Phishing: Cómo prevenir ataques de suplantación de identidad

14 Jul 2022
Sergio Lumbreras
Prevenir Phishing

El phishing es un quebradero de cabeza para las empresas. Conoce en qué consiste, cuáles son sus tipos, cómo identificarlo y cómo puedes proteger la información de tu compañía.

Índice de Contenidos:

 

¿Qué es el phishing?

Phishing es un tipo de delito cibernético que tiene como objetivo engañar a los usuarios para que éstos les faciliten “de buena voluntad” datos confidenciales (contraseñas, números de tarjeta, etc.).

Aunque puede darse a nivel particular, en el caso empresarial, las consecuencias del robo de información sensible son catastróficas: pérdida de datos, deterioro del negocio, pérdida reputacional, pérdida de clientes… La realidad, es que el 60% de las organizaciones desaparecen 6 meses después de haber sufrido un robo de información sensible.

Aunque existen distintas formas, que veremos más adelante, el ataque más común es a través de e-mail.

Concretamente, a través de un correo que imita (casi a la perfección) al remitente, ya sea una persona o una empresa con la que contacta de forma habitual. Con la suplantación de identidad no hay excepciones, puede ser tu jefe, tu prima, tu banco, Amazon…

Algunas técnicas están bastante logradas, si, además, unimos los factores “ingenuidad” y déficit de concienciación en ciberseguridad, el desastre es más que probable.

 

¿Qué ocurre si hago clic en un mail phishing?

Nos podemos encontrar con textos muy variados: desde mensajes amistosos en los que solo nos solicitan una validación de datos, hasta textos en los que nos amenazan con que compartirán fotografías nuestras.

El objetivo es claro: que hagamos clic en un enlace y que en la página a la que nos redirige incluyamos nuestros datos personales y/o corporativos.

Recuerda que puede ser una imitación de una página que conozcamos muy bien.

A partir de ahí, el ciberdelincuente hará robado tu identidad y, dependiendo de los datos que hayas ofrecido, podrá sacar dinero de tus cuentas y/o podrá vender la información a terceros en la dark web.

 

¿Por qué es tan común el phishing?

La realidad es que este tipo de ataques son bastante “fáciles” para los atacantes y no requieren conocimientos muy sofisticados, como en otros casos. Simplemente usan las famosas técnicas de ingeniería social.

Ningún dispositivo ni sistema operativo está a salvo de este tipo de ataques, todo el peso recae en el usuario. Es más, la ratio de éxito es bastante alta, ya que, ya sabemos los problemas que trae el usuario, el eslabón más débil de la cadena.

 

10 tipos de ataques de phishing

Como decíamos, aunque el objetivo es el mismo, hay distintas variedades:

Spam

Todos conocemos el tipo de emails que reenvían a millones de usuarios con contenidos poco fiables y en los que el número de clics no es muy grande. No obstante, aprovechan el desconocimiento de aquellas personas que no conocen estas técnicas.

En muchos casos usan temas de moda e intentan asustar al receptor para que realice lo que le piden.

Spear phishing

Partiendo de la base de que la mayoría del phishing se dirige a un amplio número de víctimas, el spear phishing se trata de un ataque dirigido.

Se diseña específicamente pensando en una persona o entidad. Es especialmente peligroso, ya que, al usar contenido personalizado, es muy creíble.

Puede llegar a usar mismo email, nombre, fotografía, usar información sustraída de redes sociales como LinkedIn…

Deben tener especial cuidado todas aquellas personas que gestionen pagos dentro de sus organizaciones, ya que suelen ser de los perfiles más atacados. Es muy común, por ejemplo, que el ciberdelincuente suplante la identidad de proveedores.

Whaling, Suplantación del CEO o CEO impostor

De forma muy similar al spear phishing, en este caso el ataque consiste en suplantar la identidad del CEO de una organización (incluso copiando la dirección de correo).

De esta forma es muy sencillo que los delincuentes acaben consiguiendo información muy valiosa de la compañía o que reciban transferencias bancarias millonarias.

Phishing de clonación

El phishing de clonación es bastante peligroso ya que, como indica el término, los atacantes realizan una copia de un correo legítimo y que contiene un enlace o un archivo adjunto (en este caso hablaríamos de un phishing basado en malware).

Por lo que es extremadamente sencillo que un usuario despistado o que no tenga nociones de buenas prácticas de ciberseguridad haga clic en el mail.

Timo 419 o Estafas nigerianas

En este tipo de ataques el estafador afirma ser un miembro de la familia real nigeriana y que necesita ayuda para realizar movimientos de dinero. De tal forma que pide el número de cuenta al usuario, con el supuesto objetivo de “enviar los fondos a un lugar seguro”.

El número 419 hace referencia a la sección del código penal nigeriano que trata sobre fraude, los cargos y las penas para los infractores.

Phishing telefónico o vishing

En este caso, el delincuente llama al usuario vía telefónica y se hace pasar por un trabajador/a de su entidad bancaria, la policía, o algún servicio público. Una vez que tiene la atención de la persona, le cuentan una historia sobre un problema que deben solucionar de manera inmediata.

Le hacen facilitar datos de su cuenta o directamente le solicitan que hagan un pago de una supuesta multa (a través de transferencias bancarias o tarjetas prepago).

Phishing vía SMS o smishing

De forma similar al caso anterior, el atacante incorpora enlaces maliciosos en los mensajes SMS. Como decíamos, el remitente suele ser alguna entidad conocida y creíble.

QRishing

Los códigos QR son cada vez más usados. Son tan fáciles e intuitivos que es muy sencillo que caigamos en la trampa y escaneemos algún código malicioso en algún sitio público. Éste nos llevará a una web falsa y, como en el resto de los casos, nos acabarán solicitando datos personales.

SEO Phishing

Este tipo de ataque es bastante diferente ya que, en este caso, el usuario es el que de forma activa buscar en Google (o el motor de búsqueda que sea) cierta información y se “chocan” con una página maliciosa que es un clon de la original.

Este ataque suele funcionar con compañías menos conocidas o nicho, ya que sería muy complicado que los atacantes consiguieran posicionar mejor su web que la de una gran compañía.

Malvertising

Se trata de un ataque muy particular ya que se esconde en anuncios online. Pueden aparecen en web conocidas y de confianza, ya que consiguen ingresar en redes de publicidad en línea y se mezclan con anuncios reales.

En definitiva, son muchos los tipos de phishing, es más el número y las variantes van creciendo, por lo que solamente nos queda prestar atención a las señales que puedan haber.

 

¿Cómo identificar un ataque de phishing?

Una vez vistos los tipos de phishing, es importante saber cómo identificarlos. La verdad es que no siempre es fácil. Sin embargo, te ofrecemos una serie de consejos (que podrán variar según la modalidad del ataque) pero que podrás servirte de forma general.

Sentido común

Ya sabes, todo lo que te parezca extraño, aunque sea un mínimo detalle, sospecha. Tanto en la forma como en el contenido. La intuición ayuda mucho contra las suplantaciones de identidad. Estos serían algunas cuestiones que pueden hacerte sospechar:

  • Que intenten hacerte una oferta demasiado “buena”: premios, descuentos…
  • Que se hagan pasar por otras personas, ¿te habla de forma extraña tu compañero de trabajo? ¿Te ha pedido que le recuerdes unas claves de forma poco segura? ¡Sospecha!
  • Que te amenacen y/o usen lenguaje alarmista.
  • Que te pidan datos en un email. ¡Alerta!
  • Que el mail incluya documentos adjuntos inesperados.
  • Que incluya enlaces extraños.
  • Que incluya errores ortográficos.

 

¿Cómo protegerse del phishing?

La realidad es que el phishing nos afecta a todos. Por lo que lo más importante, como decíamos, es estar atentos a las posibles señales.

Estos serían algunos consejos generales:

No abras correos de desconocidos

No abras correos de remitentes que desconozcas (cada vez están más “de moda” los ataques cero clic, en los que como indica el término no hace falta ni que hagas clic en el mensaje, se activa solo con abrirlo) por lo que cualquier precaución es poca.

No hagas clic en enlaces extraños

No hagas clic en enlaces que no sepas a dónde llevan o desconfíes de los motivos.

Si sospechas, entra en la web de la entidad directamente y busca la información que se supone que te facilitan, si no la encuentras, puedes poderte en contacto con ellos a través de sus vías de comunicación oficiales. (Por supuesto nunca llames o contestes a las vías propuestas en el mail que te envían por muy real que parezca).

Identifica el certificado digital de la web

Comprueba que la URL de la página comienza con “HTTPS” en lugar de simplemente “HTTP”. La “S” es de seguro.

Busca en Internet

Muchas veces, tan solo incluyendo un par de palabras clave del mensaje ya aparece un artículo en Google sobre esa estafa. Es un método bastante sencillo, aunque no infalible.

Comprueba la URL

No seas confiado/a. Acostúmbrate a pasar el cursor por encima de los links para ver las URLs reales (la verás en tu pantalla, abajo a la izquierda).

Ayúdate de soluciones de ciberseguridad

En el mercado hay gran variedad de servicios y soluciones de ciberseguridad que pueden ayudar a las organizaciones a crear estrategias de ciberseguridad activa que permitan evitar este tipo de ataques y mitigar las consecuencias en caso de que ocurran.

Quizá te interese

Sergio Lumbreras

Sergio Lumbreras

Sergio Lumbreras, CMO de Alhambra IT, es Licenciado en Gestión Comercial y Marketing por ESIC – Business and Marketing School y posee un Máster en Desarrollo Directivo por el Instituto de Empresa. Ha desarrollado gran parte de su carrera profesional dentro de Alhambra, a la que se incorporó en 2003. Como responsable del equipo de Marketing y Comunicación de la compañía, todas sus decisiones y acciones se encuentran alineadas con la Estrategia Corporativa, la Dirección General, la Dirección Comercial y el Desarrollo de Negocio. Concretamente se encarga de dirigir y gestionar todas las actividades relacionadas con la generación de demanda, de branding y posicionamiento, de fidelización, así como la generación de contenidos de valor y el control de todos los canales de comunicación, definiendo en todos os casos la estrategia y las acciones a llevar a cabo por la organización. Igualmente, colabora con el área de RRHH en todas las acciones asociadas a los empleados que conforman la Familia Alhambra, además de ser parte del comité de RSC junto a la Dirección General, RRHH y Calidad.

Noticias relacionadas

Categorías relacionadas

Más Información