Phishing

El phishing es un método para tratar de recopilar información personal mediante correos electrónicos y sitios web engañosos. Esto es lo que necesita saber sobre esta forma venerable, pero cada vez más sofisticada, de ciberataque.

Definición de phishing

El phishing es un ciberataque que utiliza el correo electrónico disfrazado como arma. El objetivo es engañar al destinatario del correo electrónico para que crea que el mensaje es algo que desea o necesita (una solicitud de su banco, por ejemplo, o una nota de alguien de su empresa) y hacer clic en un enlace o descargar un archivo adjunto.

Lo que realmente distingue al phishing es la forma que adopta el mensaje: los atacantes se hacen pasar por una entidad confiable de algún tipo, a menudo una persona real o plausiblemente real, o una empresa con la que la víctima podría hacer negocios. Es uno de los tipos de ciberataques más antiguos, que se remonta a la década de 1990, y sigue siendo uno de los más extendidos y perniciosos, con mensajes y técnicas de phishing cada vez más sofisticados.

«Phish» se pronuncia tal como se escribe, es decir, como la palabra «fish»: la analogía es la de un pescador que lanza un anzuelo con cebo (el correo electrónico de phishing) y espera que muerdas. El término surgió a mediados de la década de 1990 entre los piratas informáticos que buscaban engañar a los usuarios de AOL para que dieran su información de inicio de sesión. El «ph» es parte de una tradición de ortografía caprichosa de los piratas informáticos, y probablemente fue influenciado por el término «phreaking», abreviatura de «phone phreaking», una forma temprana de piratería que implicaba reproducir tonos de sonido en teléfonos para obtener llamadas telefónicas gratuitas.

Casi un tercio de todas las infracciones del año pasado involucraron phishing, según el Informe de investigaciones de infracciones de datos de Verizon de 2019 . Para los ataques de ciberespionaje, ese número aumenta al 78%. La peor noticia de phishing para 2019 es que sus perpetradores están mejorando mucho, mucho gracias a herramientas y plantillas listas para usar y bien producidas.

¿Qué es un kit de phishing?

La disponibilidad de kits de phishing facilita que los ciberdelincuentes, incluso aquellos con habilidades técnicas mínimas, puedan lanzar campañas de phishing. Un kit de phishing agrupa recursos y herramientas de sitios web de phishing que solo necesitan instalarse en un servidor. Una vez instalado, todo lo que el atacante debe hacer es enviar correos electrónicos a las víctimas potenciales. Los kits de phishing y las listas de correo están disponibles en la web oscura. Un par de sitios, Phishtank y OpenPhish , mantienen listas de fuentes colectivas de kits de phishing conocidos.

Algunos kits de phishing permiten a los atacantes falsificar marcas confiables, lo que aumenta las posibilidades de que alguien haga clic en un enlace fraudulento. La investigación de Akamai proporcionada en su informe Phishing – Baiting the Hook encontró 62 variantes de kit para Microsoft, 14 para PayPal, siete para DHL y 11 para Dropbox.

El informe de Duo Labs, Phish in a Barrel , incluye un análisis de la reutilización del kit de phishing. De los 3.200 kits de phishing que descubrió Duo, 900 (27%) se encontraron en más de un host. Sin embargo, ese número podría ser mayor. “¿Por qué no vemos un mayor porcentaje de reutilización de kits? Quizás porque estábamos midiendo en función del hash SHA1 del contenido del kit. Un único cambio en un solo archivo en el kit aparecería como dos kits separados incluso cuando son idénticos ”, dijo Jordan Wright, ingeniero senior de I + D de Duo y autor del informe.

Tipos de phishing

Si hay un denominador común entre los ataques de phishing, es el disfraz. Los atacantes falsifican su dirección de correo electrónico para que parezca que proviene de otra persona, configuran sitios web falsos que se parecen a los que la víctima confía y usan conjuntos de caracteres extranjeros para disfrazar las URL .

Dicho esto, hay una variedad de técnicas que caen bajo el paraguas del phishing. Hay un par de formas diferentes de dividir los ataques en categorías. Uno es por el propósito del intento de phishing. Generalmente, una campaña de phishing intenta que la víctima haga una de estas dos cosas:

• Entregue información sensible. Estos mensajes tienen como objetivo engañar al usuario para que revele datos importantes, a menudo un nombre de usuario y una contraseña que el atacante puede usar para violar un sistema o una cuenta. La versión clásica de esta estafa implica enviar un correo electrónico diseñado para que parezca un mensaje de un banco importante; Al enviar spam el mensaje a millones de personas, los atacantes se aseguran de que al menos algunos de los destinatarios serán clientes de ese banco. La víctima hace clic en un enlace del mensaje y es llevada a un sitio malicioso diseñado para parecerse a la página web del banco y, con suerte, ingresa su nombre de usuario y contraseña. El atacante ahora puede acceder a la cuenta de la víctima.
• Descarga malware. Como ocurre con el spam, este tipo de correos electrónicos de phishing tienen como objetivo que la víctima infecte su propia computadora con malware. A menudo, los mensajes tienen un «objetivo suave»: pueden enviarse a un miembro del personal de recursos humanos con un archivo adjunto que pretende ser el currículum de un solicitante de empleo, por ejemplo. Estos archivos adjuntos suelen ser archivos .zip o documentos de Microsoft Office con código incrustado malicioso. La forma más común de código malicioso es el ransomware: en 2017 se estimó que el 93% de los correos electrónicos de phishing contenían archivos adjuntos de ransomware.

Spear phishing

Cuando los atacantes intentan crear un mensaje para atraer a un individuo específico, eso se llama spear phishing. (La imagen es de un pescador apuntando a un pez específico, en lugar de simplemente lanzar un anzuelo con cebo en el agua para ver quién muerde). Los phishers identifican sus objetivos (a veces usando información en sitios como LinkedIn) y usan direcciones falsas para enviar correos electrónicos que podría parecer plausible que vienen de compañeros de trabajo. Por ejemplo, el spear phisher podría apuntar a alguien del departamento de finanzas y pretender ser el gerente de la víctima que solicita una gran transferencia bancaria con poca antelación.

Ballenero

El phishing de ballenas, o caza de ballenas , es una forma de spear phishing dirigida a los peces más grandes: los directores ejecutivos u otros objetivos de alto valor. Muchas de estas estafas se dirigen a los miembros de la junta de la empresa , que se consideran particularmente vulnerables: tienen una gran autoridad dentro de una empresa, pero como no son empleados a tiempo completo, a menudo utilizan direcciones de correo electrónico personales para la correspondencia relacionada con la empresa, que no tiene las protecciones que ofrece el correo electrónico corporativo.

Recopilar suficiente información para engañar a un objetivo de gran valor puede llevar tiempo, pero puede tener una recompensa sorprendentemente alta. En 2008, los ciberdelincuentes atacaron a los directores ejecutivos corporativos con correos electrónicos que afirmaban tener citaciones del FBI adjuntas. De hecho, descargaron registradores de pulsaciones de teclas en las computadoras de los ejecutivos, y la tasa de éxito de los estafadores fue del 10%, lo que atrapó a casi 2.000 víctimas.

Otros tipos de phishing incluyen clon phishing, vishing y raquetas de nieve. Este artículo explica las diferencias entre los distintos tipos de ataques de phishing.

Por qué aumenta el phishing durante una crisis

Los delincuentes confían en el engaño y crean un sentido de urgencia para lograr el éxito con sus campañas de phishing. Crisis como la pandemia de coronavirus brindan a esos delincuentes una gran oportunidad para atraer a las víctimas para que muerdan el anzuelo del phishing.

Durante una crisis, la gente está nerviosa. Quieren información y buscan orientación de sus empleadores, el gobierno y otras autoridades relevantes. Un correo electrónico que parece ser de una de estas entidades y promete nueva información o instruye a los destinatarios para que completen una tarea rápidamente probablemente recibirá menos escrutinio que antes de la crisis. Un clic impulsivo más tarde y el dispositivo de la víctima está infectado o la cuenta está comprometida.

Cómo reconocer el phishing

Los estafadores usan el correo electrónico o los mensajes de texto para engañarlo para que les dé su información personal. Pueden intentar robar sus contraseñas, números de cuenta o números de seguro social. Si obtienen esa información, podrían obtener acceso a su correo electrónico, banco u otras cuentas. Los estafadores lanzan miles de ataques de phishing como estos todos los días y, a menudo, tienen éxito. El Centro de Quejas de Delitos en Internet del FBI informó que las personas perdieron $ 57 millones en esquemas de phishing en un año .

Los estafadores a menudo actualizan sus tácticas, pero hay algunas señales que lo ayudarán a reconocer un correo electrónico o mensaje de texto de phishing.

Los correos electrónicos y los mensajes de texto de suplantación de identidad pueden parecer de una empresa que conoce o en la que confía. Pueden parecer de un banco, una compañía de tarjetas de crédito, un sitio de redes sociales, un sitio web o aplicación de pago en línea o una tienda en línea.

Los correos electrónicos y mensajes de texto de phishing a menudo cuentan una historia para engañarlo para que haga clic en un enlace o abra un archivo adjunto:

• dicen que han notado alguna actividad sospechosa o intentos de inicio de sesión
• reclamar que hay un problema con su cuenta o su información de pago
• decir que debe confirmar cierta información personal
• incluir una factura falsa
• desea que haga clic en un enlace para realizar un pago
• dice que es elegible para registrarse para un reembolso del gobierno
• ofrecer un cupón para cosas gratis

Sobre el autor

Dafne Planas Menendez

Soy una profesional altamente capacitada en el campo de la comunicación y la información. Me gradué en Periodismo de la prestigiosa Universidad Carlos III de Madrid, donde adquirí una sólida formación en investigación, redacción y producción de contenido para diversos medios.

Durante mi formación, desarrollé habilidades fundamentales como la capacidad de análisis crítico, la redacción clara y concisa, la investigación exhaustiva y la narración efectiva de historias.

Además, complementé mis conocimientos con una Diplomatura en Historia de la Universidad Complutense de Madrid, lo que me brindó una comprensión profunda de la cultura y la sociedad en diferentes épocas y contextos.
Esta formación complementaria me ha permitido tener una visión más amplia y contextualizada de los acontecimientos actuales, así como una mayor capacidad para interpretar y analizar los hechos desde una perspectiva histórica.

A lo largo de mi carrera, he tenido la oportunidad de trabajar en diversos medios de comunicación, tanto tradicionales como digitales, lo que me ha brindado una valiosa experiencia práctica en el campo del periodismo.
He cubierto eventos de gran relevancia, realizado entrevistas a personajes destacados y producido contenidos multimedia de alta calidad.

Poseo excelentes habilidades de comunicación oral y escrita, lo que me permite transmitir información de manera clara, precisa y atractiva para diferentes audiencias. Soy capaz de adaptarme a diferentes formatos y plataformas, desde noticias impresas hasta contenido web y redes sociales.

Últimos Significados

Significados del autor

• Literatura28/03/2024Preguntas retóricas: aprende qué son y cómo usarlas
• Generales19/03/2024Significado de viajar: lo que necesitas saber sobre la industria de viajes
• Videojuegos18/03/2024Cómo jugar a juegos online sin una consola
• Tecnología17/03/2024¿Qué es la Electrónica? Definición y Ejemplos