Gabriela Gavrailova

// Product Marketing Associate para desarrolladores

Aunque las medidas de seguridad técnicas mejoran constantemente, el phishing sigue siendo una de las formas más económicas y sencillas que los hackers tienen a su alcance para acceder a información sensible. Basta con hacer clic en un enlace (tan fácil como eso) para ser susceptible de compartir información privada y víctima de un robo de identidad.

Para saber cómo protegerte, tienes que entender qué es un ataque de phishing, qué tipos hay y cómo puedes reconocerlo si aparece en tu bandeja de entrada. Sigue leyendo, nosotros te ayudamos a evitar problemas de seguridad derivados de este ataque.

¿Qué es un ataque de phishing?

El phishing es una estafa online con la que los hackers se hacen pasar por entidades legítimas para engañar a las víctimas y conseguir que compartan información sensible o se instalen malware.

El término «phishing» es un juego de palabras derivada de «fishing» (pescar), ya que en ambos casos alguien lanza un cebo y espera a que la persona o el pez «pique». Con frecuencia, los hackers lo hacen mediante emails maliciosos que parecen proceder de remitentes de confianza y que incluyen un enlace que, aparentemente, te lleva al sitio web de la empresa. Cuando rellenas los datos, esa información sensible puede ser objeto de robo.

phishing-email-mailjet
Source: Liscio

Esos datos pueden ser información privada de valor, como credenciales de inicio de sesión (email y contraseña), datos bancarios (información de la tarjeta de crédito o credenciales para acceder a tu banco) o incluso datos personales (fecha de nacimiento, dirección o número de la seguridad social). El phishing se considera un tipo de ataque de ingeniería social porque se basa en fallos humanos, no en errores de hardware o software.

Una breve historia del phishing

El primer ejemplo de phishing es de mediados de los años 90, cuando se intentó robar los nombres de usuario y las contraseñas de AOL con herramientas como AOHell. A pesar de las varias advertencias de AOL, los ataques fueron un éxito, ya que el phishing era un concepto nuevo que los usuarios desconocían. Tras los ataques iniciales a AOL, muchos de los primeros casos de phishing incluían signos obvios de que no eran legítimos, como errores de ortografía, formatos extraños, imágenes pixeladas y mensajes que no tenían mucho sentido.

aol-scam-email

Algunas de esas campañas se siguen reconociendo fácilmente (todos hemos recibido alguna vez el email del príncipe que ha caído en desgracia y que quiere dejarnos toda su fortuna), pero otros han avanzado tanto que es casi imposible distinguirlos de los emails reales. Esto se debe a que los atacantes han evolucionado junto con nuevas capacidades técnicas. Las estafas ya han llegado a las redes sociales, a los servicios de mensajería y a las aplicaciones.

Si consultas tu email o tus redes sociales desde tu teléfono, podrías ser un blanco fácil. Como la interfaz del email en los teléfonos móviles es muchísimo más pequeña que en el ordenador, es más complicado detectar signos de phishing, como ver la URL completa.

En cualquier caso, si tienes una dirección de email, seguro que has recibido un mensaje de phishing en tu bandeja de entrada al menos una vez.

¿Cómo funciona un ataque de phishing?

Un ataque de phishing básico intenta engañar a un usuario para que introduzca datos personales u otra información confidencial. Unos 3700 millones de personas envían 269 000 millones de emails cada día. Eso lo convierte en el canal ideal para los cibercriminales. Imagina si el 1 % de esos emails son una estafa, y el 1 % de ese porcentaje funciona. Eso supone que 26,9 millones de intentos al día tienen éxito.

Te aseguramos que más del 1 % de los emails que se envían son una estafa, pero nos gustaría ayudarte a que muchísimo menos de ese 1 % lleguen a tener éxito.

Un ataque de phishing puede tener un objetivo particular, como personas que usan un producto concreto, o puede ser generalizado, dirigido al público en general con concursos y premios falsos. En ambos casos, se pide a las víctimas que introduzcan sus nombres, direcciones de email y, en algunos casos, contraseñas e información bancaria.

phishing-works-mailjet

Otra opción es que el email contenga un archivo adjunto malicioso que se te pide que descargues. En muchos casos, el payload malicioso irá oculto dentro de un documento de Microsoft Word que requiere que el usuario habilite las macros para funcionar. Cuando intentas abrir el documento, se te pide que actualices el software o que des ciertos permisos para ver el documento correctamente. Y si aceptas, es probable que estés abriendo tú solito una grave brecha de seguridad.

¿Cómo encuentran los atacantes las direcciones de email a las que hacer phishing?

Los atacantes tienen muchas formas de conseguir tu dirección de email y vincularla a un servicio que uses. Esto puede ocurrir sin tu conocimiento o sin el conocimiento del proveedor de servicios.

Algunas de esas formas son:

  • Buscar en la web el signo @. Los spammers y los cibercriminales usan herramientas avanzadas para escanear la web y recopilar direcciones de email. Si has publicado tu dirección de email online, un spammer podrá encontrarlo sin complicaciones.
  • Los hackers usan herramientas para generar nombres de usuario comunes (usando la primera letra de un nombre y un apellido frecuente) y combinarlos con dominios comunes. Estas herramientas son como las que se usan para descifrar contraseñas.
  • Los spammers pueden comprar listas de forma legal o ilegal. Cuando des tu email en cualquier sitio, lee la política de privacidad detenidamente. Aunque el RGPD te proteja, tienes que protegerte tú también por tus propios medios.
  • Los atacantes también pueden averiguar lo que cada proveedor de servicios te pediría como cliente y luego buscan una vulnerabilidad para descubrir si tú eres cliente. Por ejemplo, en el caso de los proveedores de email, los scammers podrían comprobar los registros públicos de tu DNS (SPF, CNAME, TXT) e intentar encontrar información que guarde relación con el proveedor de email que usas.

 
Ahora que conocemos los fundamentos básicos de qué es el phishing, su historia y cómo funciona, podemos explorar los tipos más habituales.

¿Qué tipos de ataques de phishing podemos encontrar?

Es fácil asumir que prácticamente todo el mundo ha recibido ya un ataque de phishing por email o que ha terminado en un sitio web sospechoso. Hay muchos tipos de ataques y los hackers son cada vez más y más creativos, así que debemos estar al tanto de algunos de los métodos nuevos que usan para que nos salte la señal de alarma antes de que nos pillen.

A continuación enumeramos algunos de los tipos de ataques más populares que se usan en la actualidad. La diferencia principal entre ellos es el método que se usa y el objetivo. Primero vamos a profundizar en los distintos objetivos que persiguen.

Objetivos de phishing

«Spray and pray»

El enfoque «spray and pray» es el tipo de ataque de phishing menos completo. En él, se envía un mensaje masivo a millones de usuarios. Estos mensajes siempre muestran algún tipo de urgencia, ya sea indicando que es un email «importante» de tu banco o un servicio popular, o algo del tipo «Has ganado un iPhone último modelo. Reclámalo ahora».

Según las capacidades técnicas del hacker, estos ataques podrían no necesitar páginas web falsas: se pide a las víctimas que respondan al atacante por email con la información sensible. Suelen ser ineficaces, pero se pueden enviar a una enorme cantidad de direcciones de email. No hace falta que caigan demasiadas víctimas para que el atacante lo considere un éxito.

spear-phishing-vs-phishing
Source: Terranova Security

 

«Spear phishing»

Este ataque es más avanzado. A diferencia de «spray and pray», que se envía a una lista masiva, el «spear phishing» se dirige a grupos concretos con un mensaje más personalizado. Los atacantes, por ejemplo, se dirigen a usuarios de una marca concreta y diseñan una réplica del email de la marca.

De hecho, puedes dirigirse a cualquier tipo de objetivo, desde una organización concreta hasta a un departamento o persona de dicha organización para garantizar la máxima oportunidad de que el email se abra y así poder conseguir más información personal. Los ciberataques de perfil más alto suelen proceder de este tipo de enfoque.

El mensaje se diseñará para que parezca que alguien quiere cambiar tu contraseña debido a un problema por la parte del servicio. En este caso, el mensaje parecerá legítimo (lo más parecido posible al original) y te redirigirá a una página que también parecerá la real. Estos ataques son más eficaces porque están bien planificados.

Métodos de phishing

Los métodos pueden variar en función del objetivo. Los objetivos de «spray and pray» requieren menos esfuerzo que los de «spear phishing», por ejemplo. No hay que invertir mucho para encontrar una lista de emails objetivo, crear páginas de destino personalizadas, etc. A medida que el phishing ha ido evolucionando, vemos cada vez más métodos que no se limitan al email, sino que también incluyen sitios web o redes sociales.

Emails sospechosos

«Clone phishing»

Los emails «clone phishing» son prácticamente idénticos a un email que hayas recibido hace poco. No obstante, en este caso, el nuevo email se enviará desde una dirección suplantada que se parece a la original.

Por ejemplo, help@appplehelp.com en lugar de help@apple.com (fíjate en las tres «P»).

clone-phishing-concept

Dentro del contenido, la única diferencia entre el email clonado y el original es que los enlaces o los archivos adjuntos se han cambiado para dirigirte directamente a sitios o software maliciosos. Como el email se parece tantísimo al original, es más probable que los destinatarios caigan en este tipo de ataque.

«Whaling» o fraude del director ejecutivo

Este ataque se dirige a un grupo más reducido de personas de perfil alto, como miembros de una junta directiva o del equipo de finanzas o de TI de una empresa. Podría parecer que el email procede de una fuente de confianza, como del director ejecutivo de la empresa.

seo-phishing
Source: Quora

 
Este ataque es más complicado de crear porque los hackers deben encontrar primero a los objetivos adecuados y, luego, la manera correcta de hacerse pasar por su director ejecutivo. No obstante, las recompensas son potencialmente mayores: los directores ejecutivos y otros ejecutivos de nivel alto tienen más información y niveles más altos de acceso que los empleados de rango más bajo. Las bandejas de entrada como GSuite pueden ayudar a evitar estos ataques al asignar fotos de perfil a las direcciones de email internas de los compañeros. También ayudan funciones como la inclusión en la lista blanca.

Business Email Compromise (BEC)/suplantación de identidad por email

Los ataques BEC suelen ser solicitudes «urgentes» de una marca o de un miembro con cierta antigüedad de la marca. Estos emails son tácticas de ingeniería social para engañar a otros miembros del equipo o usuarios para que den los datos de sus cuentas bancarias o hagan una donación.

Muchos proveedores de servicios populares en el terreno del software se convierten en víctimas de estos ataques. A continuación puedes ver un ejemplo de email de phishing enviado por alguien que intenta suplantar a WordPress:

wordpress-phishing

Cuando hagas clic en un enlace o en cualquiera de los botones, se te redirigirá a una página falsa creada para recopilar tu información.

Sitios web

Las páginas de sitios web falsas están diseñadas para parecer auténticas. En muchos casos, llegarás a una página de inicio de sesión o de pago simple, ya que son muy fáciles de recrear para muchos casos de uso y pueden ser eficaces a la hora de capturar información personal.

paypal-phish-site

 

«Pharming» o ataque de tipo «poisoning» a la memoria caché

Este método de phishing requiere que el hacker cree un sitio web que suplante uno real y, mediante la explotación de vulnerabilidades en el sistema del nombre de dominio, hace coincidir la URL con la IP que hay tras ella. De hecho, los atacantes podrían redirigir el tráfico desde el sitio real hasta el sitio falso. Este quizá sea el tipo de phishing más peligroso, porque los registros DNS no los controla el usuario final y eso hace que sea más difícil defenderse frente a este ataque.

DNS-spoofing
«Typosquatting» o secuestro de la URL

Este tipo de phishing es más fácil de crear que el de «pharming», porque no tienes que suplantar exactamente el dominio que te interesa. La URL parecerá auténtica, pero con una pequeña diferencia de la real. El objetivo es sacar provecho de los errores ortográficos cuando los usuarios escriben las URL. Por ejemplo, podrían:

  • escribir mal la URL real usando letras que están próximas entre sí en el teclado;
  • intercambiar dos letras;
  • añadir una letra de más;
  • intercambiar letras que suenen igual en algunos casos, como «n» y «m».

 

«Clickjacking» o superposición de iframe

En este tipo de ataque, los hackers colocan contenido clicable en botones legítimos. Por ejemplo, un comprador digital podría pensar que está haciendo clic en un botón para hacer una compra, pero en su lugar, descarga malware.

clickjacking-attacks

Redes sociales

Hoy en día todo ocurre en las redes sociales, incluyendo los ataques de phishing. Imagina que recibes un mensaje de Facebook con un enlace que dice «Vota por mí» o «¿Recuerdas cuando estuviste en París?» que te redirige a la página de inicio de Facebook al hacer clic en él. ¿A que es raro? Sin embargo, algunas personas no prestan la debida atención o creen que se trata simplemente de un problema, e introducirán su nombre de usuario y la contraseña. Pero en realidad, esta página nueva no es Facebook, y los estafadores tienen ahora la información de tu cuenta.

Algunos ataques se detectan fácilmente, como cuando un bot de Facebook o Twitter te envía un mensaje privado con una URL acortada. Es probable que esta URL te lleve a una página vacía o a una con contenido sospechoso.

fb-phishing
Source: Kaspersky

 
Siguen apareciendo nuevos ataques que usan las redes sociales, y algunos de ellos ahora están más trabajados. Por ejemplo, podrían fingir que son otra persona en Internet, lo cual no es difícil dada la cantidad de imágenes públicas que hay. Con el tiempo, estos perfiles falsos podrían enviarte mensajes legítimos junto con mensajes de phishing para capturar más información sobre ti.

SMS y phishing móvil

Ahora que casi todo el mundo lleva un smartphone en el bolsillo, la mayoría de la gente es aún más vulnerable a ataques de phishing por SMS o cualquier otra aplicación de mensajería.

Un ataque de phishing por SMS funciona prácticamente igual que un ataque por email: presenta a la víctima contenido como un incentivo para hacer clic a través de una URL maliciosa. Los SMS son breves y suelen ser mensajes que pudieran resultar relevantes en tu vida, por lo que llaman la atención del destinatario muy fácilmente para hacer que actúe rápido y sin pensar. Dada la naturaleza sin formato del SMS y lo fácil que es suplantar la identidad con números de teléfono, estas estafas son más difíciles de detectar. Cuando se hace clic en el SMS, el ataque funciona igual que los ataques por email.

mobile-phishing
Source: Knowbe4

 
Otro tipo de phishing en dispositivos móviles se hace mediante aplicaciones sospechosas que se descargan de sitios web no autorizados. La aplicación podría contener scripts que, una vez abiertos en tu dispositivo, pueden acceder a todos tus datos. Se puede acceder a todas las contraseñas y también quedará expuesta toda tu información bancaria o la de tus tarjetas de crédito.

Cómo reconocer un ataque de phishing

Si un email o un sitio web te parecen sospechosos, hay algunos detalles en los que puedes fijarte. Aunque algunas campañas de phishing se crean para parecer auténticas, siempre hay pistas que nos ayudan a detectarlas de forma fácil. Echemos un vistazo a algunos de los detalles que podrían indicar que estás siendo víctima de un ataque de phishing.

La dirección de remitente

Comprueba si has recibido en alguna ocasión algo del mismo remitente. Si el atacante ha sido suficientemente listo, enmascarará bien la dirección de remitente y la diferencia podría ser solo una letra que podrías pasar por alto si no te fijas bien.

Nombres de dominio mal escritos

Si has recibido un mensaje que parece proceder de la cuenta oficial de una empresa (algo como «support@mailjet-com.com»), confirma que el dominio del email de esta empresa es el correcto. Aunque el mensaje parezca legítimo, sin errores de ortografía o gramática, con el formato correcto y el logotipo de la empresa, podría ser una cuenta fraudulenta.

Una pista es verificar si el dominio es ligeramente distinto al habitual (como añadir un sufijo al nombre de dominio). Pero lo más importante es que la mayoría de las marcas legítimas nunca te pedirán que des información personal por email.

Errores de ortografía y de gramática

Muchos ataques de phishing no están muy bien planificados, especialmente los de tipo «spray and pray», y los mensajes podrían contener errores de ortografía y gramática. Es improbable que los mensajes de organizaciones de gran calado contengan ese tipo de errores. Por tanto, los mensajes mal escritos son un indicador claro de que el mensaje podría no ser legítimo.

Archivos adjuntos o enlaces sospechosos

Es muy habitual que los mensajes de phishing pidan al usuario que haga clic en un enlace que lleva a un sitio web falso diseñado para fines maliciosos. La URL podría parecer legítima, pero quizá haya pequeños errores como letras que faltan o que se han sustituido.

Si el mensaje parece raro, siempre es recomendable dedicar unos segundos a examinar el enlace con detenimiento, pasando el ratón por encima para ver si la dirección web es distinta a la real. Siempre puedes contactar con la marca usando la dirección de email pública o el número de teléfono antes de hacer clic en nada que te parezca sospechoso.

Sensación de urgencia

Muchos ataques de phishing contienen mensajes que avisan de problemas con tu cuenta o problemas con un pago. Esto se debe a que el atacante intenta conseguir que actúes rápidamente sin pensar demasiado. En estos casos, es todavía más importante comprobar la dirección de remitente y los enlaces que contiene el mensaje.

El mensaje es demasiado bueno para ser verdad

Lamentamos reventarte la burbuja, pero lo más probable es que cualquier mensaje que te diga que has ganado un cupón o un premio sea un ataque de phishing. Estamos seguros de que requerirá algo más de trabajo que el simple hecho de introducir tu información personal en una web, así que sé mucho más cauteloso y comprueba bien todos los datos.

Que, oye, si resulta que lo has ganado de verdad, ¡enhorabuena!

¿Qué debes hacer si te conviertes en víctima de un ataque de phishing?

Si has sido víctima de un ataque de phishing, lo primero que tienes que hacer es cambiar todas tus contraseñas de inmediato. Lo ideal es que las cambies todas, no solo la del servicio que podría haber suplantado el atacante. Es alarmante lo que puede hacer con una sola credencial de inicio de sesión. Plantéate la posibilidad de usar un gestor de contraseñas en el futuro, para reducir el riesgo y asegúrate de que tienes una solución antivirus con funciones de navegación web segura instaladas y actualizadas.

También debes ponerte en contacto con el proveedor de servicios que ha sido replicado en el ataque de phishing y seguir sus instrucciones.

Phishing-mailjet
Source: Houseofit

 

Cómo mitigar los ataques de phishing

A continuación incluimos algunas medidas preventivas que puedes tomar para evitar estos ataques o, al menos, mitigarlos. Te damos algunas ideas:

  • Usa tus propios enlaces: Si hay sitios web a los que accedes cada día o semanalmente, es mejor que los guardes en favoritos. Esta es la única forma de garantizar que vas a ir al sitio legítimo. Así, si recibes una notificación de, digamos, tu banco, es mucho más seguro que accedas a tu cuenta desde un favorito que desde un enlace.
  • Usa extensiones del navegador: Instala o activa una herramienta web que identifique sitios maliciosos por ti. Así sabrás que el sitio web al que llegas es legítimo. Por ejemplo, el plugin Signal Spam.
  • Instala sistemas antivirus: Los sistemas antivirus te permiten comprobar si hay malware en un archivo antes de abrirlo y de que puedan dañar tu ordenador.
  • ¡Sospecha! Crea una cultura de seguridad positiva en tu empresa: No pasa nada por sospechar en Internet. Por supuesto, hay cosas difíciles de comprobar y necesitan más conocimientos técnicos, pero al menos puedes tomar las medidas de seguridad más habituales.
  • Forma a tu personal: Si eres especialista en seguridad, es buena idea que impartas entre tus empleados un curso periódico sobre seguridad, para que sean capaces de reconocer mejor un ataque de phishing y qué deben hacer si se diera el caso.
  • Pon a prueba la eficacia del curso: Los ataques de phishing simulados te ayudarán a determinar la eficacia del curso de concienciación del personal y a saber qué empleados podrían necesitar más formación. Además, un poco de phishing no malicioso entre amigos puede ser divertido. 😉
  • Usa la autenticación de dos factores cuando sea posible: Si los criminales roban tus credenciales, no podrán usarlas sin los medios de autenticación secundaria (SMS, aplicación de autenticación, token de hardware, etc.).

 

Resumen

Quizá hayan pasado veinte años, pero el phishing sigue siendo una amenaza por dos motivos: es fácil ponerlo en marcha y funciona. Por tanto, si te encuentras con un mensaje emergente o emails sospechosos de alguien que no conoces (¿un príncipe desesperado, tal vez?) o de una marca que no usas… ¡no hagas clic en él! No querrás filtrar tu información a algún hacker que esté al otro lado.

Nunca se es demasiado cauteloso a la hora de usar Internet. Escoge proveedores que cuiden al máximo la privacidad y la seguridad de tus datos personales, toma medidas de prevención y asegúrate de que no hay nada sospechoso cuando hagas compras online o introduzcas nombres de usuario y contraseñas.

Cuando aprendas a identificar los intentos de phishing, podría incluso ser entretenido llevar un control de los mejores y los peores ejemplos. Algunos serán impresionantemente realistas, pero otros son simple y llanamente malos.

¿Tienes preguntas sobre el phishing que no hayamos visto en esta publicación? Envíanoslas por Twitter.