial, venta de datos personales, etc.)

Chantaje

Otra situación habitual es, una vez los atacantes han conseguido robar los datos, utilizarlos para chantajear a la víctima bajo amenaza de divulgarlos.

Ejemplos de phishing

Existen muchas variantes mediante las cuales se puede llevar a cabo una suplantación de identidad con el fin de forzar al usuario receptor a llevar a cabo acciones no deseadas. Estas son algunas de las más habituales:

Phishing genérico

Son envíos genéricos en los que los atacantes ocultan su identidad haciendose pasar por compañías muy conocidas (Amazon, Paypal, Google, etc.), que se envían a un gran número de usuarios confiando en que algunos de ellos creerán haber recibido un mensaje acerca de sus cuentas en dichos servicios.

Spear phishing

El spear phishing es un fraude más personalizado, en los que los atacantes conocen ciertos datos de la identidad del usuario, como por ejemplo, su nombre, con lo que se lleva a cabo un ataque más selectivo pero más eficaz.

Falso sitio web

Usualmente un correo fraudulento dirigirá al usuario a un sitio web que suplanta uno legítimo, en el que se solicitará que el usuario introduzca datos tales como contraseñas y otra información valiosa. 

Fraude del CEO

En esta variante, el atacante se hace pasar por un empleado o directivo de la empresa en la que trabaja el usuario, incitándole a llevar a cabo una operación confidencial y con carácter de urgencia. Es uno de los más peligrosos ya que puede comprometer a toda la organización en caso de que el usuario caiga en el engaño.

Inyección de contenido

En este tipo de ataque, el atacante cambia una parte del contenido de un sitio web legítimo, derivando al usuario a uno ilegítimo para que introduzca sus datos.

Instalación de malware

En este caso, el mensaje incluirá un adjunto que, de abrirlo el usuario, instalará en su equipo algún tipo de software malicioso que permitirá a los atacantes acceder a su información y cuentas.

El intermediario

En este caso, alguien se hace pasar por un intermediario en una conversación entre dos personas, haciéndoles llegar información falsa acerca del otro interlocutor.

Cómo detectar un phishing

Los mensajes de phishing se basan en suplantar la identidad de una persona. entidad con alguna relación con el usuario. Su éxito depende de que el usuario no identifique que no se trata de un mensaje legítimo. Pero existen algunos detalles en los que fijarse que nos pueden indicar que se trata de un fraude a simple vista, son los siguientes:

Email del remitente

En primer lugar, es importante verificar el remitente el email. En caso de tratarse de un email corporativo, verificar que. el dominio sea correcto y sin variaciones, aunque hay que tener en cuenta que esto no es una garantía al 100%.

Asunto

Los asuntos que incitan a una acción urgente o informan de un problema de manera alarmista deben hacer saltar las alarmas. Algunas de las palabras más habituales en los asuntos son: Urgente, Petición, Importante, Pago, o Atención.

Contenido del mensaje

Analiza bien el contenido del mensaje (faltas de ortografía, lenguaje extraño etc), así como si te pide realizar alguna acción poco habitual o sospechosa, sobre todo, algún tipo de dato personal.

URL de los enlaces

Antes de pinchar en un enlace, verifica la url del mismo situando el cursor encima, y nunca pinches. enellos a no ser que estés seguro de que se trata de una url fiable.

Archivos adjuntos

En general lo aconsejable es no descargar ni abrir ningún archivo adjunto que provenga. de un remitente que no sea conocido y de confianza y que, preferiblemente, nos haya avisado previamente de que se iba a enviar dicho archivo adjunto.

El phishing es inofensivo siempre que no se pinche en un enlace o se descargue un archivos, por lo que extremar las precauciones en este sentido nunca está de más.

Si quieres mantener tu empresa segura, lo mejor que puedes hacer es mantener a tus empleados informados acerca de estas técnicas de phishing, y darles las herramientas para detectarlo. De esta manera, tu negocio estará mucho más protegido. Prueba Robustal y empieza a protegerte desde ahora mismo.