Seguro que alguna vez has recibido un correo electrónico avisando de una factura pendiente de pago, un envío de paquetería que no esperabas o una advertencia del banco sobre actividad sospechosa en tu cuenta. Estos mensajes suelen adoptar un tono alarmante y nos proporcionan un enlace hacia una web que debemos visitar para confirmar nuestros datos personales o completar información de pago. ¡Cuidado! Se trata de un intento de “phishing”, uno de los métodos de estafa más populares en Internet.
¿Qué es el Phishing?
El phishing es una forma de ciberataque que utiliza la tecnología y la ingeniería social para vulnerar la seguridad de los usuarios.
El término viene de la palabra inglesa “fishing” (pescar) ya que los ciberdelincuentes emplean tácticas de anzuelo esperando que el usuario “pique” o caiga en la trampa. Por lo general, pretenden hacerse con información financiera, contraseñas de servicios de pago (como PayPal) o credenciales de inicio de sesión.
En realidad, el phishing no es ninguna novedad. Los primeros casos de este tipo de fraude se remontan a mediados de los 90’, cuando un grupo de estafadores se hacía pasar por empleados de la compañía AOL para robar datos confidenciales de los clientes. Ya en la década del 2000 los ataques comenzaron a especializarse, focalizándose principalmente en el sector bancario.
Con el paso de los años, las estafas se han vuelto más sofisticadas y, a pesar de los avances en cibersegurida, fenómenos como el auge del teletrabajo o el uso fraudulento de la IA han contribuido a la aparición de nuevas formas de hacer phishing.
El phishing como fuente de preocupación
Cualquier persona puede ser víctima del phishing. A pesar de que los sistemas de ciberseguridad son cada día más potentes, los estafadores también han perfeccionado sus habilidades y se organizan en equipos pequeños, especializándose en tácticas de ingeniería social.
A menudo las empresas se convierten en el objetivo preferido de estos ciberdelincuentes que intentan robar sus datos confidenciales o engañar a los cargos intermedios para que realicen transferencias no autorizadas. Un ejemplo de phishing bastante frecuente es el fraude mediante facturas de proveedores en el que los estafadores suplantan la identidad de socios comerciales de confianza para solicitar el pago de una factura pendiente.
Aún más inquietantes son casos como el que vimos a comienzos de 2020 en la revista Forbes en el que una empresa japonesa fue víctima de una elaborada estafa en la que se usó la IA generativa para clonar la voz de un directivo y autorizar una transferencia de 35 millones de dólares.
La clonación de audio, los deepfakes audiovisuales y, en general, el uso de la última tecnología con fines delictivos supone una gran amenaza y, a la vez, un desafío para las empresas de ciberseguridad.
Riesgos asociados a los ataques de phishing
Las pérdidas financieras tienen un impacto inmediato, pero existen otras consecuencias a largo plazo que pueden experimentar las empresas víctimas del phishing:
- Daño reputacional: las filtraciones de datos pueden erosionar la confianza de los clientes, causando un daño permanente en la reputación de la empresa.
- Interrupción del servicio: un ciberataque puede paralizar los sistemas informáticos de la empresa, especialmente si involucra ransomware. Todo comienza al descargar un archivo malicioso incluido en los mensajes de phishing. Una vez en el sistema, encripta archivos críticos y bloquea el acceso a información vital para la empresa.
- Multas y sanciones: la violación de las normativas de protección de datos (como la GDPR) puede dar lugar a sanciones por parte de las autoridades.
Es importante estar preparados para enfrentarse a estas amenazas utilizando soluciones de ciberseguridad robustas y programas internos de concienciación del empleado como principales armas para prevenir los ataques de phishing.
Estadísticas y datos relevantes
El fraude de correo electrónico representa ya el 27% de las pérdidas económicas por violaciones de la ciberseguridad y es el causante del 90% de las filtraciones de datos, según el informe Cybersecurity Threat Trends 2021 (CISCO). Esto ocurre principalmente porque las campañas de phishing se han vuelto masivas y los estafadores utilizan cientos de correos para llegar a más personas.
Elementos clave en un ataque de phishing
Por suerte, los mensajes de phishing suelen ser bastante chapuceros y los destinatarios se dan cuenta enseguida de que están ante una estafa, pero algunas veces están tan personalizados que arrojan dudas de si son legítimos o no.
Para ganarse la confianza de sus víctimas, los estafadores suplantan la identidad de instituciones, bancos o empresas que ofrecen sus servicios a través de Internet.
La mayoría de estos correos fraudulentos constan de:
- Un remitente desconocido, con extensiones genéricas de correo electrónico (Gmail, Hotmail, etc.) o nombres que se parecen a los de las compañías oficiales, pero con palabras extrañas que no logramos identificar.
- Un saludo genérico (“Estimado cliente”, “Querido amigo”) ya que por lo general los ciberdelincuentes desconocen la identidad del destinatario.
- Una solicitud urgente de nuestra información personal (DNI, número de tarjeta de crédito) con el pretexto de resolver un problema.
- Un enlace externo que dirige hacia una web fraudulenta con el mismo logotipo, diseño y colores de la marca a la que pretenden suplantar. En esta página de destino se nos solicitará que actualicemos nuestros datos para continuar. En este momento se produce el robo de la información.
- También existe la posibilidad de que el correo lleve un archivo adjunto infectado con software malicioso (malware, ransomware). Si lo descargamos, comprometerá la seguridad del sistema.
Es importante ser precavidos y aprender a reconocer estas señales de phishing para minimizar riesgos.
Tipos de phishing
Actualmente existen más de 10.000 formas de phishing (según informa Wikipedia). Estas son algunas de las modalidades más conocidas.
Phishing tradicional
Es la forma más común de fraude por correo electrónico. Se basa en la emisión aleatoria de correos suplantando la identidad de una empresa o institución de confianza. Los mensajes incluyen enlaces hacia webs fraudulentas o archivos infectados.
Spear phishing
Mientras que el phishing tradicional es una estafa aleatoria, el spear phishing se dirige a una persona en concreto, normalmente un cargo influyente dentro de la empresa. Para ganarse su confianza, los ciberdelincuentes realizan una investigación exhaustiva en Internet, recopilando datos personales de redes sociales como LinkedIn donde consultan información como la edad, la ubicación o cargo dentro de la empresa.
Whaling
En la caza de ballenas el objetivo son personas importantes dentro de la empresa o cargos ejecutivos (CEO, CFO, etc.). Los estafadores investigan a sus presas durante semanas y envían correos muy personalizados, relacionados con problemas comerciales críticos.
Smishing
Los mensajes fraudulentos se envían a través de mensajes de texto (SMS) o WhatsApp. Por ejemplo, recibimos un aviso de nuestro banco informando de una compra no autorizada con nuestra tarjeta con un enlace para cambiar el PIN y los datos de acceso. Si lo hacemos, habremos caído en la trampa.
Vishing
Viene de la unión de “voice” y “phishing”. En este caso, la estafa se realiza mediante llamada telefónica. Un ejemplo típico es el fraude de servicio técnico en el que los estafadores llaman para informar de un fallo en los equipos que en realidad no existe y nos convencen para instalar un troyano que robará nuestros datos.
Angler Phishing
Es una táctica nueva que consiste en crear perfiles falsos en redes sociales con el nombre de instituciones y empresas de prestigio. El objetivo es robar datos confidenciales de otros usuarios.
¿Cómo detectar un ataque de Phishing?
Reconocer un mensaje de phishing no siempre es fácil, pero hay algunos indicativos que pueden hacernos sospechar que la solicitud es inusual.
- Tono alarmista: suelen transmitir urgencia e instar al usuario a que actúe de inmediato. Los ciberdelincuentes utilizan emociones como el miedo o la curiosidad y hacen uso de tácticas de intimidación para que actuemos de manera irracional.
- Errores gramaticales: muchos mensajes de phishing contienen errores ortográficos y gramaticales, ya que fueron escritos por hablantes no nativos. De todas formas, a día de hoy muchos estafadores utilizan herramientas como Chat GPT para corregir sus textos, por lo que debemos desconfiar incluso de los mensajes sin faltas de ortografía.
- Enlaces sospechosos o archivos adjuntos no solicitados: ¿El remitente pide que hagas clic en un enlace? ¿Incluye supuestas facturas o multas impagadas que no logras identificar? Lo más probable es que se trate de un ciberataque.
¿Cómo evitar un ataque de Phishing?
- No abras mensajes de remitentes desconocidos.
- No facilites tu información personal a través de un enlace incluido en un correo electrónico.
- No descargues archivos adjuntos que te parezcan sospechosos.
- Pasa con el cursor por encima del enlace y comprueba si la url comienza por https. Esto indica que el sitio cuenta con un certificado seguro.
Si a pesar de estas precauciones has caído en la trampa y proporcionado tus datos, cambia cuanto antes las contraseñas de las cuentas afectadas y notifica la estafa a la Policía local. También puedes ponerte en contacto con la Oficina de Seguridad del Internauta de INCIBE (Instituto Nacional de Seguridad) para que investiguen el fraude.
Protegiendo a tu organización del phishing
IBM asegura en su informe Cost of a Data Breach Report 2021 que una empresa puede tardar de media 213 días en advertir que ha sido víctima de un ataque de phishing. Durante este tiempo los ciberdelincuentes accederán a todo tipo de información confidencial: contraseñas de bases de datos, secretos comerciales, credenciales de acceso a la red empresarial… Por eso es importante estar preparados y trabajar proactivamente para detener la amenaza del phishing.
Algunas medidas preventivas:
Concienciación del empleado
Haz que la ciberseguridad forme parte de la cultura organizacional de tu empresa y crea campañas para prevenir a tus empleados de los riesgos de las estafas en Internet. Una buena medida es implementar un software de simulación de phishing para entrenarlos y enseñarles a diferenciar un correo auténtico de uno fraudulento.
Implementación de soluciones de seguridad en el correo electrónico
La primera línea de defensa contra un ataque de phishing es el filtro anti-spam integrado en el correo electrónico. Asegúrate de que esté actualizado a las últimas versiones y parches de seguridad. También puedes configurar políticas de autenticación de correo electrónico como DMARC (Domain-based Message Authentication, Reporting, and Conformance) para reducir el riesgo de suplantación de identidad.
Monitoreo y protección de endpoints
Los endpoints son los dispositivos finales (ordenadores, tablets, smartphones) conectados a la red. Las soluciones EDR han sido diseñadas para monitorear y detectar la presencia de malware en estos endpoints.
A diferencia de los antivirus que trabajan con patrones previamente identificados, las soluciones EDR son más avanzadas ya que dan respuestas automatizadas y en tiempo real para contener el ataque. Utilizan tecnologías como la IA y el aprendizaje automático capaces de detectar comportamientos anómalos, como la ejecución de scripts maliciosos.
La protección de los endpoints es una medida básica de ciberseguridad, pero debe combinarse con otras soluciones como el monitoreo del tráfico de red o soluciones de acceso remoto seguro como Pandora RC.
¿Cómo ayuda Pandora RC a mejorar la seguridad en el acceso remoto?
Cada vez más empresas están adoptando políticas de teletrabajo o trabajo híbrido. Es una realidad que plantea nuevos retos en cuanto a ciberseguridad. Los trabajadores en remoto desempeñan su actividad en entornos menos seguros que los que están bajo la supervisión de los equipos TI.
Herramientas como Pandora RC ayudan a monitorear sus sistemas ofreciendo soporte remoto y una asistencia rápida si se sospecha de un ataque de phishing.
Otras formas en las que Pandora RC puede contribuir a la prevención de ciberataques:
- Genera contraseñas 100% locales evitando las vulnerabilidades de los sistemas centralizados.
- Las conexiones remotas deben ser previamente aprobadas.
- Utiliza políticas de acceso de doble autenticación. Esto reduce el riesgo de acceso no autorizado ya que los usuarios tienen que validar su identidad en dos pasos.
- Es una solución flexible y escalable. Además, está disponible como solución SaaS o On-Premise para empresas que desean tener un mayor control sobre sus infraestructuras.
Otros consejos para evitar ataques de phishing en el entorno empresarial
A medida que las técnicas de phishing se vuelven más sofisticadas, la necesidad de protegerse va en aumento. Por eso, no es mala idea tener presentes algunos consejos de manual:
- Trata de mantenerte al día sobre las nuevas estafas, sigue las noticias que se publican en los medios de comunicación y lee blogs de tecnología como el blog de Pandora FMS.
- Usa contraseñas seguras en tus cuentas que incluyan una combinación de números, letras y caracteres especiales. Nunca elijas datos personales como fecha de nacimiento, ciudades o nombres de mascotas para tus contraseñas; los phishers podrían adivinar esta información revisando tus redes sociales.
- Utiliza un sistema de autenticación multi-factor (MFA) para añadir una capa adicional de seguridad a tus conexiones. De esta forma, si un hacker obtiene tus credenciales de inicio de sesión todavía necesitaría conocer el código enviado a tu móvil para acceder a tus cuentas.
- La instalación de un cortafuegos es fundamental para bloquear el acceso no autorizado a la información confidencial. Asegúrate de que está bien configurado y solamente permite las transacciones seguras.
- Mantén actualizado el navegador y el sistema operativo ya que los ciberdelincuentes suelen aprovecharse de las vulnerabilidades de los sistemas desactualizados.
- Evita acceder a información confidencial a través de redes Wi-Fi públicas. Muchas de estas redes carecen de protocolos de encriptación y los datos transmitidos podrían ser interceptados. Desactiva en tu móvil la opción de conectarse automáticamente a redes Wi-Fi abiertas.
- Realiza copias de seguridad automáticas de los datos de la empresa para poder recuperar la información en caso de ataque. Te recomendamos que sean backups inmutables (no se pueden eliminar ni modificar). Esto garantiza que las copias están protegidas y podrán ser restauradas incluso si se produce un ataque de ransomware.
Conclusión
Como comentamos al principio, el phishing existe desde los inicios de Internet y, probablemente, evolucionará y conozcamos nuevas modalidades de esta forma de ciberataque. Aunque debemos estar vigilantes frente a estas amenazas, frenar el desarrollo tecnológico no es la solución. La clave está en adoptar medidas de ciberseguridad y educar a los usuarios para minimizar los riesgos y crear un entorno laboral seguro.
Estudié Filología, pero las circunstancias de la vida me llevaron a trabajar en el sector del Marketing como redactora de contenidos. Me apasiona el mundo del blogging y la oportunidad de aprender que se presenta con cada proyecto nuevo. Te invito a seguir mis publicaciones en el blog de Pandora FMS para descubrir las tendencias tecnológicas que están transformando el mundo de los negocios.