Zpedia 

/ ¿Qué es el phishing?

¿Qué es el phishing?

El phishing es una categoría de ciberataque que utiliza técnicas de "ingeniería social" para engañar a los usuarios a fin de que divulguen información confidencial o transfieran sumas de dinero, etc. Los ataques de phishing suelen hacerse pasar por interacciones inofensivas que atraen a las víctimas para que confíen en el atacante. Pueden tener diversos fines, desde el simple lucro personal hasta el espionaje corporativo.
Obtenga el Informe de Phishing de ThreatLabz 2024
Protección contra ciberamenazasFuerza de trabajo híbrida
  1. Cómo funciona
  2. Tipos de phishing
  3. Peligros del phishing
  4. Protección contra el phishing
  5. Phishing e IA
  6. Cómo puede ayudar Zscaler
  7. Recursos sugeridos
  8. Preguntas frecuentes
  9. Temas relacionados

¿Cómo funciona el phishing?

La manera más fácil de cometer un robo es probablemente convencer a las víctimas de que no están siendo robadas en absoluto. Ese es el modelo básico de la estafa por phishing.

Los ataques de phishing comienzan con un correo electrónico, una llamada telefónica, un mensaje SMS, una publicación en las redes sociales o similares que aparentan provenir de una fuente de buena reputación. A partir de aquí, el atacante puede tener todo tipo de objetivos finales, como engañar a la víctima para que ofrezca información de la cuenta, hacer una transferencia de PayPal, descargar malware disfrazado, etc.

Veamos un ejemplo común. Un atacante obtiene la dirección de correo electrónico o el número de teléfono de una víctima. Luego, la víctima recibe un correo electrónico o mensaje de texto de lo que aparenta ser su banco. El mensaje de phishing menciona una oferta especial con vencimiento inminente, sospecha de robo de identidad, o similar, y le pide a la víctima que inicie sesión en su cuenta bancaria. Le hacen seguir un vínculo a una página web que simula el inicio de sesión, y la víctima, sin saberlo, le da al atacante sus credenciales de inicio de sesión.

El ataque en este ejemplo, como la mayoría de los ataques de phishing, crea cuidadosamente una sensación de urgencia para engañar a la víctima y que baje la guardia en lugar de tomarse el tiempo para considerar si el mensaje es sospechoso. Sin embargo, es más fácil decirlo que hacerlo, ya que existen bastantes trucos en el manual de estrategias del atacante.

Tipos de ataques de phishing

Los atacantes han inventado una amplia variedad de técnicas de phishing para aprovecharse de diferentes tecnologías, tendencias, sectores y usuarios. Demos un vistazo a algunos de los tipos más comunes:

  • Phishing por correo electrónico: Un correo electrónico de un remitente aparentemente legítimo intenta engañar al destinatario para que siga un enlace malicioso y/o descargue un archivo infectado. La dirección de correo electrónico y cualquier URL en un correo electrónico de phishing pueden usar suplantación de identidad para aparentar ser legítimos.
  • Smishing/phishing por SMS: A través de mensajes de texto enviados a dispositivos móviles, los atacantes intentan engañar a las víctimas para que faciliten información personal, como números de tarjetas de crédito u otros números de cuenta.
  • Vishing/Phishing por voz: Esencialmente lo mismo que smishing pero realizado a través de una llamada telefónica, estos ataques buscan información de la tarjeta de crédito u otros detalles confidenciales.
  • Angler phishing: Haciéndose pasar por organizaciones legítimas en las redes sociales, los atacantes solicitan información personal a las víctimas, a menudo ofreciendo tarjetas de regalo, descuentos, etc.
  • Pop-up phishing: Un ataque común en los teléfonos inteligentes Apple, Android u otros, en el que aparece una oferta o un mensaje de advertencia en una ventana emergente, que generalmente contiene un enlace malicioso para engañar a las víctimas para que divulguen datos personales.
  • Phishing selectivo: Si bien muchas estafas de phishing apuntan a víctimas al azar, los ataques de phishing selectivo (o "spear phishing") se dirigen a individuos específicos cuyos datos personales ya son conocidos, en cierta medida, por el atacante. Este detalle adicional puede aumentar en gran medida las probabilidades de éxito del phishing.
  • Ataques de whaling: Los atacantes suplantan a ejecutivos u otros miembros importantes de una organización en un intento de obtener información que les dé acceso privilegiado al entorno objetivo.
  • Clone phishing: Los phishers envían a las víctimas correos electrónicos falsos que parecen proceder de remitentes en los que la víctima confía, como instituciones financieras o empresas acreditadas como Amazon. Esto está estrechamente relacionado con el spear phishing y es una táctica común de ataques que comprometen el correo electrónico empresarial (BEC).
  • Phishing del gemelo malvado: Los atacantes atraen a las víctimas con un punto de acceso Wi-Fi de aspecto confiable, y luego llevan a cabo ataques de intermediario, interceptando datos que las víctimas transfieren a través de la conexión.
  • Pharming: Los atacantes se apropian de la funcionalidad de un servidor del Sistema de Nombres de Dominio (DNS) para que redireccione a los usuarios a un sitio web falso y malicioso aunque escriba una URL benigna.

¿Cuán peligrosos son los de ataques de phishing?

Los ataques de phishing pueden ser extremadamente peligrosos. Las campañas grandes de phishing pueden afectar a millones de personas, robar datos confidenciales, plantar ransomware y otro malware, así como obtener acceso a las áreas más confidenciales de los sistemas de una empresa.

La pérdida de datos confidenciales como la información financiera, el daño a la reputación y los problemas regulatorios se encuentran entre las muchas consecuencias posibles de un ataque de phishing exitoso que puede sufrir una empresa. Los riesgos para cualquier víctima de phishing pueden incluir la pérdida o el compromiso de datos confidenciales, y las organizaciones también enfrentan posibles daños a la reputación y problemas regulatorios.

¿Cómo afecta el phishing a las empresas?

Para la empresa las consecuencias de un ataque de phishing exitoso pueden ser de suma gravedad. Pueden surgir pérdidas financieras a partir de una cuenta bancaria corporativa comprometida. La pérdida de datos puede derivarse del phishing que lleve a un ataque de ransomware. Una organización puede sufrir daños importantes a la reputación por las violaciones de datos confidenciales que requieran divulgación pública.

Además, cualquiera de estos puede a su vez tener consecuencias aún más graves. Los ciberdelincuentes pueden vender datos robados en la dark web, incluso a competidores sin escrúpulos. Además de eso, muchas filtraciones deberán ser reveladas al sector o a los organismos de regulación gubernamentales que podrían imponer multas u otras sanciones. Incluso puede involucrar a la empresa en investigaciones de ciberdelitos, lo que puede llevar mucho tiempo y atraer una atención negativa.

¿Cómo protejo a mi organización contra los ataques de phishing?

Afortunadamente, la mayoría de los tipos de phishing se pueden detener si toma las precauciones adecuadas. Lo que significa:

  • Utilice contramedidas efectivas de ciberseguridad . Las soluciones modernas de antivirus y antiphishing, junto con filtros efectivos de spam, evitarán muchos intentos de phishing.
  • Mantener actualizados los sistemas operativos y los navegadores. Los proveedores de software resuelven periódicamente las vulnerabilidades más recientes en sus productos, de lo contrario, su sistema quedaría expuesto.
  • Proteger los datos con copias de seguridad automáticas. Implementar un proceso regular de respaldo de datos del sistema para poder recuperarse en caso de una filtración.
  • Utilice la autenticación multifactor avanzada (MFA). Las estrategias Zero Trust como MFA crean capas adicionales de defensa entre los atacantes y sus sistemas internos.
  • Asegurarse de capacitar a sus usuarios. Los ciberdelincuentes inventan nuevas estrategias constantemente, y la seguridad del correo electrónico no servirá para todo. Sus usuarios y su organización en general estarán más seguros si todos los usuarios entienden cómo identificar mensajes de correo electrónico sospechosos y denunciar el phishing.

¿Cuáles son las señales del phishing?

Cuando se trata de phishing, los usuarios más seguros son los que saben cómo evitar caer en la trampa. Si bien un breve resumen no sustituye a la capacitación enfocada en la concientización sobre seguridad, aquí hay algunas señales de advertencia claves de intento de phishing:

  • Discrepancias en los nombres de dominio: Puede haber diferencias entre las direcciones de correo electrónico y los dominios web. Por ejemplo, si recibe un mensaje de correo electrónico que dice ser de una marca conocida, es posible que la dirección de correo electrónico no coincida con ella.
  • Errores ortográficos: Aunque los ataques de phishing se han vuelto mucho más efectivos, los mensajes todavía suelen contener errores ortográficos o gramaticales.
  • Saludos que no son los habituales: A veces, el estilo de un saludo o despedida puede ser una pista de que algo no está bien. Preste atención si alguien que siempre inicia los mensajes con "¡Hola!" de repente cambia a "Querido amigo".
  • Corto y simple: Los correos electrónicos de phishing a menudo brindan escasa información, confiando en la ambigüedad para despistar a las víctimas. Si faltan muchos detalles importantes, puede ser una señal de un intento de phishing.
  • Solicitudes inusuales: Un correo electrónico que le pida hacer algo inusual, sobre todo sin explicación, es una clara señal de advertencia. Por ejemplo, un intento de phishing podría afirmar ser de su equipo de TI, y pedirle que descargue un archivo sin especificar un motivo.

Phishing e IA

Los ataques de phishing impulsados por IA aprovechan las herramientas de IA para mejorar la sofisticación y eficacia de las campañas de phishing. La IA automatiza y personaliza varios aspectos del proceso de ataque, lo que hace que el phishing sea aún más difícil de detectar. Por ejemplo, los chatbots se utilizan habitualmente para crear correos electrónicos de phishing muy convincentes y sin errores. Es más, los atacantes aprovechan cada vez más servicios avanzados de inteligencia artificial, como la tecnología deepfake y la clonación de voz, para hacerse pasar por organizaciones o personas de buena reputación y engañar a las víctimas. Explotan diferentes canales de comunicación, incluidos correos electrónicos, llamadas telefónicas y videollamadas, SMS y aplicaciones de mensajería cifrada.

La IA generativa está impulsando rápidamente el panorama de las amenazas de phishing, permitiendo la automatización y la eficacia en numerosas etapas de la cadena de ataque. Al analizar rápidamente los datos disponibles públicamente, como detalles sobre organizaciones o ejecutivos, la IA generativa ahorra tiempo a los malintencionados en la selección de objetivos, de modo que pueden realizar ataques más precisos y selectivos. Al eliminar errores ortográficos y gramaticales, las herramientas IA generativa mejoran la credibilidad de las comunicaciones de phishing. Además, la IA generativa puede crear rápidamente páginas de phishing sofisticadas o ampliar sus capacidades para generar malware y ransomware para ataques secundarios. A medida que las herramientas y tácticas de IA generativa evolucionan rápidamente, los ataques de phishing serán cada día más dinámicos (y difíciles de detectar).

La creciente popularidad y uso de herramientas de IA generativa como ChatGPT y Drift ya está empezando a repercutir en la actividad de phishing y en el aumento de los ataques impulsados por la IA. Países como los EE. UU. y la India, donde estas herramientas son muy utilizadas según la investigación de ThreatLabz en el Informe de Seguridad de la IA de 2024, son los principales objetivos de las estafas de phishing y se enfrentan al mayor número de ataques cifrados en el último año, un subconjunto de los cuales son ataques de phishing.

Protección contra phishing con Zscaler

El éxito de los ataques se basa en aprovecharse de la naturaleza humana, y por lo tanto el compromiso del usuario es uno de los problemas de seguridad más difíciles de superar. Para detectar las violaciones activas y minimizar el daño que pueden causar dichas violaciones, es necesario implementar controles efectivos de prevención de phishing como parte de una estrategia zero trust más amplia.

La plataforma Zscaler Zero Trust Exchange™ se basa en una arquitectura zero trust integral para minimizar la superficie de ataque, evitar riesgos, eliminar el movimiento lateral y detener la pérdida de datos al:

  • Evitar los ataques: Las funciones tales como la inspección TLS/SSL completa, el aislamiento del navegador y el control de acceso basado en políticas evita el acceso de sitios web maliciosos.
  • Prevenir el movimiento lateral: Una vez en su sistema, el malware puede propagarse, causando aún más daño. Con Zero Trust Exchange, los usuarios se conectan directamente a las aplicaciones, no a su red, por lo que el malware no se puede propagar a partir de ellas.
  • Detener las amenazas internas: Nuestra arquitectura de proxy en la nube detiene los intentos de explotación de aplicaciones privadas y detecta incluso las técnicas de ataque más sofisticadas con una inspección en línea completa.
  • Detener la pérdida de datos: Zero Trust Exchange inspecciona los datos en movimiento y en reposo para evitar el posible robo de datos por parte de un atacante activo.

Proteja su organización contra ataques de phishing con el poder de una arquitectura Zero Trust completa.

Recursos sugeridos

Una investigación de Zscaler revela un aumento del 60 % en los ataques de phishing impulsados por inteligencia artificial
Leer el comunicado de prensa
Informe de seguridad de IA de Zscaler ThreatLabz 2024
Leer el informe
¿Qué es el spear phishing?
Lea el artículo
Preguntas frecuentes