Los ataques de phishing son correos electrónicos fraudulentos, mensajes de texto, llamadas telefónicas o sitios web diseñados para engañar a los usuarios para descargar malware, compartir información confidencial o datos personales (p. ej., seguridad social y números de tarjetas de crédito, números de cuenta bancaria, credenciales de inicio de sesión) u otras acciones que expongan a sus organizaciones.
El éxito de los ataques de phishing suele dar lugar a robos de identidad, fraudes con tarjetas de crédito, ataques de ransomware, filtraciones de datos y enormes pérdidas económicas para particulares y empresas.
El phishing es el tipo más común de ingeniería social, la práctica de engañar, presionar o manipular a las personas para enviar información o activos a las personas equivocadas. Los ataques de ingeniería social se basan en el error humano y en tácticas de presión para tener éxito. El agresor suele hacerse pasar por una persona u organización en la que la víctima confía, por ejemplo, un compañero de trabajo, un jefe, una empresa con la que la víctima o su empleador hacen negocios, y crea una sensación de urgencia que lleva a la víctima a actuar precipitadamente. Los hackers y los estafadores utilizan estas tácticas porque es más fácil y menos costoso engañar a la gente que piratear un ordenador o una red.
Según el FBI, los correos electrónicos de suplantación de identidad son el método de ataque o vector más popular utilizado por los piratas informáticos para entregar ransomware a personas y organizaciones. El informe Cost of a Data Breach 2022 de IBM descubrió que la suplantación de identidad es la segunda causa más común de violación de datos (frente a la cuarta más común del año pasado) y que las filtraciones de datos causadas por la suplantación de identidad fueron las más caras, con un costo promedio de 4,91 millones de dólares a las víctimas.
El phishing masivo por correo electrónico es el tipo más común de ataque de phishing. Un estafador crea un mensaje de correo electrónico que parece provenir de una empresa u organización legítima grande y conocida (un banco nacional o global, un gran minorista en línea, los creadores de una aplicación de software o aplicación popular) y envía el mensaje a millones de destinatarios. El phishing de correo electrónico masivo es un juego de números: cuanto mayor o más popular sea el remitente suplantado, mayor será el número de destinatarios que probablemente sean clientes, suscriptores o miembros.
Los ciberdelincuentes hacen todo lo posible para que el correo electrónico de phishing parezca legítimo. Por lo general, incluyen el logotipo del remitente suplantado en el correo electrónico y enmascaran la dirección de correo electrónico del remitente para incluir el nombre de dominio suplantado; algunos incluso falsificarán el nombre de dominio del remitente.g., utilizando 'rnicrosoft.com' en lugar de 'microsoft.com', para parecen reales de un vistazo.
La línea de asunto aborda un tema que el remitente suplantado podría abordar de manera creíble y que apela a emociones fuertes (miedo, codicia, curiosidad, sentido de urgencia o presión de tiempo) para llamar la atención del destinatario. Las líneas de asunto típicas incluyen "Actualice su perfil de usuario", "Problema con su pedido", "Sus documentos de cierre están listos para firmar", "Su factura está adjunta".
El cuerpo del correo electrónico le indica al destinatario que realice una acción que parezca perfectamente razonable y coherente con el tema, pero que dará lugar a que el destinatario divulgue información confidencial (números de seguro social, números de cuentas bancarias, números de tarjetas de crédito, credenciales de inicio de sesión) o descargue un archivo que infecte el dispositivo o la red del destinatario.
Por ejemplo, los destinatarios pueden ser dirigidos a "hacer clic aquí para actualizar su perfil", pero el hipervínculo subyacente los lleva a un sitio web falso que los engañe a introducir sus credenciales de inicio de sesión reales como parte del proceso de actualización del perfil. O se les puede pedir que abran un archivo adjunto que parezca legítimo (por ejemplo, 'factura20.xlsx'). pero que envía malware o código malicioso al dispositivo o la red del destinatario.
El spear phishing es un ataque de phishing que se dirige a una persona específica. Normalmente, una persona que tiene acceso privilegiado a datos confidenciales o recursos de red, o autoridad especial que el estafador puede explotar con fines fraudulentos o propensos.
Un spear phisher selectivo estudia al objetivo para recopilar la información necesaria para hacerse pasar por una persona o entidad en la que el objetivo realmente confía (un amigo, jefe, compañero de trabajo, colega, proveedor de confianza o institución financiera) o para hacerse pasar por el individuo objetivo. Los medios de comunicación social y las redes sociales, donde la gente felicita públicamente a sus compañeros de trabajo, promociona a colegas y proveedores, y tiende a compartir excesivamente información sobre reuniones, eventos o planes de viaje, se han convertido en ricas fuentes de información para la investigación del spear phishing.
Con esta información, el spear phisher puede enviar un mensaje con datos personales específicos o información financiera y una petición creíble al objetivo: "Sé que esta noche te vas de vacaciones, pero ¿puedes pagar esta factura (o transferir XXXXX,XX dólares a esta cuenta) antes del cierre de la jornada laboral?
Un ataque de spear phishing dirigido a un ejecutivo de alto nivel, a una persona adinerada o a algún otro objetivo de alto valor suele denominarse ataque de suplantación de identidad o caza de ballenas.
BEC es una clase de ataque de suplantación de identidad espear que intenta robar grandes sumas de dinero o una información extremadamente valiosa, p.ej. secretos comerciales, datos de clientes, información financiera de empresas o instituciones.
Los ataques BEC pueden adoptar diferentes formas. Dos de las más comunes son las siguientes:
Fraude a un director ejecutivo: el estafador se hace pasar por la cuenta de correo electrónico de un ejecutivo de nivel superior o la piratea directamente y envía un mensaje a un empleado de nivel inferior indicándole que transfiera fondos a una cuenta fraudulenta, realice una compra a un proveedor fraudulento o envíe archivos a una persona no autorizada.
Compromiso de la cuenta de correo electrónico (EAC): aquí el estafador obtiene acceso a la cuenta de correo electrónico de un empleado de nivel inferior (p. ej., un gestor de finanzas, ventas o I+D) y lo utiliza para enviar facturas fraudulentas a proveedores, dar instrucciones a otros empleados para que realicen pagos o fraudulentos o datos confidenciales a datos confidenciales.
Como parte de estos ataques, los estafadores suelen obtener acceso a las cuentas de correo electrónico de la empresa enviando a un ejecutivo o empleado un mensaje de spear phishing que le engaña para que divulgue las credenciales de la cuenta de correo electrónico (nombre de usuario y contraseña). Por ejemplo, un mensaje como "Su contraseña está a punto de caducar. Haga clic en este enlace para actualizar su cuenta" puede ocultar un enlace malicioso a un sitio web falso diseñado para robar información de la cuenta.
Independientemente de las tácticas utilizadas, los ataques BEC exitosos se encuentran entre los ciberataques más costosos. En uno de los ejemplos más conocidos de BEC, los hackers que suplantaron a un director general convencieron al departamento financiero de su empresa a transferir 42 millones de euros a una cuenta bancaria fraudulenta..
El phishing por SMS, o smishing, es phishing mediante mensajes de texto móviles o teléfonos inteligentes. Los esquemas de smishing más efectivos son contextuales, es decir, relacionados con la gestión de cuentas de teléfonos inteligentes o las aplicaciones. Por ejemplo, los destinatarios pueden recibir un mensaje de texto que ofrezca un regalo como "agradecimiento" por pagar una factura inalámbrica, o pedirles que actualicen la información de su tarjeta de crédito para seguir usando un servicio de transmisión multimedia.
El phishing por voz, o vishing, es el phishing mediante una llamada telefónica. Gracias a la tecnología de voz sobre IP (VoIP), los estafadores pueden hacer millones de llamadas de vishing automatizadas al día; a menudo utilizan la suplantación de ID de la persona que llama para que sus llamadas aparezcan como si se hacen desde organizaciones legítimas o números de teléfono local. Las llamadas violentas suelen asustar a los destinatarios con advertencias de problemas de procesamiento de tarjetas de crédito, pagos atrasados o problemas con el IRS. Las personas que llaman terminan proporcionando datos confidenciales a las personas que trabajan para los ciberdelincuentes; algunos incluso terminan otorgando el control remoto de sus computadoras a los estafadores al otro lado de la llamada telefónica.
La suplantación de identidad en redes sociales emplea varias capacidades de una plataforma de redes sociales para suplantar información confidencial de los miembros. Los estafadores utilizan las funciones de mensajería propias de las plataformas, por ejemplo, Messenger de Facebook, Mensajes de LinkedIn o InMail, MD de Twitter, de forma muy parecida a como utilizan el correo electrónico y los mensajes de texto normales. También envían a los usuarios correos electrónicos de phishing que parecen provenir del sitio de redes sociales, pidiendo a los destinatarios que actualicen las credenciales de inicio de sesión o la información de pago. Estos ataques pueden ser especialmente costosos para las víctimas que utilizan las mismas credenciales de inicio de sesión en múltiples sitios de redes sociales, una "peor práctica" común.
Aplicación o mensajería dentro de la aplicación. Las aplicaciones populares para dispositivos móviles y las aplicaciones basadas en web (software como servicio o SaaS) envían correos electrónicos a sus usuarios con regularidad. Como resultado, estos usuarios están preparados para campañas de phishing que falsifican correos electrónicos de proveedores de aplicaciones o software. Nuevamente jugando al juego de los números, los estafadores normalmente falsificarán correos electrónicos de las aplicaciones web y aplicaciones más populares, por ejemplo. PayPal, Microsoft Office 365 o Teams, para aprovechar al máximo su inversión en phishing.
Se anima a las organizaciones a enseñar a los usuarios a reconocer las estafas de phishing y a desarrollar las mejores prácticas para tratar cualquier correo electrónico sospechoso y mensaje de texto. Por ejemplo, se puede enseñar a los usuarios a reconocer estos y otros rasgos característicos de los correos electrónicos de phishing:
- Solicitudes de información confidencial o personal, o para actualizar el perfil o la información de pago
- Solicitudes para enviar o mover dinero
- Archivos adjuntos que el destinatario no solicitó ni esperaba
- Una sensación de urgencia, ya sea flagrante ("Su cuenta se cerrará hoy...") o sutil (por ejemplo, la petición de un compañero de que pague una factura inmediatamente) amenazas de cárcel u otras consecuencias poco realistas.
- Amenazas de cárcel u otras consecuencias poco realistas
- Mala ortografía o gramática
- Dirección de remitente incoherente o falsificada
- Enlaces acortados usando Bit.Ly o algún otro servicio de acortamiento de enlaces
- Imágenes de texto utilizadas en lugar de texto (en mensajes o en páginas Web vinculadas a mensajes)
Esta es solo una lista parcial; lamentablemente, los hackers siempre están diseñando nuevas técnicas de phishing para evitar mejor la detección. Las publicaciones como el Informe trimestral de actividad de tendencias de phishing del grupo de trabajo antiphishing (enlace externo a ibm.com) pueden ayudar a las organizaciones a mantener el ritmo.
Las organizaciones también pueden fomentar o aplicar buenas prácticas que presionen menos a los empleados para que se conviertan en detectives del phishing. Por ejemplo, las organizaciones pueden establecer y comunicar políticas clarificadoras: por ejemplo, un superior o colega nunca enviará por correo electrónico una solicitud de transferencia de fondos. Pueden exigir a los empleados que verifiquen cualquier solicitud de información personal o confidencial poniéndose en contacto con el remitente o visitando directamente el sitio legítimo del remitente, utilizando medios distintos a los proporcionados en el mensaje. Y pueden insistir en que los empleados informen de intentos de phishing y correos electrónicos sospechosos al grupo de TI o Seguridad.
A pesar de la mejor formación de usuarios y rigurosas prácticas recomendadas, los usuarios siguen cometiendo errores. Afortunadamente, varias tecnologías establecidas y emergentes de seguridad de redes y puntos finales pueden ayudar a los equipos de seguridad a captar la batalla contra el phishing cuando la formación y la política se abandonan.
Los filtros de spam y el software de seguridad del correo electrónico utilizan datos sobre estafas de phishing existentes y algoritmos de aprendizaje automático para identificar los correos electrónicos sospechosos de phishing (y otros correos basura), luego moverlos a una carpeta independiente y deshabilitar los enlaces que contengan.
El software antivirus y antimalware detecta y neutraliza archivos o códigos maliciosos en correos electrónicos de phishing.
La autenticación multifactor requiere al menos una credencial de inicio de sesión, además de un nombre de usuario y una contraseña, por ejemplo, un código de un solo uso enviado al teléfono celular del usuario. Al proporcionar una última línea de defensa adicional contra las estafas de phishing u otros ataques que logran comprometer las contraseñas, la autenticación multifactor puede socavar los ataques de phishing con arpón y prevenir los BEC.
Los filtros web evitan que los usuarios visiten sitios web maliciosos conocidos (sitios en la lista negra) y muestran alertas cada vez que los usuarios visitan sitios web sospechosos de ser maliciosos o falsos.
Soluciones de ciberseguridad empresarial, por ejemplo Orquestación, automatización y respuesta de seguridad (SOAR), gestión de eventos e información de seguridad (SIEM), detección y respuesta de endpoints (EDR), detección y respuesta de red (NDR) y detección y respuesta extendidas (XDR):combinan las tecnologías anteriores y otras con Inteligencia de amenazas continuamente actualizada y capacidades de respuesta automatizada a incidencias. Estas soluciones pueden ayudar a las organizaciones a prevenir estafas de phishing antes de que lleguen a los usuarios y limitar el impacto de los ataques de phishing que superan las defensas tradicionales de los terminales o de la red.
Detecte amenazas avanzadas que otros simplemente pasan por alto. QRadar SIEM aprovecha la analítica y la IA para monitorizar la información sobre amenazas, anomalías en la red y comportamiento de los usuarios, y para priorizar las áreas que requieren atención y acción inmediatas.
IBM Trusteer Rapport ayuda a las instituciones financieras a detectar y prevenir infecciones de programas maliciosos y ataques de suplantación de identidad protegiendo a sus clientes minoristas y de empresa.
Proteja los endpoints de los ciberataques, detecte comportamientos anómalos y corríjalos prácticamente en tiempo real con esta solución de detección y respuesta de endpoints (EDR) sofisticada pero fácil de usar.
Manténgase al día de las noticias, tendencias y técnicas de prevención del phishing en Security Intelligence, el blog de liderazgo intelectual de IBM Security.
El ransomware es una forma de malware que amenaza con destruir o retener los datos o archivos de la víctima a menos que se pague un rescate al atacante para desencriptar y restaurar el acceso a los datos.
En su 17ª edición, este informe comparte los últimos datos sobre el creciente panorama de las amenazas y ofrece recomendaciones para ahorrar tiempo y limitar las pérdidas.