El phishing es un quebradero de cabeza para las empresas. Conoce en qué consiste, cuáles son sus tipos, cómo identificarlo y cómo puedes proteger la información de tu compañía.
Índice de Contenidos: |
¿Qué es el phishing?
Phishing es un tipo de delito cibernético que tiene como objetivo engañar a los usuarios para que éstos les faciliten “de buena voluntad” datos confidenciales (contraseñas, números de tarjeta, etc.).
Aunque puede darse a nivel particular, en el caso empresarial, las consecuencias del robo de información sensible son catastróficas: pérdida de datos, deterioro del negocio, pérdida reputacional, pérdida de clientes… La realidad, es que el 60% de las organizaciones desaparecen 6 meses después de haber sufrido un robo de información sensible.
Aunque existen distintas formas, que veremos más adelante, el ataque más común es a través de e-mail.
Concretamente, a través de un correo que imita (casi a la perfección) al remitente, ya sea una persona o una empresa con la que contacta de forma habitual. Con la suplantación de identidad no hay excepciones, puede ser tu jefe, tu prima, tu banco, Amazon…
Algunas técnicas están bastante logradas, si, además, unimos los factores “ingenuidad” y déficit de concienciación en ciberseguridad, el desastre es más que probable.
¿Qué ocurre si hago clic en un mail phishing?
Nos podemos encontrar con textos muy variados: desde mensajes amistosos en los que solo nos solicitan una validación de datos, hasta textos en los que nos amenazan con que compartirán fotografías nuestras.
El objetivo es claro: que hagamos clic en un enlace y que en la página a la que nos redirige incluyamos nuestros datos personales y/o corporativos.
Recuerda que puede ser una imitación de una página que conozcamos muy bien.
A partir de ahí, el ciberdelincuente hará robado tu identidad y, dependiendo de los datos que hayas ofrecido, podrá sacar dinero de tus cuentas y/o podrá vender la información a terceros en la dark web.
¿Por qué es tan común el phishing?
La realidad es que este tipo de ataques son bastante “fáciles” para los atacantes y no requieren conocimientos muy sofisticados, como en otros casos. Simplemente usan las famosas técnicas de ingeniería social.
Ningún dispositivo ni sistema operativo está a salvo de este tipo de ataques, todo el peso recae en el usuario. Es más, la ratio de éxito es bastante alta, ya que, ya sabemos los problemas que trae el usuario, el eslabón más débil de la cadena.
10 tipos de ataques de phishing
Como decíamos, aunque el objetivo es el mismo, hay distintas variedades:
Spam
Todos conocemos el tipo de emails que reenvían a millones de usuarios con contenidos poco fiables y en los que el número de clics no es muy grande. No obstante, aprovechan el desconocimiento de aquellas personas que no conocen estas técnicas.
En muchos casos usan temas de moda e intentan asustar al receptor para que realice lo que le piden.
Spear phishing
Partiendo de la base de que la mayoría del phishing se dirige a un amplio número de víctimas, el spear phishing se trata de un ataque dirigido.
Se diseña específicamente pensando en una persona o entidad. Es especialmente peligroso, ya que, al usar contenido personalizado, es muy creíble.
Puede llegar a usar mismo email, nombre, fotografía, usar información sustraída de redes sociales como LinkedIn…
Deben tener especial cuidado todas aquellas personas que gestionen pagos dentro de sus organizaciones, ya que suelen ser de los perfiles más atacados. Es muy común, por ejemplo, que el ciberdelincuente suplante la identidad de proveedores.
Whaling, Suplantación del CEO o CEO impostor
De forma muy similar al spear phishing, en este caso el ataque consiste en suplantar la identidad del CEO de una organización (incluso copiando la dirección de correo).
De esta forma es muy sencillo que los delincuentes acaben consiguiendo información muy valiosa de la compañía o que reciban transferencias bancarias millonarias.
Phishing de clonación
El phishing de clonación es bastante peligroso ya que, como indica el término, los atacantes realizan una copia de un correo legítimo y que contiene un enlace o un archivo adjunto (en este caso hablaríamos de un phishing basado en malware).
Por lo que es extremadamente sencillo que un usuario despistado o que no tenga nociones de buenas prácticas de ciberseguridad haga clic en el mail.
Timo 419 o Estafas nigerianas
En este tipo de ataques el estafador afirma ser un miembro de la familia real nigeriana y que necesita ayuda para realizar movimientos de dinero. De tal forma que pide el número de cuenta al usuario, con el supuesto objetivo de “enviar los fondos a un lugar seguro”.
El número 419 hace referencia a la sección del código penal nigeriano que trata sobre fraude, los cargos y las penas para los infractores.
Phishing telefónico o vishing
En este caso, el delincuente llama al usuario vía telefónica y se hace pasar por un trabajador/a de su entidad bancaria, la policía, o algún servicio público. Una vez que tiene la atención de la persona, le cuentan una historia sobre un problema que deben solucionar de manera inmediata.
Le hacen facilitar datos de su cuenta o directamente le solicitan que hagan un pago de una supuesta multa (a través de transferencias bancarias o tarjetas prepago).
Phishing vía SMS o smishing
De forma similar al caso anterior, el atacante incorpora enlaces maliciosos en los mensajes SMS. Como decíamos, el remitente suele ser alguna entidad conocida y creíble.
QRishing
Los códigos QR son cada vez más usados. Son tan fáciles e intuitivos que es muy sencillo que caigamos en la trampa y escaneemos algún código malicioso en algún sitio público. Éste nos llevará a una web falsa y, como en el resto de los casos, nos acabarán solicitando datos personales.
SEO Phishing
Este tipo de ataque es bastante diferente ya que, en este caso, el usuario es el que de forma activa buscar en Google (o el motor de búsqueda que sea) cierta información y se “chocan” con una página maliciosa que es un clon de la original.
Este ataque suele funcionar con compañías menos conocidas o nicho, ya que sería muy complicado que los atacantes consiguieran posicionar mejor su web que la de una gran compañía.
Malvertising
Se trata de un ataque muy particular ya que se esconde en anuncios online. Pueden aparecen en web conocidas y de confianza, ya que consiguen ingresar en redes de publicidad en línea y se mezclan con anuncios reales.
En definitiva, son muchos los tipos de phishing, es más el número y las variantes van creciendo, por lo que solamente nos queda prestar atención a las señales que puedan haber.
¿Cómo identificar un ataque de phishing?
Una vez vistos los tipos de phishing, es importante saber cómo identificarlos. La verdad es que no siempre es fácil. Sin embargo, te ofrecemos una serie de consejos (que podrán variar según la modalidad del ataque) pero que podrás servirte de forma general.
Sentido común
Ya sabes, todo lo que te parezca extraño, aunque sea un mínimo detalle, sospecha. Tanto en la forma como en el contenido. La intuición ayuda mucho contra las suplantaciones de identidad. Estos serían algunas cuestiones que pueden hacerte sospechar:
- Que intenten hacerte una oferta demasiado “buena”: premios, descuentos…
- Que se hagan pasar por otras personas, ¿te habla de forma extraña tu compañero de trabajo? ¿Te ha pedido que le recuerdes unas claves de forma poco segura? ¡Sospecha!
- Que te amenacen y/o usen lenguaje alarmista.
- Que te pidan datos en un email. ¡Alerta!
- Que el mail incluya documentos adjuntos inesperados.
- Que incluya enlaces extraños.
- Que incluya errores ortográficos.
¿Cómo protegerse del phishing?
La realidad es que el phishing nos afecta a todos. Por lo que lo más importante, como decíamos, es estar atentos a las posibles señales.
Estos serían algunos consejos generales:
No abras correos de desconocidos
No abras correos de remitentes que desconozcas (cada vez están más “de moda” los ataques cero clic, en los que como indica el término no hace falta ni que hagas clic en el mensaje, se activa solo con abrirlo) por lo que cualquier precaución es poca.
No hagas clic en enlaces extraños
No hagas clic en enlaces que no sepas a dónde llevan o desconfíes de los motivos.
Si sospechas, entra en la web de la entidad directamente y busca la información que se supone que te facilitan, si no la encuentras, puedes poderte en contacto con ellos a través de sus vías de comunicación oficiales. (Por supuesto nunca llames o contestes a las vías propuestas en el mail que te envían por muy real que parezca).
Identifica el certificado digital de la web
Comprueba que la URL de la página comienza con “HTTPS” en lugar de simplemente “HTTP”. La “S” es de seguro.
Busca en Internet
Muchas veces, tan solo incluyendo un par de palabras clave del mensaje ya aparece un artículo en Google sobre esa estafa. Es un método bastante sencillo, aunque no infalible.
Comprueba la URL
No seas confiado/a. Acostúmbrate a pasar el cursor por encima de los links para ver las URLs reales (la verás en tu pantalla, abajo a la izquierda).
Ayúdate de soluciones de ciberseguridad
En el mercado hay gran variedad de servicios y soluciones de ciberseguridad que pueden ayudar a las organizaciones a crear estrategias de ciberseguridad activa que permitan evitar este tipo de ataques y mitigar las consecuencias en caso de que ocurran.