La guía definitiva del phishing

¿Qué es el phishing?

En el mundo cada vez más digital de hoy en día, gran parte de lo que hacemos, ya sea por negocios o por placer, se lleva a cabo en línea. Este aumento de la actividad en línea ha dado lugar a una explosión masiva de la ciberdelincuencia.

La ciberdelincuencia se ha convertido en una poderosa herramienta para los delincuentes que buscan robar nuestros datos personales y extorsionarnos. La velocidad, el anonimato y la comodidad de Internet han permitido a los delincuentes lanzar ataques muy selectivos con muy poco esfuerzo.

Según un informe reciente de la empresa de ciberseguridad Norton, los ciberdelincuentes robaron un total de 130.000 millones de libras a los consumidores en 2017, incluidos 4.600 millones de libras a los internautas británicos.

El más exitoso y peligroso de todos los ciberataques es el phishing. Las investigaciones han descubierto que el 91% de todos los ciberataques comienzan con un correo electrónico de phishing.

El phishing sigue siendo la forma más común de ciberataque debido a su sencillez, eficacia y alto retorno de la inversión. Ha evolucionado desde sus primeros días de engañar a la gente con estafas de príncipes nigerianos y solicitudes de tratamiento médico de urgencia. Los ataques de phishing que tienen lugar hoy en día son sofisticados, selectivos y cada vez más difíciles de detectar.

Tipos de ataques de phishing

Los ataques de suplantación de identidad se presentan en muchas formas diferentes, pero el hilo conductor de todos ellos es su explotación del comportamiento humano. Los siguientes ejemplos son las formas de ataque más utilizadas.

Spear - El phishing es un intento más selectivo de robar información sensible y suele centrarse en un individuo u organización concretos. Este tipo de ataque utiliza información personal propia del individuo para aparentar legitimidad. Los ciberdelincuentes suelen recurrir a las redes sociales y a los sitios web de las empresas para investigar a sus víctimas. Una vez que conocen mejor a su objetivo, comenzarán a enviar correos electrónicos personalizados que incluyen enlaces que, una vez pulsados, infectarán el ordenador con malware.

El vishing se refiere a las estafas de phishing que tienen lugar por teléfono. Tiene la mayor interacción humana de todos los ataques de phishing, pero sigue el mismo patrón de engaño. Los estafadores suelen crear una sensación de urgencia para convencer a la víctima de que divulgue información sensible. La llamada se realizará a menudo a través de un identificador falsificado, para que parezca que procede de una fuente fiable. Un escenario típico implicará que el estafador se haga pasar por un empleado del banco para señalar un comportamiento sospechoso en una cuenta. Una vez que se hayan ganado la confianza de la víctima, le pedirán información personal como datos de acceso, contraseñas y pin. Los datos pueden utilizarse entonces para vaciar cuentas bancarias o cometer un fraude de identidad.

Lo que distingue a esta categoría de phishing de las demás es la elección de un objetivo de alto nivel. Un ataque de whaling es un intento de robar información sensible y suele dirigirse a los altos directivos. Los correos electrónicos balleneros son mucho más sofisticados que los correos de phishing corrientes y mucho más difíciles de detectar. Los correos electrónicos contendrán a menudo información personalizada sobre el objetivo o la organización, y el lenguaje tendrá un tono más corporativo. Los ciberdelincuentes dedicarán mucho más esfuerzo y reflexión a la elaboración de estos correos electrónicos debido a su alto nivel de rentabilidad.

El smishing es un tipo de phishing que utiliza mensajes SMS en lugar de correos electrónicos para dirigirse a las personas. Es otra forma eficaz de que los ciberdelincuentes engañen a los individuos para que divulguen información personal como datos de cuentas, de tarjetas de crédito o nombres de usuario y contraseñas. Este método implica que el estafador envíe un mensaje de texto al número de teléfono de un individuo y normalmente incluye una llamada a la acción que requiere una respuesta inmediata.

El phishing de clonación consiste en utilizar un correo electrónico legítimo y previamente entregado para crear otro idéntico con contenido malicioso. El correo electrónico clonado parecerá proceder del remitente original, pero será una versión actualizada que contiene enlaces o archivos adjuntos maliciosos.

Cómo el phishing puede dañar su negocio

Los ataques contra las empresas casi se han duplicado en los últimos cinco años y el daño de un ataque de phishing a una empresa puede ser devastador. A lo largo de los años, las empresas han perdido miles de millones como consecuencia de los ataques de phishing. Microsoft calcula que el coste potencial de la ciberdelincuencia para la comunidad mundial asciende a la asombrosa cifra de 500.000 millones y que una violación de datos costará a la empresa media unos 3,8 millones. A pesar de contar con las tecnologías de seguridad y defensa más sólidas, los ciberdelincuentes explotarán a menudo el eslabón más débil de las defensas de una empresa, que suelen ser sus empleados. Un solo error humano puede dar lugar a una pérdida masiva de datos confidenciales. Un estudio de Cisco reveló que el 22% de las organizaciones que sufrieron una violación perdieron clientes inmediatamente después de un ataque, lo que demuestra la seriedad con la que los consumidores se toman la seguridad de sus datos.

Robo de identidad

Robo de datos sensibles

Robo de información de clientes

Pérdida de nombres de usuario y contraseñas

Pérdida de propiedad intelectual

Robo de fondos de cuentas de empresas y clientes

Daños a la reputación

Transacciones no autorizadas

Fraude con tarjetas de crédito

Instalación de malware y ransomware

Acceso a los sistemas para lanzar futuros ataques

Datos vendidos a terceros criminales

Los mejores consejos para detectar los ataques de phishing

Identificar un correo electrónico de phishing se ha vuelto mucho más difícil que antes, ya que los delincuentes han perfeccionado sus habilidades y se han vuelto más sofisticados en sus métodos de ataque. Los correos electrónicos de phishing que recibimos en nuestra bandeja de entrada están cada vez mejor redactados, son personalizados, contienen los logotipos y el lenguaje de marcas que conocemos y en las que confiamos y están elaborados de tal forma que resulta difícil distinguir entre un correo electrónico oficial y un correo electrónico dudoso redactado por un estafador.

McAfee calcula que el 97% de las personas de todo el mundo son incapaces de identificar un sofisticado correo electrónico de phishing, por lo que los ciberdelincuentes siguen consiguiendo engañar a la gente para que facilite información personal o descargue programas maliciosos. A pesar de la creciente sofisticación y de la naturaleza convincente de estos correos electrónicos, todavía existen algunas señales que pueden alertarnos de la presencia de un correo electrónico de phishing.

Los mejores consejos para detectar los ataques de phishing

Una URL no coincidente

Una de las primeras cosas que hay que comprobar en un correo electrónico sospechoso es la validez de una URL. Si pasa el ratón por encima del enlace sin hacer clic en él, debería ver aparecer la dirección completa del hipervínculo. A pesar de parecer perfectamente legítima, si la URL no coincide con la dirección mostrada, es un indicio de que el mensaje es fraudulento y probablemente se trate de un correo electrónico de phishing.

El correo electrónico solicita información personal

Una empresa de confianza nunca enviará un correo electrónico a sus clientes solicitando información personal como el número de cuenta, la contraseña, el pin o las preguntas de seguridad. Si recibe un correo electrónico solicitando esta información, es probable que se trate de un correo de phishing y debe eliminarlo inmediatamente.

Mala ortografía y gramática

Los ciberdelincuentes no son famosos por su ortografía y gramática de primera calidad. Cuando las empresas legítimas envían correos electrónicos a sus clientes, suelen ser revisados por redactores para garantizar que la ortografía y la gramática son correctas. Si detecta faltas de ortografía o una gramática deficiente en un correo electrónico, es poco probable que proceda de una organización oficial y podría indicar la presencia de un correo electrónico de phishing.

El uso de un lenguaje amenazador o urgente

Una táctica habitual del phishing consiste en promover una sensación de miedo o urgencia para apresurar a alguien a hacer clic en un enlace. Los ciberdelincuentes utilizarán a menudo amenazas de que su seguridad se ha visto comprometida y que se requiere una acción urgente para remediar la situación. Tenga cuidado con las líneas de asunto que afirman que su cuenta ha sufrido un «intento de inicio de sesión no autorizado» o que su «cuenta ha sido suspendida». Si no está seguro de que la solicitud sea legítima, póngase en contacto directamente con la empresa a través de su página web oficial o su número de teléfono oficial.

Correspondencia inesperada

Si recibe un correo electrónico en el que se le informa de que ha ganado un concurso en el que no ha participado, o en el que se le pide que haga clic en un enlace para recibir un premio, es muy probable que se trate de un correo electrónico de phishing. Si una oferta parece demasiado buena para ser cierta, ¡suele serlo!

Cómo protegerse contra los ataques de phishing

1. Nunca haga clic en enlaces sospechosos

El tipo más común de estafa de phishing consiste en engañar a la gente para que abra correos electrónicos o haga clic en un enlace que puede parecer proceder de una empresa legítima o de una fuente de confianza.

Al crear una sensación de urgencia, se engaña a los usuarios para que hagan clic en un enlace o abran un archivo adjunto. El enlace puede dirigirle a un sitio web falso en el que se le pide que introduzca sus datos personales o llevarle a un sitio web que infecta directamente su ordenador con un ransomware.

Las empresas legítimas nunca enviarán correos electrónicos solicitando que haga clic en un enlace para introducir o actualizar datos personales.

Pruebas de phishing simuladas para empleados

2. Educar al personal

Las empresas pueden disponer de los sistemas de defensa de seguridad más sólidos, pero esto ofrece poca protección si los ciberdelincuentes son capaces de saltarse estas defensas tecnológicas tradicionales y llegar directamente a un empleado para engañarle y conseguir que divulgue información sensible.

Más del 90% de todos los ciberataques que tienen éxito son el resultado de información proporcionada sin saberlo por los empleados. A medida que las redes se vuelven más difíciles de vulnerar, los piratas informáticos se dirigen cada vez más a lo que perciben como el eslabón más débil de las defensas de una empresa: ¡sus empleados!

A medida que los piratas informáticos perfeccionan sus técnicas y se vuelven más selectivos en sus ataques, es importante educar al personal y proporcionarle formación periódica sobre lo que debe tener en cuenta y cómo puede desempeñar su papel en la prevención de un ciberataque.

¡No deje que su personal muerda el anzuelo!

MetaPhish ha sido diseñado específicamente para proteger a las empresas de los ataques de phishing y ransomware y constituye la primera línea de defensa en la lucha contra la ciberdelincuencia. Si desea más información sobre cómo se puede utilizar para proteger y educar a su personal.

Phishing y ransomware

3. Tenga cuidado con lo que publica en Internet

Internet y los medios sociales han transformado la forma en que nos comunicamos unos con otros en el día a día, sin embargo, esta cultura de compartir ha proporcionado a los ciberdelincuentes una forma fácil de perfilar a las víctimas potenciales, lo que garantiza que sus intentos de phishing sean más selectivos y difíciles de detectar.

Los piratas informáticos están recurriendo a las redes sociales para acceder a información personal como la edad, el puesto de trabajo, la dirección de correo electrónico, la ubicación y la actividad social. El acceso a estos datos personales proporciona a los piratas informáticos información suficiente para lanzar un ataque de phishing altamente selectivo y personalizado.

Para reducir las posibilidades de caer en un correo electrónico de phishing, piense con más cuidado lo que publica en Internet, aproveche las opciones de privacidad mejoradas, restrinja el acceso a cualquier persona que no conozca y cree contraseñas seguras para todas sus cuentas en las redes sociales.

Lea nuestra guía para protegerse de los piratas informáticos

4. Verificar la seguridad de un sitio

Antes de introducir cualquier información en un sitio web, siempre debe comprobar que un sitio es seguro. La mejor forma de hacerlo es fijarse en la URL de un sitio web. Si empieza por «https» en lugar de «http» significa que el sitio ha sido protegido mediante un certificado SSL (la S significa seguro). Los certificados SSL garantizan que todos sus datos están seguros mientras pasan de su navegador al servidor del sitio web. También debería haber un pequeño icono de candado cerca de la barra de direcciones que también indica que el sitio es seguro.

5. Instale el software antivirus

El software antivirus es la primera línea de defensa para detectar amenazas en su ordenador y bloquear el acceso a usuarios no autorizados. También es vital asegurarse de que su software se actualiza con regularidad para garantizar que los piratas informáticos no puedan acceder a su ordenador a través de las vulnerabilidades de los programas más antiguos y obsoletos.

Cómo protegerse de los ataques de phishing