Cyberpedia

Phishing

¿Qué es el phishing?

Quizás alguna vez recibiste un mensaje de texto que te indicaba que era necesario que cambiaras la clave de ingreso al sitio Web de tu banco junto a un link donde realizar el trámite, o talvez te llegó un correo electrónico señalando que tu cuenta de Netflix había sido suspendida y que debías actualizar el método de pago haciendo clic en un link ¿Te suena familiar? Pues se trata de un tipo de phishing.

Esta es una técnica que utiliza la ingeniería social para engañar a las personas a través de mensajes fraudulentos que son difundidos mediante canales digitales como correos electrónicos, sitios Web, SMS o Whatsapp, entre otros, con el fin de manipularlas para que revelen información confidencial o realicen determinadas acciones.

El término phishing proviene de la palabra “fishing” en inglés, que significa “pesca”, haciendo alusión a la idea de lanzar un anzuelo para que las víctimas lo muerdan, ya que es necesario hacer clic en enlaces o abrir documentos que contienen un malware encubierto para que este tipo de mensajes tenga éxito.

¿Cuál es el objetivo principal del phishing?

  • Robar tus datos personales, credenciales y/o comerciales.
  • Infiltrar un malware o ransomware en los dispositivos que utilizas para solicitar un rescate.
  • Suplantar la identidad de una persona, empresa u organización para solicitar información confidencial o dinero.

¿Cómo actúa el phishing?

Para lograr que un phishing sea exitoso y sus víctimas hagan lo que se les pide, los usuarios maliciosos investigan diversas fuentes que les permiten conocer en detalle la información de una persona, marca o empresa, con el fin de suplantar su identidad, enviando mensajes focalizados que parecen legítimos y de confianza. Por lo general, el contenido de un phishing puede estar relacionado a temas bancarios, gubernamentales o comerciales, incluso suelen aprovecharse de contextos específicos (como la pandemia del Coronavirus) para engañar a las personas.

Por ejemplo, la empresa Google señaló que durante abril del 2020, en una sóla semana hubo alrededor de 18 millones de correos electrónicos diarios de malware y phishing relacionados con COVID-19, lo cual se sumó a los más de 240 millones de mensajes de spam diarios por el mismo motivo. Del mismo modo, en el primer trimestre de ese año, América Latina y el Caribe sufrieron casi 3 millones de intentos de ataques de virus/malware, muchos de los cuales están incluidos en estos archivos adjuntos en los ataques de phishing.

¡Y eso no es todo! En el 2019, Microsoft bloqueó más de 13 mil millones de correos maliciosos y sospechosos, de los cuales más de mil millones eran direcciones Web (URL) creadas con el único fin de lanzar un ataque de phishing para robar credenciales. Además,entre las cinco principales aplicaciones con más intentos de phishing se encuentran Facebook, WhatsApp, Amazon, Apple y Netflix. Así que ¡Ten mucho cuidado con los mensajes que recibes!

¿Cuáles son los tipos de phishing más comunes?

Existen diferentes tipos de phishing que ponen en riesgo tu información, pero a continuación te mencionamos algunos de los más comunes:

Phishing por correo electrónico:

Corresponde a aquellos mensajes enviados por email en los que un atacante busca llamar la atención de alguien suplantando la identidad de una empresa, persona o institución, para que entreguen información personal o corporativa. Generalmente, estos mensajes incorporan un sentido de urgencia e incluyen archivos adjuntos o enlaces que permiten dirigir a las víctimas hacia sitios Web maliciosos.

Spear phishing:

Es un tipo de phishing dirigido a una persona u organización específica que utiliza información personalizada en el mensaje, con un contenido de interés para el destinatario. Esta técnica requiere que el delincuente investigue previamente a la posible víctima para obtener información sobre esta y así poder establecer un vínculo de confianza para que realice una determinada acción sin sospechar del engaño.

Smishing:

Esta técnica hace referencia a los típicos SMS que llegan a tu teléfono para informarte sobre una situación específica que requiere que hagas clic en un enlace. Por lo general, los usuarios maliciosos se hacen pasar por alguna institución financiera, gubernamental o un servicio en el cual tengas alguna cuenta para robar credenciales o datos bancarios.

Vishing:

Es un tipo de phishing de voz, es decir, una llamada donde suplantan la identidad de una persona o institución para realizar una estafa. Esta técnica es el típico “cuento del tío” donde los atacantes engañan a las personas para robar sus datos o solicitarles dinero de una forma fraudulenta. En estos casos muchas veces el sentido de urgencia es clave, ya que solicitan realizar algo de forma inmediata, lo que puede ser un indicador de que se trata de un engaño.

Fraude del CEO:

Este tipo de fraude, también conocido como whaling phishing o “caza de ballenas”, es un mensaje dirigido a personas específicas dentro de una organización, donde el atacante finge ser el CEO de una empresa (u otro ejecutivo de alto nivel), solicitando a algún colaborador de rango inferior que le de acceso a información confidencial, a los sistemas informáticos de la organización o que realice algún tipo de transacción bancaria con urgencia. Este tipo de engaño llega a tener éxito debido a que la solicitud supuestamente es una orden directa proveniente de un superior, lo que lleva a las personas a realizar lo que se les pide.

Pharming:

Este tipo de phishing hace alusión a un sitio Web fraudulento, el cual tiene por objetivo dirigir el tráfico de los visitantes a un portal idéntico al original pero que es falso, logrando así capturar la información que los usuarios introducen en este. Este ataque, por lo tanto, funciona debido a la suplantación de una marca o entidad, donde replican el contenido de sus plataformas y la variación en la URL suele ser casi imperceptible a simple vista.

¿Cómo se puede eliminar el phishing?

Un phishing propiamente tal no se puede eliminar más allá de borrar el mensaje recibido, lo que sí puedes hacer es evitar caer en él. Si bien es cierto que los ciberdelincuentes son personas astutas que utilizan todos los medios posibles para que seas una de sus víctimas, la responsabilidad de tener cuidado y revisar la información que recibes es algo solamente tuyo.

Por eso es importante que tus dispositivos cuenten con antivirus, navegador y software actualizados, ya que esto permitirá que puedan detectar eficazmente aquellos malwares provenientes de un link o archivo adjunto en el phishing. Esto no sólo ayudará a un mejor funcionamiento de tus equipos, sino que también que sean más seguros, ya que se parchan vulnerabilidades y errores críticos en los programas que pueden ayudar a reducir los riesgos de seguridad.

Pero lo más importante de todo, es que seas una persona precavida y que ante cualquier mensaje o llamado sospechoso verifiques el contenido corroborando la información mediante un sitio Web oficial o con quien corresponda. Nuestra invitación es a informarte más sobre este tipo de amenazas y a actuar con cautela, ya que muchas veces el phishing resulta difícil de identificar.

Alerta de phishing

Sabemos que reconocer un phishing puede no ser una tarea sencilla, pues los ciberdelincuentes han ido perfeccionando sus técnicas de ingeniería social para hacer de sus mensajes un contenido lo más realista posible para que estos sean creíbles y las personas no duden de su veracidad. Por eso, a continuación te damos algunas recomendaciones para estar alerta ante este tipo de ciberataques.

¡La urgencia es enemiga de la seguridad! Si te solicitan realizar una acción de inmediato puede ser indicador de que algo anda mal, verifica siempre esa información con una fuente confiable.

¡Revisa siempre el remitente del mensaje! Esto te podrá dar una pista de si se trata de una persona o entidad legítima o no, así que observa siempre quién te envía el mensaje.

¡Cuidado si hay errores ortográficos o gramaticales! Un phishing suele contener fallas de este tipo que pueden evidenciar el engaño, ya que suelen haber descuidos en la redacción y puntuación del contenido.

¡Desconfía de los archivos adjuntos y los enlaces integrados! Este es uno de los principales recursos utilizados por los delincuentes para infectar tus equipos o robar tu información.

¡Verifica siempre las URL! Muchas veces un sitio Web parece legítimo pero son enlaces modificados que contienen variaciones sutiles que pasan desapercibidas a simple vista.

Ransomware

¿Qué son los ransomware?

Probablemente hayas visto algunas películas donde se secuestra a una persona y los delincuentes exigen una suma de dinero a cambio de liberar a la víctima, pues algo similar sucede con los ransomware, ya que que estos softwares maliciosos encriptan la información de tus equipos, exigiéndote el pago de un rescate para que puedas volver a disponer de ella.

Este tipo de malware generalmente se distribuye a través de sitios Web fraudulentos, enlaces o archivos adjuntos enviados mediante un phishing, los cuales infectan nuestros dispositivos para que los usuarios maliciosos puedan tomar el control, bloqueando así el acceso del usuario.

El término ransomware está compuesto por las palabras en inglés “ransom”, que significa rescate y “ware” como abreviación de “software”, por lo que se hace alusión al “secuestro de datos”, el cual constituye aproximadamente el 18% de los incidentes de seguridad relacionados a una infección por códigos maliciosos en Latinoamérica.

¿Cuál es el objetivo principal del ransomware?

  • Tomar el control de tus equipos de forma remota.
  • Cifrar tu información o archivos para exigir un rescate.
  • Obtener dinero a partir de la extorsión.

¿Cómo funciona el ransomware?

Un ransomware puede adoptar múltiples formas para infiltrarse en tus dispositivos, una de las más comunes es a través de mensajes enviados por correo electrónico donde mediante técnicas de ingeniería social, los usuarios maliciosos buscan manipular a las personas para que hagan clic en un enlace o descarguen un archivo adjunto.

Al realizar esta acción, la víctima sin saberlo le abre la puerta a los atacantes, quienes de forma remota intervienen para evitar que puedan acceder a sus archivos o a sus dispositivos, pidiendo un rescate a cambio de la contraseña que les permitiría recuperar sus datos. En ese momento, aparece un mensaje en la pantalla que solicita un pago que generalmente es en bitcoins u otros tipos de criptomonedas que hacen más complejo el rastreo de quien lo cobra.

De esta forma, los ciberdelincuentes se aprovechan del pánico y desesperación de las personas para extorsionarlas e incitarlas a que realicen la transacción, ya que es posible que mediante el acceso al dispositivo de una sola persona, estos sean capaces de encriptar, cifrar o bloquear los datos de los servidores o de la red corporativa de una empresa, imposibilitando el acceso a todos los usuarios.

Sin embargo, pagar no garantiza la solución, así es que ¡No lo hagas!

¿Cuáles son los tipos de ransomware más comunes?

Existen diferentes ransomware y hay más de 50 familias de este tipo de malware en circulación, pero aquí te nombraremos dos de los más comunes para que sepas un poco más sobre ellos:

LockScreen:

Esta fue una de las primeras formas de ransomware, el cual se enfoca en impedir el acceso al sistema de un dispositivo a través del bloqueo de pantalla en vez de afectar directamente los archivos, donde aparece un mensaje que puede incluir un temporizador con una cuenta regresiva o una demanda de rescate en aumento.

Crypto Ransomware:

También se le conoce como filecoder y su objetivo es cifrar los archivos de un equipo para evitar que la víctima pueda acceder a ellos. Este es considerado uno de los más peligrosos ya que resulta casi imposible poder recuperar la información a menos que se pague el rescate, sin embargo no hay ninguna garantía de que los ciberdelincuentes realmente entreguen la contraseña o que esta funcione.

Un dato adicional, es que el 2017 se incorporó una nueva característica a este tipo de ataques, ya que surgió la posibilidad de que se propagaran e infectaran sistemas con vulnerabilidades explotables, siendo WannaCry uno de los casos más emblemáticos, ya que afectaba el sistema operativo Windows de Microsoft, cifrando los datos y exigiendo un pago por su devolución.

Este ataque fue considerado como una epidemia global que se expandió en alrededor de 150 países y unos 230.000 computadores fueron infectados en todo el mundo; siendo la empresa Telefónica una de las más perjudicadas.

¿Qué es un ataque ransomware?

Un ataque ransomware consiste en un malware que puede bloquear tus dispositivos o cifrar tus archivos, donde los delincuentes te piden pagar un rescate para recuperar tu información.

El primer ransomware conocido se denominó AIDS (AIDS Information Introductory Diskette) en 1989 y fue difundido mediante disquetes, engañando a los usuarios sobre su contenido que hacía alusión al SIDA para poder cifrar el disco duro de sus computadores.

No fue sino hasta el 2005 que apareció el ransomware enfocado en la extorsión propiamente tal y posteriormente se empezaron a utilizar métodos de cifrado más complejos que comenzaron a causar daños en múltiples plataformas.

En la actualidad, los ataques de ransomware dirigidos a las empresas son aquellos que han tenido mayor aumento, ya que los usuarios maliciosos saben que es más probable que una compañía realice el pago para que no se vea afectada la continuidad de sus operaciones a que lo haga una persona en particular.

Sólo en América Latina se registró más de un millón de intentos de ataques de ransomware durante el periodo de enero y septiembre del 2020, lo cual significa un promedio de 5.000 ataques por día; siendo las empresas, entidades gubernamentales y sectores industriales críticos unos de los principales focos de ataque.

¿Cómo evitar un ataque de ransomware?

Tu información o la de tu empresa es uno de los activos más valiosos para los ciberdelincuentes, por eso para protegerla y evitar ser víctima de un ransomware, te recomendamos lo siguiente:

¡Una copia de seguridad puede salvar tu información! Respaldar tus datos en la nube y en un dispositivo externo es una de las mejores formas de estar prevenido ante este tipo de ciberataques, ya que te permitirá poder restaurar tus archivos sin la necesidad de pagar un rescate por ellos.

¡Mantén el antivirus y software de tus equipos actualizados! Los update incluyen soluciones o parches de seguridad que pueden actuar como barrera de defensa para impedir que el sistema operativo se vea infectado.

¡Desconfía de los enlaces y archivos adjuntos! Estos pueden ser enviados desde supuestas cuentas de conocidos, empresas u organizaciones para distribuir este tipo de malware y tomar el control de tus equipos.

¡Navega sólo en sitios Web seguros! Evita acceder a páginas desconocidas o con contenido no verificado, ya que podrían ser utilizadas como un medio para acceder a tus dispositivos.

¡No pagues el rescate! Nada te asegura que a partir del pago a los atacantes podrás recuperar los datos cifrados. Además, si lo haces, estarás fomentando este tipo de delitos, ya que los usuarios maliciosos tendrán éxito y seguirán realizando este tipo de prácticas.

¿Cómo puedo eliminar un ransomware?

Afortunadamente, si has sido víctima de un ransomware, existe una iniciativa llamada “No More Ransom”, la cual a través de una plataforma Web informa y orienta sobre qué hacer en el caso de que nuestra información o equipos sean secuestrados, haciendo un llamado al no pago del rescate.

En este portal podrás encontrar información relevante sobre esta temática y algunas herramientas de cifrado que podrían ayudarte a recuperar tus datos, ya que de forma gratuita ofrecen la solución para unos 100 tipos diferentes de infecciones de ransomware y se encuentra disponible en más de 30 idiomas.

De todos modos, si sufres este tipo de ataque, te recomendamos denunciar el delito a la policía local para que hagan una investigación al respecto y te orienten sobre los pasos a seguir.

Ingeniería social

¿Cuál es el significado de la ingeniería social?

Tal como en una escena teatral con máscaras que ocultan y simulan una identidad diferente a la persona, la ingeniería social se basa en estas caretas o fachadas a través de las cuales engañan a las personas para manipularlas con la finalidad de obtener información confidencial o persuadirlas para que realicen una determinada acción.

Este método es utilizado a través de diversos tipos de ataques como el phishing, mediante los cuales se envían mensajes que parecen legítimos y de confianza para que las víctimas confíen en el contenido, lo que las lleva muchas veces a hacer clic en los enlaces o archivos maliciosos que se encuentran adjuntos, permitiéndole a los delincuentes robar su información.

El término ingeniería social proviene del hecho de que, a diferencia de otro tipo de ciberataques que se centran en las brechas de seguridad a nivel tecnológico o de procesos, este método se aprovecha de la vulnerabilidad de los seres humanos a través de una manipulación psicológica para lograr que las personas hagan lo que se les pide sin mayores cuestionamientos.

¿Cuál es el objetivo principal de la ingeniería social?

  • Engañar a las personas para que sientan confianza y no duden de la autenticidad de la información que le hacen llegar los ciberdelincuentes.
  • Manipular a la víctima con el fin de que realice una determinada acción de forma voluntaria.
  • Obtener datos confidenciales o infiltrar un malware.

¿Cómo funciona la ingeniería social?

Los usuarios maliciosos utilizan la ingeniería social como una de las principales armas para realizar un ataque, ya que es un método de bajo costo que sólo depende de la interacción humana para que tenga éxito, lo cual tiene que ver con la naturaleza curiosa y emocional de las personas.

Pero para que eso sea posible, los delincuentes realizan una investigación minuciosa sobre las identidades que suplantarán y las víctimas a las cuales dirigirán sus ataques. Es ahí donde actualmente las redes sociales cumplen un rol protagónico, ya que son la principal fuente de información a la que pueden acceder para saber más sobre nuestras vidas y nuestro trabajo.

Una vez que obtienen esos datos, utilizan una "carnada" para llamar la atención de las posibles víctimas a través de mensajes llamativos que suelen contener un tono de urgencia o sorpresa, pidiéndoles que hagan clic en un enlace, descarguen un archivo o realicen una transacción bancaria sin que se percaten del engaño.

Por eso, el rol que juegan cada uno de nosotros como una de las principales barreras de defensa ante ciberataques es fundamental, ya que el 80% de los incidentes de ciberseguridad se deben a errores humanos.

¿Cuáles son los tipos de ataques de ingeniería social más comunes?

Existen diferentes ataques en los que se utiliza ingeniería social y este método es uno de los tres principales vectores de ataques y causantes de incidentes de seguridad reportados por empresas en Latinoamérica durante el 2019, por lo que te mencionamos algunas de las técnicas más comunes de este tipo:

Phishing: este consiste en mensajes que contienen enlaces o archivos maliciosos que son distribuidos mediante correos electrónicos o SMS, aparentando ser de confianza para engañar a las personas e inducirlas a realizar una acción en particular. Para saber más sobre este tipo de ataques visita nuestra sección sobre phishing.

Spear Phishing: es un tipo de phishing pero enfocado en ataques dirigidos hacia personas específicas, por lo que los delincuentes hacen una investigación previa sobre sus víctimas para personalizar los mensajes y hacerlos más creíbles. Si te interesa profundizar en este contenido, puedes leer más sobre el tema en nuestra sección spear phishing.

Spoofing: se refiere específicamente a la suplantación de identidad, ya sea de una persona, empresa u organización, donde los atacantes falsifican información haciéndose pasar por estas, para generar credibilidad en sus mensajes y así poder robar datos confidenciales o dinero. Conoce más sobre esta técnica en nuestra sección sobre spoofing.

Vishing: esta técnica consiste en una estafa realizada mediante una llamada telefónica en la que los delincuentes manipulan a las personas ganándose su confianza para que entreguen información sensible o realicen un pago.

Smishing: es un mensaje de texto (SMS) que envía los atacantes a las posibles víctimas, donde falsifican la identidad de alguna institución o empresa para que ingresen a un enlace malicioso para poder robarles sus datos.

Si bien este método de ataque por lo general busca robar ciertas credenciales de las cuentas de las personas, es importante señalar también que muchos usuarios suelen utilizarlas, por lo que a partir de una sola contraseña podrían ingresar a las diversas plataformas que utilices, así que ¡utiliza siempre diferentes passwords!

¿Cuál es un ejemplo de ingeniería social?

Uno de los ejemplos más comunes de un ataque de ingeniería social es la suplantación de identidad de instituciones financieras, donde a través de campañas de phishing los delincuentes envían mensajes como si fuera un banco o un ejecutivo de este, solicitando que verifiques tus datos o que revises alguna información como, por ejemplo, un supuesto beneficio que has recibido.

Este contenido suele ser llamativo, con un tono cordial y cercano, buscando generar un impacto psicológico inicial para luego manipularte y hacer que hagas clic en un enlace, el cual te redirigirá a una página de iguales características a las de la entidad bancaria, por lo que resulta muy difícil percatarse de que se trata de una suplantación de identidad dada las similitudes del mensaje con aquellos originales.

Además, cuando este tipo de mensajes es enviado vía correo electrónico, los atacantes suelen utilizar los mismos formatos y logos institucionales, lo que genera confianza en las personas, reduciendo las sospechas al aparentar ser legítimo.

De esta forma, al entrar, puede que te pidan corroborar los datos de tu tarjeta de coordenadas o tus tarjetas de crédito donde, sin saberlo le estarás regalando en bandeja tu información bancaria a los delincuentes para que roben tu dinero sin que te percates de ello.

¿Cómo evitar un ataque de ingeniería social?

Tal vez pienses que tú nunca caerás en ese tipo de fraudes, pero la verdad es que muchas veces el ritmo acelerado de nuestro día a día sumado a un hecho noticioso o una urgencia, puede hacernos vulnerables a la ingeniería social si no tomamos una postura crítica ante la información que recibimos. Para eso, es importante que actúes de forma preventiva, siguiendo recomendaciones como las siguientes:

¡La desconfianza es la madre de la seguridad! Entre más desconfiado eres ante correos, mensajes de texto o sitios Web sospechosos, más protegido estarás frente a posibles ataques y más seguros estarán tus datos.

¡Verifica siempre la información! Es importante que corrobores el contenido de mensajes, llamadas o correos electrónicos directamente con las personas involucradas o en los sitios Web oficiales, esto te permitirá saber si son auténticos o no.

¡No hagas clic en cualquier enlace! Si un mensaje contiene un hipervínculo revisa siempre la URL de destino posicionando el cursor sobre éste para que aparezca el sitio Web real al que te redireccionará.

¡No te dejes llevar por la curiosidad! Los ciberdelincuentes saben que un asunto o mensaje llamativo puede ser la carnada perfecta para que muerdas el anzuelo, así que trata de revisar la información con detención antes de reaccionar y actuar.

¡Pon la mirada en el remitente! Un mensaje que incluya un nombre real no asegura que sea auténtico, por eso es importante revisar siempre el contacto que nos envía un mensaje para estar seguros de su procedencia.

¡Menos es más! Evita compartir detalles de tu información personal en redes sociales, esto te permitirá proteger tu perfil y tus datos confidenciales para que no sean utilizados por ciberdelincuentes.

¡Un archivo adjunto puede ser peligroso! A menos que tú lo hayas solicitado, no descargues documentos adjuntos en mensajes ya que pese a parecer de confianza, podrían contener un malware que infecte tus equipos.

Spear phishing

¿Qué es el spear phishing?

El spear phishing es como si un delincuente te tuviera en la mira y supiera todo de ti antes de apretar el gatillo ¿suena tenebroso? Pues lo es, ya que esta técnica consiste en realizar una investigación exhaustiva de las víctimas para asegurarse de que estén todas las condiciones para dar en el blanco a través del mensaje que se les envía, el cual utiliza la autoridad como principal fuente de confianza.

Este tipo de estafa utiliza la ingeniería social para realizar un ataque dirigido a determinadas personas o empresas, con el fin de obtener información valiosa o pedir que se realice una transferencia de dinero de forma urgente por una situación que parece real debido al contenido personalizado del mensaje, pero que en el fondo se trata de un engaño.

El término spear phishing se podría traducir en algo como "pesca con arpón", haciendo referencia al hecho de que se lanza un ataque focalizado con un objetivo específico, lo cual dificulta el hecho de percatarse de que se trata de un fraude por lo convincente y familiar que resulta la información que se recibe.

¿Cuál es el objetivo principal del spear phishing?

  • Manipular a las personas para obtener datos confidenciales de esta o de una empresa en particular.
  • Obtener sumas de dinero a partir de una información engañosa.
  • Infiltrar un malware para robar información sensible o secuestrarla a través de un ransomware.

¿Cómo funciona el spear phishing?

Para realizar un ciberataque de spear phishing, los delincuentes primero identifican a las víctimas potenciales y realizan una investigación meticulosa sobre estas para conocer más detalles de su vida y entorno, con el fin de obtener todos los antecedentes necesarios para elaborar un mensaje focalizado y adecuado al perfil de la persona.

A partir de la información recopilada en este estudio y del análisis de esos datos que podrían haber involucrado la compañía en la cual la persona trabaja, los atacantes personalizan el contenido de lo que se le enviará para hacer más imperceptible el engaño y que sea más susceptible a este.

Un usuario malicioso podría hacerse pasar por instituciones bancarias, familiares, colegas e incluso alguien de un cargo superior de tu empresa, incorporando información relacionada a tus intereses o a tu rol en particular dentro de una organización, lo que aumenta las probabilidades de caer en el fraude y de que respondas a los requerimientos que se te hacen.

También puede que se aprovechen de situaciones específicas como las vacaciones de tu jefe, un nuevo cliente o proveedor, cualquier cosa que pueda hacerte actuar sin que sospeches de que se trata de un spear phishing Por eso es importante que ante solicitudes urgentes, verifiques siempre la situación con la persona o entidad involucrada para así evitar ponerte en riesgo.

¿Cuáles son los tipos de spear phishing más comunes?

Como el spear phishing es un ataque focalizado, es sumamente complejo identificarlo y percatarse de que se trata de una estafa que, por lo general, está dirigida a estos dos tipos de víctimas:

Ataque individual de spear phishing:

Los atacantes suplantan la identidad de una empresa o persona en la que la persona confía, enviándole un correo en el que se le solicita, por ejemplo, confirmar una transacción o revisar una determinada información. Su objetivo principal es que la víctima lea el mensaje y haga clic en el enlace malicioso para robar su información confidencial y a partir de esto, posiblemente también su dinero.

Business spear phishing:

Dentro este tipo de ataques se encuentra el también conocido como fraude del CEO, donde los ciberdelincuentes se centran en personas que trabajan en una empresa determinada para enviarles un correo electrónico a nombre de un ejecutivo de un cargo más alto, pidiéndoles que le transfieran dinero o le proporcionen ciertas contraseñas o información confidencial de la compañía como si fuera un requerimiento urgente.

Aproximadamente un 90% de los ciberataques y las violaciones de datos comienzan con un correo electrónico de spear phishing ¡No seas uno más de los que cayó en esta trampa!

¿Cuál es un ejemplo de spear phishing?

Uno de los ataques más efectivos dentro de la técnica de spear phishing es el fraude del CEO, porque ¿quién podría desconfiar de una solicitud urgente de un ejecutivo superior? Quizás estés pensando que a tí no te engañarían con algo así, pero créenos, es algo más frecuente de lo que uno quisiera.

Imagina que un día después del almuerzo, llegas a tu lugar de trabajo para revisar la bandeja de entrada de tu correo electrónico. De pronto notas que hay un mensaje de tu jefe y que en el asunto dice que es algo urgente, lo que te hace abrirlo de inmediato ya que él se fue de vacaciones hace unos días y te dejó a tí a cargo.

Al ver el contenido, ves que tu supuesto jefe te solicita que le transfieras una suma de dinero a la brevedad, diciéndote que luego te explicará los detalles pero que lo hagas cuanto antes ¿qué harías? revisas el remitente y parece legítimo y sabes que tu puesto puede estar en juego ante este requerimiento.

Ese es el escenario al que muchas personas se suelen enfrentar al ser víctimas de un spear phishing donde, por lo general, acceden a realizar lo que se les pide debido a lo apremiante de la situación, por lo que o hacen las gestiones de la transferencia o hacen clic en algún enlace malicioso que los ciberdelincuentes han insertado en el correo.

Además, la tecnología ha evolucionado de tal forma que los atacantes podrían llamarte utilizando un software basado en inteligencia artificial (IA) para imitar la voz del CEO de tu empresa, lo que haría aún más difícil detectar la estafa o pensar lo suficiente para determinar qué hacer al respecto.

¿Cómo evitar un spear phishing?

El spear phishing es uno de los tipos de ataques más difíciles de detectar, ya que al ser dirigidos y personalizados de acuerdo a una víctima en particular, los mensajes suelen ser cercanos y convincentes. Para evitar caer en el engaño, te recomendamos tener en cuenta lo siguiente:

¡No todo es lo que parece! Revisa siempre el remitente de los mensajes, la mayoría de las veces los delincuentes utilizan una sutil variante del correo original para que a simple vista no se note el cambio.

¡Piensa antes de hacer clic! Un sólo enlace o archivo adjunto podría desencadenar un desastre si se trata de un malware que robará o secuestrará tu información.

¡Que la urgencia no te abrume! Puede que estos mensajes te den la sensación de estar contra el reloj, pero actuar de forma precipitada puede costarte muy caro.

¡Nunca reveles información confidencial! A menos de que estés 100% seguro de quién te solicita ciertos datos sobre ti o la empresa en la que trabajas, no respondas esos mensajes.

¡Acude a la primera fuente! Ante solicitudes urgentes, corrobora siempre la información contactándote con la persona o entidad involucrada a través de otro canal.

Spoofing

¿Qué es el spoofing?

El spoofing es una de las técnicas de fraude más antiguas de la humanidad ¡aunque no lo creas! Consiste en un engaño donde los delincuentes se hacen pasar por alguna persona, empresa u organización conocida para robar tus datos o, en el peor de los casos, tu dinero.

Antes, quienes querían cometer este tipo de estafas tenían que disfrazarse de otra persona y acercarse físicamente a las víctimas. Pero ahora, con las nuevas tecnologías, pueden suplantar fácilmente la identidad de alguien o de un sitio Web para robar información confidencial.

Esta forma de ataque es altamente efectiva debido a que utiliza la ingeniería social para hacer reforzar el contenido y hacer creer que el mensaje que se recibe es auténtico, con el fin de que quien lea el contenido entregue voluntariamente sus datos sin darse cuenta de que se trata de una estafa.

El término spoofing proviene de la palabra "spoof" en inglés, que significa "parodia" o "burla", haciendo alusión a la artimaña utilizada por los atacantes para embaucar a la gente y hacerle caer en la trampa sin levantar sospechas, por lo que esta técnica suele ser el primer paso para realizar un phishing.

¿Cuál es el objetivo principal del spoofing?

  • Suplantar la identidad de una persona, empresa o institución.
  • Generar credibilidad en el mensaje para manipular a las personas y obtener información confidencial o dinero.
  • Infiltrar un malware o robar las contraseñas de tus cuentas.

¿Cómo funciona el spoofing?

El spoofing, también conocido como suplantación o robo de identidad, puede realizarse a través de diferentes medios como correos electrónicos, sitios Web o llamados telefónicos, pero su objetivo sigue siendo el mismo: aprovecharse de la vulnerabilidad humana y de la confianza que las personas tienen en quien supuestamente le envía el mensaje.

Para lograrlo, los delincuentes realizan una investigación respecto a la persona, empresa o institución en la que le usurparán su identidad; así como también de quien recibirá la información y el requerimiento. Por lo tanto, el atacante debe conocer muy bien la relación entre ambas partes para establecer un vínculo de confianza y así lograr que el engaño sea exitoso.

Una vez recopilada la información y suplantada la identidad, los atacantes utilizan técnicas de ingeniería social en el contenido del mensaje que envían, haciéndolo parecer legítimo para solicitar verificar, por ejemplo, una cuenta o una información en particular a través de un enlace, aunque también podrían pedir que realicen una transferencia de dinero dependiendo del perfil que hayan falsificado.

De esta forma, sin percatarse del fraude, las personas suelen entregar información confidencial como credenciales o datos bancarios que pueden significar el inicio de un ataque aún mayor, ya que es probable que accedan a sus cuentas para obtener dinero o que infecten con un malware sus equipos o los de la empresa en la cual trabajan.

¿Cuáles son los tipos de spoofing más comunes?

Existe una amplia variedad y tipos de spoofing dependiendo de la herramientas que se utilicen para falsificar una identidad, por lo que a continuación te dejamos algunos de los que suelen ser más utilizados:

Email Spoofing:

Implica la falsificación de un email a través de una dirección y remitente falsos, donde los delincuentes pueden asumir la identidad de una persona o empresa que parece de confianza para enviar un mensaje generalmente de carácter urgente que requiere una acción inmediata.

Call ID Spoofing:

Es una técnica que utiliza un número telefónico local para realizar una llamada en la cual los atacantes fingen ser parte de una institución o alguien en específico, engañando a las víctimas mediante tácticas de ingeniería social para conseguir información confidencial o dinero.

Web Spoofing:

Consiste en un sitio Web falso que parece legítimo por los colores, logos y detalles en general, ya que la apariencia se ve igual al real. Este es usado con distintos fines, como recopilar datos, credenciales, información bancaria o instalar un malware.

SMS Spoofing:

Se refiere a la falsificación de mensajes de texto donde los usuarios maliciosos se hacen pasar por una institución o empresa para enviar un enlace malicioso solicitando hacer clic en éste para verificar la información que se les está entregando.

Facial Spoofing:

Es un nuevo tipo de suplantación que se basa en software de reconocimiento facial que se utilizan para desbloquear dispositivos o acceder a un lugar específico, para ello pueden usar una imagen de un individuo encontrada en Internet para robar su identidad y acceder a estos sistemas.

¿Cuál es un ejemplo de spoofing?

Los ataques de spoofing son complejos y difíciles de detectar, porque requieren del discernimiento de las personas para evaluar una situación que muchas veces la cotidianidad y el ritmo acelerado o la urgencia no permite analizar.

Pongámonos en el siguiente contexto: imagina que saliste de compras y de pronto ves una notificación de tu correo con un mensaje que dice "alerta de seguridad", posiblemente lo primero que hagas sea abrir el correo electrónico, el cual te informa de una actividad sospechosa en una de tus cuentas recomendándote cambiar tu contraseña cuanto antes para evitar un acceso no autorizado.

Para ello, el mensaje incluye un enlace que al hacer clic, te redirige al sitio Web asociado a tu cuenta, donde debes ingresar tus datos y credenciales para autenticar tu identidad, pero al hacerlo te sale un error ¡Sorpresa! En ese momento, sin saberlo, has sido víctima de un spoofing.

El ciberdelincuente te envió un link que te llevó a una plataforma fraudulenta, con las mismas características de la original, pero cuyo único objetivo era quedarse con tu información y tu cuenta. Por lo que, tanto el correo electrónico que recibiste como el sitio Web que visitaste no eran oficiales, sino más bien una suplantación de identidad.

¡Cualquiera podría ser víctima de este tipo de delitos! Por ejemplo, el 93% de las aerolíneas pueden verse afectadas por ataques de robo de identidad a través del correo electrónico, es decir, que podrías recibir un email de una de esas empresas sin saber que es falso, así que desconfía siempre de los mensajes provenientes de servicios donde te soliciten ingresar a un link sin estar seguro de su procedencia.

¿Cómo evitar un spoofing?

No puedes evitar un ataque de spoofing ya que no puedes asegurarte de que otros no intenten suplantar la identidad tuya o de tus contactos. Sin embargo, puedes estar alerta ante este tipo de fraudes siguiendo algunas recomendaciones:

¡Fíjate en el candado y el https! Si estos elementos no están en la barra de direcciones del sitio Web que estás visitando, entonces no es seguro y probablemente sea un sitio Web falsificado.

¡Observa los detalles! Los mensajes de suplantación de identidad suelen contener errores ortográficos y gramaticales, palabras con hipervínculo o enlaces acortados, por lo que analizar este tipo de cosas puede darte una pista del engaño.

¡No te precipites! Si ves algo raro en un mensaje, mantén la calma y utiliza un canal seguro de comunicación para comprobar si es auténtico.

Si una persona o entidad te solicita tu información confidencial a través de un correo electrónico o un llamado, desconfía de inmediato y corrobora la situación con una fuente oficial.

¡Cuidado con lo que publicas! Los delincuentes podrían encontrar tu información en Internet, sobretodo en tus redes sociales, y utilizarla para realizar un ataque o suplantar tu identidad, así que evita compartir más de lo necesario.