Facebook-f Twitter Youtube Linkedin Instagram Shopping-cart
logo MBR

¿Qué es el pishing?

Antivirus
Compartir artículo

Hay muchos tipos de ataques cibernéticos que los piratas informáticos utilizan para obtener información, archivos y otros activos de personas y empresas. Mantenerse protegido de estos es crucial.

A medida que las soluciones de ciberseguridad se vuelven más efectivas en comparación con los tipos tradicionales de ataques, los piratas informáticos aprovechan la naturaleza humana de los usuarios para eludir las medidas de seguridad.

¿Qué es el phishing?

El phishing es un tipo de ataque de ingeniería social que está diseñado para engañar a los usuarios para que entreguen información confidencial, como credenciales de inicio de sesión, números de cuentas bancarias o acceso al sistema de TI. Estos ataques suelen presentarse en forma de correo electrónico o mensaje de texto que imita marcas o usuarios legítimos.

Breve historia de los ataques de phishing

A principios de la década de 1990, los usuarios requerían una conexión de «dial-up» para acceder a Internet y AOL era uno de los mayores proveedores de servicios. Debido a su popularidad, se convirtió en un objetivo principal para los piratas informáticos y se convirtió en la tapadera de los primeros ataques de phishing.

En 1995, se creó “AOHell” para robar las contraseñas de los usuarios y usar algoritmos para crear números de tarjetas de crédito aleatorios. Imitó a los empleados y administradores de AOL al pedirles a los usuarios que proporcionaran acceso a sus credenciales de inicio de sesión como parte de las comprobaciones y auditorías del sistema.

A principios de la década de 2000, los atacantes centraron su atención en los sistemas financieros. En 2003, los phishers comenzaron a registrar nombres de dominio que eran ligeras variaciones de los sitios de comercio legítimos, como eBay y PayPal, y enviaron correos masivos pidiendo a los clientes que visitaran los sitios, ingresaran sus contraseñas y actualizaran la información de su tarjeta de crédito.

En septiembre de 2013, el ransomware Cryptolocker infectó 250 000 computadoras personales, lo que lo convirtió en el primer malware criptográfico propagado por descargas desde un sitio web comprometido.

Los phishers comienzan a adoptar HTTPS con campañas de phishing de tarjetas de regalo a partir de 2018 solo para evolucionar al compromiso de correo electrónico del proveedor en 2019.

En 2020, el 74% de las organizaciones en los Estados Unidos experimentó un ataque de phishing exitoso.

Hasta el día de hoy, los ataques siguen creciendo y representan un riesgo real tanto para las personas como para las empresas en todo el mundo, por lo que es importante conocer y mitigar los ataques cibernéticos.

Técnicas comunes de phishing: sentido de urgencia

  • Correos electrónicos de empresas falsas que solicitan información personal o confidencial.

  • Correos electrónicos de instituciones financieras falsas que solicitan números de cuentas bancarias y contraseñas.

  • Correos electrónicos de agencias gubernamentales que solicitan información personal.

  • Mensajes en las redes sociales que le piden que inicie sesión con su nombre de usuario y contraseña.

Ejemplos de ataques de phishing
Sitios web falsos y credenciales de inicio de sesión

Una de las formas más comunes de ataques de phishing es el envío de correos electrónicos que imitan servicios comunes como Netflix. Esto se ha utilizado varias veces y ha sido denunciado por la policía y los servicios de seguridad de todo el mundo.

Es una táctica bastante simple que aprovecha la confianza, ya que los usuarios ya conocen la marca. También inicia una sensación de urgencia, ya que sugiere que su cuenta está en espera. Sin embargo, en realidad se trata de un correo electrónico de imitación que se vinculará a un sitio web falso donde puede «actualizar» los datos de su tarjeta. Una vez que actualice los detalles, efectivamente acaba de entregar sus datos al atacante, quien puede usarlos para lo que desee.

Confianza, Urgencia, Objetivo Claro. Estas tácticas son la columna vertebral de todos los ataques de phishing exitosos.

Antivirus

Ejemplo de ataque de pishing: robo de marca de Netflix.

Diferentes tipos de ataques de phishing

Hay muchos tipos diferentes de ataques, pero todos tienen una cosa en común: intentan que la víctima comparta su información personal. Sin embargo, hay varias formas de lograr esto, desde correos electrónicos sospechosos hasta mensajes de texto, los phishers intentarán engañarlo de todos modos.

Suplantación de identidad (spear phishing)

Spear phishing es un tipo de phishing dirigido que implica un intento de engañar a un individuo objetivo para que comparta el acceso a las credenciales o información confidencial. En comparación con los tipos más comunes de ataques de phishing que son indiscriminados y se dirigen a grandes grupos de personas.

Los atacantes se hacen pasar por alguien que el objetivo conoce bien o por una organización con la que están familiarizados. Un buen ejemplo de spear phishing es un pirata informático que finge ser el director ejecutivo de la empresa de un usuario objetivo. Falsifican la dirección de correo electrónico del CEO y luego afirman que sus credenciales de inicio de sesión no funcionan y le piden al objetivo que comparta las suyas para que puedan usarlas para obtener acceso a un archivo o datos.

Puede haber presiones de tiempo adicionales para agregar un sentido de urgencia, por ejemplo, una reunión de la junta o una conferencia de prensa. Como el usuario objetivo conoce al CEO/trabaja en esa empresa, es posible que confíe y, con la presión del tiempo, es posible que no verifique las señales de alerta tan a fondo como sea posible.

Estos ataques generalmente se elaboran después de que se haya realizado la investigación del objetivo, lo que da como resultado un ataque más relevante personalmente.

Correo electrónico ballenero Phishing

El phishing ballenero es una forma de ataque de phishing que se centra en un objetivo de alto valor o en un empleado senior dentro de una organización. Estos ataques son más detallados que los correos electrónicos de phishing genéricos, ya que se dirigen a un individuo, normalmente contienen información personalizada y, a menudo, se elaboran con una sólida comprensión del lenguaje comercial. Estos rasgos pueden hacer que sean muy difíciles de detectar y, con frecuencia, los empleados de alto nivel son engañados para que transfieran fondos, datos confidenciales o activen malware.

Campañas Masivas

Los mensajes de phishing masivo se envían a tantas personas como sea posible para engañar a los usuarios para que entreguen datos confidenciales o información financiera. Estos ataques suelen implicar la imitación de una marca popular que solicita el restablecimiento de la contraseña o la actualización de la información de facturación.

El daño causado por ser víctima de una campaña masiva puede no ser tan evidente de inmediato como los ataques más dirigidos, ya que existe un lapso de tiempo entre el ataque exitoso y la venta de los datos obtenidos en el ataque.

Estafas de persecución de ambulancias/phishing

Las estafas de phishing de persecución de ambulancias están explotando la naturaleza humana al extremo al apuntar a personas en momentos de estrés extremo. Estas campañas normalmente se dirigen a los usuarios con campañas falsas de recaudación de fondos durante desastres como incendios, inundaciones, guerras. Debido a la atracción emocional de este tipo de eventos, puede ser extremadamente efectivo engañar a los usuarios.

Esta forma de phishing suele ser una campaña masiva, pero también puede ser un ataque de spear phishing, según el objetivo del mensaje.

pretextando

Pretexting es un método de phishing muy eficaz, ya que implica dos puntos de contacto clave. Uno que genera confianza normalmente en persona o mediante una llamada telefónica para establecer la expectativa de que enviarán algo aparentemente legítimo en un futuro cercano. El segundo punto por correo electrónico o mensaje digital con un punto de activación que contiene un enlace malicioso para capturar datos confidenciales o descargar malware.

Por ejemplo, los atacantes pueden llamar y dejar un mensaje de voz actuando como un proveedor diciendo que su contrato se enviará en breve por correo electrónico. Luego, se enviará un correo electrónico relacionado con el correo de voz que contiene enlaces maliciosos, que pueden contener ransomware u otra forma de malware.

Suplantación de identidad móvil

Dado que los atacantes buscan aprovecharse de los usuarios por cualquier medio, el phishing móvil es una tendencia creciente. Al aprovechar las aplicaciones SMM y MMS, los atacantes pueden atacar a los usuarios las 24 horas del día, los 7 días de la semana.

Mobile Phishing, también conocido como smishing, es cuando los atacantes envían mensajes de phishing SMS o mensajes de redes sociales a los usuarios para engañarlos para que tomen una acción rápida haciéndose pasar por un tercero confiable.

Por ejemplo, un usuario puede recibir un mensaje de texto de alguien que cree que es su banco diciendo: «Hemos detectado actividad inusual en su cuenta bancaria, si no fue usted, inicie sesión en su cuenta y revise estas transacciones». Esto está diseñado para causar pánico y hacer que los usuarios tomen medidas rápidas al entregar sus datos de inicio de sesión bancarios.

Al hacer clic en los enlaces de estos mensajes, los piratas informáticos pueden acceder a sus datos o permitirles instalar software malicioso en su dispositivo.

Hombre en el medio

Este tipo de ataque es más sofisticado, ya que consiste en interceptar correos electrónicos entre dos personas. Luego, el atacante puede enviar correos electrónicos a estas dos personas, que creen que provienen el uno del otro, pero en realidad son del atacante.

Pueden solicitar información privada o solicitar ciertas acciones, y la persona puede convertirse fácilmente en víctima si cree que el correo electrónico proviene de una fuente confiable.

Gemelo Wi-Fi

En este método, los piratas informáticos crearán una red Wi-Fi copiando la dirección de otra. Cualquiera que se conecte a esta red falsificada estará expuesto a los piratas informáticos, lo que les permitirá acceder a contraseñas y otra información.

Esto generalmente se hace en espacios públicos como cafeterías, centros comerciales y aeropuertos.

Informe de estafas de phishing informe de correo electrónico de phishing

Si usted o un cliente suyo es víctima de un ataque de phishing, hay cosas que se pueden hacer para tratar de recuperar sus datos, proteger a los demás y evitar que los atacantes causen más daños. La mayoría de los gobiernos locales tienen sus propias guías y consejos sobre cómo denunciar el fraude; sin embargo, para los ciudadanos de los EE. UU., el Reino Unido y Australia, puede encontrar ayuda en los enlaces proporcionados.

Protección contra phishing: ¿Cómo defenderse de las estafas?

Hay algunas formas clave de proteger a una organización del phishing y aumentar su resiliencia cibernética.

  • Capacitación regular del personal y los clientes.

  • Aprende los disparadores psicológicos

  • Construir una cultura de seguridad positiva

  • Implementar medidas técnicas, por ejemplo, seguridad de correo electrónico o soluciones anti-phishing

  • Probar la efectividad del entrenamiento.

MBR

¿Necesitas más información?

¡Contáctanos y nuestro equipo resolverá todas tus dudas! 

Contáctanos

Suscríbete a nuestro boletín

Recibe actualizaciones y promociones exclusivas.

Explora más artículos de tu interés

Sensor de ambiente

Compartir artículo Qué buscar en un sensor ambiental Por diseño, los sensores ambientales son herramientas de monitoreo que arrojan luz sobre amenazas invisibles que de

Iris Esquivel julio 6, 2023
tarjetas de proximidad
CCTV y videovigilancia

¿Cómo funcionan las tarjetas de proximidad?

Los dispositivos de control de acceso a menudo sirven como la primera línea de defensa para proteger un edificio y sus ocupantes. Estas soluciones generalmente se basan en tarjetas RFID emitidas para dar acceso solo al personal autorizado.

Iris Esquivel junio 1, 2023

Al navegar en este sitio web aceptas nuestra política de uso de cookies y aviso de privacidad más información aquí.
© 2020 MBR Hosting SA de CV Todos los derechos reservados.