/ ¿Qué es el phishing?
¿Qué es el phishing?
¿Cómo funciona el phishing?
La forma más fácil de cometer un robo probablemente es convencer a las víctimas de que no les están robando en absoluto. Ese es el modelo básico del estafador de phishing.
Los ataques de phishing comienzan con un correo electrónico, una llamada telefónica, un mensaje SMS, una publicación en las redes sociales o algo similar que parece provenir de una fuente confiable. A partir de aquí, el atacante puede tener todo tipo de objetivos finales, como engañar a la víctima para que ofrezca información de la cuenta, realice una transferencia de PayPal, descargue malware encubierto, etc.
Veamos un ejemplo común. Un atacante obtiene la dirección de correo electrónico o el número de teléfono de una víctima. La víctima recibe un correo electrónico o mensaje de texto que parece ser su banco. El mensaje de phishing menciona una oferta especial que expira, una sospecha de robo de identidad o algo similar, y pide a la víctima que inicie sesión en su cuenta bancaria. Se vincula a una página web de inicio de sesión simulada y la víctima, sin darse cuenta, le da al atacante sus credenciales de inicio de sesión.
El ataque de este ejemplo, como la mayoría de los ataques de phishing, crea cuidadosamente una sensación de urgencia que engaña a la víctima para que baje la guardia en lugar de tomarse el tiempo para considerar si el mensaje es sospechoso. Sin embargo, es más fácil decirlo que hacerlo, ya que los atacantes tienen bastantes trucos en su manual de estrategias.
Tipos de ataques de phishing
Los atacantes han inventado una amplia variedad de técnicas de phishing para explotar diferentes tecnologías, tendencias, sectores y usuarios. He aquí un resumen de algunos tipos comunes:
- Phishing por correo electrónico: un correo electrónico de un remitente aparentemente legítimo intenta engañar al destinatario con el fin de que siga un enlace malicioso y/o descargue un archivo infectado. La dirección de correo electrónico y cualquier URL en un correo electrónico de phishing pueden usar la suplantación de identidad para parecer legítimos.
- Smishing/phishing por SMS: a través de mensajes de texto enviados a dispositivos móviles, los atacantes intentan engañar a las víctimas para que proporcionen información personal, como números de tarjetas de crédito u otros números de cuentas.
- Vishing/phishing de voz: Esencialmente, es lo mismo que el smishing pero realizado a través de una llamada telefónica. Estos ataques buscan información de tarjetas de crédito u otros detalles confidenciales.
- Phishing Angler: haciéndose pasar por organizaciones legítimas en las redes sociales, los atacantes solicitan información personal de las víctimas y suelen hacerlo ofreciendo tarjetas de regalo, descuentos, etc.
- Phishing emergente: un ataque común en Apple, Android u otros teléfonos inteligentes, aparece una oferta o un mensaje de advertencia en una ventana emergente, que generalmente contiene un enlace malicioso para engañar a las víctimas para que divulguen datos personales.
- Spear phishing: si bien muchas estafas de phishing buscan víctimas al azar, los ataques de spear phishing se dirigen a personas específicas cuyos detalles personales el atacante ya conoce hasta cierto punto. Esos detalles adicionales pueden aumentar en gran medida las probabilidades de éxito del phishing.
- Ataques de whaling: los atacantes hacen phishing a ejecutivos u otros miembros importantes de una organización en un intento de obtener información que les dé acceso privilegiado al entorno objetivo.
- Clone phishing: los phishers envían a las víctimas correos electrónicos falsos que parecen provenir de remitentes en los que la víctima confía, como instituciones financieras o empresas acreditadas como Amazon. Esto está estrechamente relacionado con el spear phishing y es una táctica común de los ataques de compromiso de correo electrónico empresarial (BEC).
- Phishing Evil Twin: los atacantes atraen a las víctimas con un punto de acceso wifi de aspecto confiable y luego llevan a cabo ataques de intermediario, interceptando la transferencia de datos de las víctimas a través de la conexión.
- Pharming: los atacantes secuestran la funcionalidad de un servidor del sistema de nombres de dominio (DNS) para que redirija a los usuarios a un sitio web falso malicioso incluso si escriben una URL benigna.
¿Hasta qué punto son peligrosos los ataques de phishing?
Los ataques de phishing pueden ser extremadamente peligrosos. Las grandes campañas de phishing pueden afectar a millones de personas, robar datos confidenciales, plantar ransomware y otros tipos de malware, así como obtener acceso a las áreas más confidenciales de los sistemas de una empresa.
La pérdida de datos confidenciales, el daño a la reputación y los problemas normativos se encuentran entre las muchas posibles consecuencias de un ataque de phishing exitoso a nivel organizacional. Los riesgos para cualquier víctima de phishing pueden incluir la pérdida o el compromiso de datos confidenciales, y las organizaciones también se enfrentan a posibles daños a la reputación y problemas regulatorios.
¿Cómo afecta el phishing a las empresas?
A nivel organizacional, las consecuencias de un ataque de phishing exitoso pueden ser graves y de largo alcance. Una cuenta bancaria corporativa comprometida puede dar lugar a pérdidas financieras. El phishing que conduce a un ataque de ransomware puede originar pérdida de datos. Una organización puede sufrir un gran daño a la reputación como consecuencia de cualquier infracción de datos confidenciales que requiera divulgación pública.
Además, cualquiera de estas cosas puede tener consecuencias aún más graves a su vez. Los ciberdelincuentes pueden vender datos robados en la web oscura, incluso a competidores sin escrúpulos. Además de eso, será necesario informar de muchas de las infracciones a los organismos reguladores del sector o del gobierno que pueden imponer multas u otras sanciones. Incluso puede involucrar a la organización en investigaciones de delitos cibernéticos, lo que puede llevar mucho tiempo y atraer una atención negativa.
¿Cómo protejo a mi organización de los ataques de phishing?
Afortunadamente, la mayoría de los tipos de phishing se pueden detener si se toman las precauciones adecuadas. Eso significa:
- Utilice contramedidas eficaces de ciberseguridad. Las modernas soluciones antivirus y antiphishing, junto con filtros de spam efectivos, descartarán muchos intentos de phishing.
- Mantener actualizados los sistemas operativos y navegadores. Los proveedores de software abordan periódicamente vulnerabilidades recién descubiertas en sus productos, con las cuales su sistema quedará expuesto.
- Proteger los datos con copias de seguridad automáticas. Implemente un proceso regular de copia de seguridad de los datos del sistema para poder recuperarlos en caso de una infracción.
- Utilice la autenticación multifactor avanzada (MFA). Las estrategias de confianza cero como MFA crean capas adicionales de defensa entre los atacantes y sus sistemas internos.
- Asegurarse de que sus usuarios tengan la formación adecuada. Los ciberdelincuentes constantemente inventan nuevas estrategias y la seguridad del correo electrónico no lo detectará todo. Sus usuarios y su organización en general estarán más seguros si todos los usuarios entienden cómo identificar mensajes de correo electrónico sospechosos y denunciar el phishing.
¿Cuáles son los signos de phishing?
Cuando se trata de phishing, los usuarios más seguros son aquellos que saben cómo evitar verse atrapados. Si bien un breve resumen no reemplaza a una formación centrada en la concientización sobre seguridad, aquí hay algunos signos clave que advierten de un intento de phishing:
- Discrepancias en los nombres de dominio: las direcciones de correo electrónico y los dominios web pueden tener incoherencias. Por ejemplo, si recibe un correo electrónico que afirma ser de una marca conocida, es posible que la dirección de correo electrónico no coincida.
- Errores ortográficos: aunque los ataques de phishing se han vuelto mucho más efectivos, los mensajes aún contienen errores ortográficos o gramaticales.
- Saludos desconocidos: a veces, el estilo de un saludo o despedida puede ser una pista de que algo no está bien. Preste atención cuando alguien que siempre empieza los mensajes con "¡Hola!" de repente dice "Querido amigo".
- Breve y conciso: los correos electrónicos de phishing a menudo dan una información escasa y confían en la ambigüedad para alterar el juicio de las víctimas. Si faltan demasiados detalles importantes, puede ser una señal de un intento de phishing.
- Solicitudes inusuales: un correo electrónico que le pide que haga algo inusual, especialmente sin una explicación, es una gran señal de alerta. Por ejemplo, un intento de phishing podría pasarse por su equipo de TI y pedirle que descargue un archivo sin especificar un motivo.
Phishing e IA
Los ataques de phishing impulsados por IA aprovechan las herramientas de IA para mejorar la sofisticación y eficacia de las campañas de phishing. La IA automatiza y personaliza varios aspectos del proceso de ataque, lo que hace que el phishing sea aún más difícil de detectar. Por ejemplo, los chatbots se utilizan habitualmente para crear correos electrónicos de phishing muy convincentes y sin errores. Es más, los atacantes aprovechan cada vez más servicios avanzados de inteligencia artificial, como la tecnología deepfake y la clonación de voz, para hacerse pasar por organizaciones o personas de buena reputación y engañar a las víctimas. Explotan diferentes canales de comunicación, incluidos correos electrónicos, llamadas telefónicas y videollamadas, SMS y aplicaciones de mensajería cifrada.
La IA generativa está impulsando rápidamente el panorama de las amenazas de phishing, permitiendo la automatización y la eficiencia en numerosas etapas de la cadena de ataque. Al analizar rápidamente los datos disponibles públicamente, como detalles sobre organizaciones o ejecutivos, GenAI ahorra tiempo a los autores de amenazas en el reconocimiento y al mismo tiempo facilita ataques dirigidos más precisos. Al eliminar errores ortográficos y gramaticales, las herramientas GenAI mejoran la credibilidad de las comunicaciones de phishing. Es más, GenAI puede crear rápidamente páginas de phishing sofisticadas (como se demuestra en el siguiente caso práctico) o ampliar sus capacidades para generar malware y ransomware para ataques secundarios. A medida que las herramientas y tácticas de GenAI evolucionan rápidamente, los ataques de phishing serán cada día más dinámicos (y más difíciles de detectar).
La creciente popularidad y uso de herramientas GenAI como ChatGPT y Drift ya están comenzando a afectar a la actividad de phishing y el aumento de los ataques impulsados por IA. Países como EE. UU. e India, donde estas herramientas se utilizan ampliamente según muestra la investigación de ThreatLabz en el Informe de seguridad de IA de 2024, son los principales objetivos de las estafas de phishing y han sufrido la mayor cantidad de ataques cifrados en el último año, una parte de los cuales son ataques de phishing.
Protección frente al phishing con Zscaler
Debido a que se basa en explotar la naturaleza humana para tener éxito, el compromiso del usuario es uno de los desafíos de seguridad más difíciles de superar. Para detectar infracciones activas y minimizar el daño que pueden causar las infracciones exitosas, debe implementar controles efectivos de prevención de phishing como parte de una estrategia de confianza cero más amplia.
La plataforma Zscaler Zero Trust Exchange™, construida sobre una arquitectura holística de confianza cero para minimizar la superficie de ataque, evitar compromisos, eliminar el movimiento lateral y detener la pérdida de datos, ayuda a detener el phishing al:
- Prevenir ataques: funciones como la inspección completa de TLS/SSL, el aislamiento del navegador y el control de acceso basado en políticas evitan el acceso a sitios web maliciosos.
- Prevenir el movimiento lateral: una vez en su sistema, el malware puede propagarse y causar aún más daño. Con Zero Trust Exchange, los usuarios se conectan directamente a las aplicaciones, no a su red, por lo que el malware no puede propagarse desde ellas.
- Detener las amenazas internas: nuestra arquitectura de proxy en la nube detiene los intentos de explotación de aplicaciones privadas y detecta incluso las técnicas de ataque más sofisticadas con una inspección en línea completa.
- Detener la pérdida de datos: Zero Trust Exchange inspecciona los datos en movimiento y en reposo para evitar el posible robo de datos por parte de un atacante activo.