Por Javier Cruz,
Technical CyberSecurity
El Instituto Nacional de Ciberseguridad (INCIBE) ha publicado su Balance de Ciberseguridad relativo al año 2023, donde se refleja un incremento del 24% de los incidentes de Ciberseguridad respecto al año anterior y donde el Phishing sigue siendo un protagonista, ya que de los 83.517 incidentes de Ciberseguridad gestionados por el CERT de INCIBE, 14.261 (un 17%) correspondían a ataques de Phishing.
Del mismo modo, el análisis anual de Kaspersky sobre el panorama de amenazas de spam y phishing reveló un aumento de más del 40% de estos ataques en 2023, alcanzando un total de 709.590.011 intentos de acceder a enlaces de phishing.
Estos datos siguen siendo tan relevantes que consideramos esencial que puedas conocer en qué se caracteriza el phishing, cómo identificarlo y qué estrategias se pueden adoptar para prevenirlo.
¿Qué es el Phishing?
El phishing es un tipo de ataque cibernético donde los delincuentes se hacen pasar por una entidad confiable y reconocida para engañar a las personas y hacer que revelen información personal como contraseñas, números de tarjeta de crédito o datos bancarios, entre otros. El phishing puede tener diferentes presentaciones que veremos a continuación.
Tipos de Phishing
El phishing puede adoptar diferentes formas. Vamos a conocer a continuación las más habituales:
- Phising vía correo electrónico: Se trata de la táctica más común. El ciberataque llega mediante un correo electrónico que suplanta la identidad de empresas u organizaciones que sean familiares al receptor. De este modo, el usuario cree que es real y realiza la acción que se le pide para activar el malware.
- Spear Phising: Sigue la misma metodología que el correo electrónico, pero en este caso no se realiza el envío de forma masiva, sino que el mensaje está personalizado con el nombre del receptor. La cantidad de información laboral que se puede encontrar en plataformas como LinkedIn facilita el trabajo a los hackers para crear un mensaje mucho más personalizado y dirigido contra las empresas.
- Whaling: Es un ataque de phishing dirigido a altos cargos empresariales. Los CEO suelen ser habitualmente objeto de este tipo de malware.
- Phising de voz o Vishing: El usuario recibe una llamada telefónica con la finalidad de conseguir información sensible o confidencial. Es un método muy sofisticado, ya que mediante la tecnología de voz sobre IP (VoIP) el atacante es capaz de imitar a la perfección la voz de cualquier persona, sin poner en duda su veracidad.
- Phising por SMS o Smishing: En este caso el ataque llega por mensaje de texto de móvil o smartphone. En ocasiones se pide la descarga de una aplicación que hace que se instale el malware y se puedan sustraer los datos personales o requieren la verificación de datos bancarios para hacerse con ellos.
- Phising en redes sociales: En esta modalidad el atacante puede utilizar el mismo servicio de mensajería de la red social (como Facebook Messenger o mensajes directos de Twitter o Instagram) siguiendo la misma técnica que los correos electrónicos para conseguir las credenciales del usuario. Otras veces se cuelan en cuentas suplantando la identidad y mandando enlaces maliciosos a los contactos o seguidores.
- QRising: Al leer el código QR el usuario queda automáticamente infectado por el malware dando paso al delincuente a toda la información del dispositivo.
Como podéis ver hay gran variedad de formas en los que los ciberdelincuentes pueden actuar. Además de éstas, los cibercriminales ya están utilizando la inteligencia artificial (IA) en sus ataques, hecho que preocupa encarecidamente a la mayoría de los expertos. A través de la IA pueden aparecer técnicas más sofisticadas de phishing. Por ejemplo, la creación de contenidos fraudulentos o engañosos que a simple vista no serían perceptibles por el usuario. También se han dado casos de fotomontajes o vídeos deepfake que buscan extorsionar al usuario, para el beneficio del delincuente, mediante rescates o la obtención de información sensible. O el uso de técnicas de generación de lenguaje natural (NLG) basadas en IA, que imitan la comunicación humana.
Cómo identificar un Intento de Phishing
Reconocer un intento de phishing es el primer paso hacia la prevención. Algunas señales de alerta incluyen:
- URLs sospechosas: Es sumamente importante verificar siempre la URL antes de hacer clic en un enlace. Si parece sospechosa o no coincide con la dirección web oficial del solicitante, es probable que sea un intento de phishing.
- Errores gramaticales y ortográficos: Los mensajes fraudulentos a menudo contienen errores que una comunicación oficial no tendría.
- Solicitudes no requeridas de información confidencial: Ninguna organización legítima pedirá el envío de información sensible por correo electrónico.
- Solicitudes de acción inmediata: Los estafadores utilizan el sentido de urgencia para presionar a actuar rápidamente, evitando que tenga tiempo para pensar o verificar la legitimidad del mensaje. Frases como “Su cuenta será suspendida” o “Necesitamos su acción inmediata” son comunes en estos intentos.
- Tipos de archivos sospechosos: Los atacantes a menudo adjuntan archivos con extensiones peligrosas (como .exe, .rar, .zip) que, al ser abiertos, pueden instalar software malicioso en el sistema. Siempre se debe verificar con el remitente por un medio alternativo antes de abrir un archivo adjunto si se tienen dudas sobre su veracidad.
Estrategias de Prevención
A nivel empresarial, la concienciación y la capacitación continua de los empleados son esenciales. Implementar soluciones de seguridad robustas y mantener políticas de seguridad actualizadas también son pasos cruciales. Herramientas como el software antivirus, filtros de correo electrónico, herramientas de verificación de URL y mecanismos de autentificación múltiple (MFA) pueden ofrecer capas adicionales de seguridad.
Cómo Responder a un Ataque de Phishing
Si os encontráis frente a un posible ataque de phishing es vital actuar rápidamente:
- No interactuar: No hacer clic en enlaces ni descargar archivos de correos electrónicos sospechosos y otros medios de recepción de información.
- Reportar el intento: Informar del ataque al departamento de TI y, si es aplicable, a la entidad suplantada.
ABAST te ayuda a protegerte del Phishing
ABAST ofrece soluciones y estrategias para proteger a vuestra organización de los ataques de phishing. Ofrecemos evaluaciones de seguridad, campañas de phishing, concienciación para el personal, últimas soluciones y soporte en cuanto a configuración. Todo ello nos permite asegurar que la entidad esté preparada para enfrentar estas amenazas. Nuestros casos de éxito hablan por sí mismos y estamos a vuestra disposición para ayudaros a fortalecer vuestras defensas.
Definitivamente, en la lucha contra el phishing el conocimiento y la prevención son los mejores aliados. Al entender cómo operan estos ataques y al implementar estrategias proactivas de prevención y respuesta, la entidad puede navegar el panorama digital con confianza. Podéis contactar con nosotros a través de nuestro formulario web para descubrir de qué manera podemos ayudaros para no veros afectados por estos ataques en un mundo cada vez más digitalizado e interconectado.
