¿Qué es el phishing?

¿Cómo funciona el phishing?

La manera más fácil de cometer un robo es probablemente convencer a las víctimas de que no están siendo robadas en absoluto. Ese es el modelo básico de la estafa por phishing.

Los ataques de phishing comienzan con un correo electrónico, una llamada telefónica, un mensaje SMS, una publicación en las redes sociales o similares que aparentan provenir de una fuente de buena reputación. A partir de aquí, el atacante puede tener todo tipo de objetivos finales, como engañar a la víctima para que ofrezca información de la cuenta, hacer una transferencia de PayPal, descargar malware disfrazado, etc.

Veamos un ejemplo común. La víctima recibe un correo electrónico o mensaje de texto de lo que aparenta ser su banco. El mensaje de phishing menciona una oferta especial con vencimiento inminente, sospecha de robo de identidad, o similar, y le pide a la víctima que inicie sesión en su cuenta bancaria. Le hacen seguir un vínculo a una página web que simula el inicio de sesión, y la víctima, sin saberlo, le da al atacante sus credenciales de inicio de sesión.

El ataque en este ejemplo, como la mayoría de los ataques de phishing, crea cuidadosamente una sensación de urgencia para engañar a la víctima y que baje la guardia en lugar de tomarse el tiempo para considerar si el mensaje es sospechoso. Sin embargo, es más fácil decirlo que hacerlo, ya que existen bastantes trucos en el manual de estrategias del atacante.

Tipos de ataques de phishing

Los atacantes han inventado una amplia variedad de técnicas de phishing para aprovecharse de diferentes tecnologías, tendencias, sectores y usuarios. Demos un vistazo a algunos de los tipos más comunes:

• Phishing por correo electrónico: Un correo electrónico de un remitente aparentemente legítimo intenta engañar al destinatario para que siga un enlace malicioso y/o descargue un archivo infectado. La dirección de correo electrónico y cualquier URL en un correo electrónico de phishing pueden usar suplantación de identidad para aparentar ser legítimos.
• Smishing/Phishing por SMS: A través de mensajes de texto, los atacantes intentan engañar a las víctimas para que den información personal, como números de tarjetas de crédito u otros números de cuenta.
• Vishing/Phishing por voz: Esencialmente lo mismo que smishing pero realizado a través de una llamada telefónica, estos ataques buscan información de la tarjeta de crédito u otros detalles confidenciales.
• Angler phishing: Haciéndose pasar por organizaciones legítimas en las redes sociales, los atacantes solicitan información personal a las víctimas, a menudo ofreciendo tarjetas de regalo, descuentos, etc.
• Phishing de ventana emergente: Un ataque común en los teléfonos inteligentes en los que se muestra una oferta o un mensaje de advertencia en una ventana emergente, que generalmente contiene un enlace malicioso para engañar a las víctimas para que divulguen datos personales.
• Phishing selectivo: Si bien muchas estafas de phishing apuntan a víctimas al azar, los ataques de phishing selectivo (o "spear phishing") se dirigen a individuos específicos cuyos datos personales ya son conocidos, en cierta medida, por el atacante. Este detalle adicional puede aumentar en gran medida las probabilidades de éxito del phishing.
• Whaling: Los atacantes atacan mediante phishing a ejecutivos u otros miembros importantes de una organización para tratar de obtener información que les brinde acceso con privilegios al entorno deseado.
• Phishing de clonación: Los atacantes envían a las víctimas correos electrónicos que parecen ser de remitentes en los que la víctima confía, como instituciones financieras o servicios empresariales. Esto está estrechamente relacionado con el phishing selectivo y es una táctica común de ataques que comprometen el correo electrónico empresarial (BEC).
• Phishing del gemelo malvado: Los atacantes atraen a las víctimas con un punto de acceso Wi-Fi de aspecto confiable, y luego llevan a cabo ataques de intermediario, interceptando datos que las víctimas transfieren a través de la conexión.
• Pharming: Los atacantes se apropian de la funcionalidad de un servidor del Sistema de Nombres de Dominio (DNS) para que redireccione a los usuarios a un sitio web falso y malicioso aunque escriba una URL benigna.

¿Cuán peligrosos son los de ataques de phishing?

Los ataques de phishing pueden ser extremadamente peligrosos. Las campañas grandes de phishing pueden afectar a millones de personas, robar datos confidenciales, plantar ransomware y otro malware, así como obtener acceso a las áreas más confidenciales de los sistemas de una empresa.

La pérdida de datos confidenciales, el daño a la reputación y los problemas regulatorios se encuentran entre las muchas consecuencias posibles de un ataque de phishing exitoso que puede sufrir una empresa. Los riesgos para cualquier víctima de phishing pueden incluir la pérdida o el compromiso de datos confidenciales, y las organizaciones también enfrentan posibles daños a la reputación y problemas regulatorios.

¿Cómo afecta el phishing a las empresas?

Para la empresa las consecuencias de un ataque de phishing exitoso pueden ser de suma gravedad. Pueden surgir pérdidas financieras a partir de una cuenta bancaria corporativa comprometida. La pérdida de datos puede derivarse del phishing que lleve a un ataque de ransomware. Una organización puede sufrir daños importantes a la reputación por las filtraciones de datos confidenciales que requieran divulgación pública.

Además, cualquiera de estos puede a su vez tener consecuencias aún más graves. Los ciberdelincuentes pueden vender datos robados en la dark web, incluso a competidores sin escrúpulos. Además de eso, muchas filtraciones deberán ser reveladas al sector o a los organismos de regulación gubernamentales que podrían imponer multas u otras sanciones. Incluso puede involucrar a la empresa en investigaciones de ciberdelitos, lo que puede llevar mucho tiempo y atraer una atención negativa.

¿Cómo protejo a mi organización contra los ataques de phishing?

Afortunadamente, la mayoría de los tipos de phishing se pueden detener si toma las precauciones adecuadas. Lo que significa:

• Utilizar medidas correctivas efectivas de ciberseguridad. Las modernas soluciones de antivirus y antiphishing, junto con filtros efectivos de spam, evitarán muchos intentos de phishing.
• Mantener actualizados los sistemas operativos y los navegadores. Los proveedores de software resuelven periódicamente las vulnerabilidades más recientes en sus productos, de lo contrario, su sistema quedaría expuesto.
• Proteger los datos con copias de seguridad automáticas. Implementar un proceso regular de respaldo de datos del sistema para poder recuperarse en caso de una filtración.
• Utilizar una autenticación multifactor avanzada (MFA, por sus siglas en inglés). Las estrategias zero trust como MFA crean capas adicionales de defensa entre los atacantes y sus sistemas internos.
• Asegurarse de capacitar a sus usuarios. Los ciberdelincuentes inventan nuevas estrategias constantemente, y la seguridad del correo electrónico no servirá para todo. Sus usuarios y su organización en general estarán más seguros si todos los usuarios entienden cómo identificar mensajes de correo electrónico sospechosos y denunciar el phishing.

¿Cuáles son las señales del phishing?

Cuando se trata de phishing, los usuarios más seguros son los que saben cómo evitar caer en la trampa. Si bien un breve resumen no sustituye a la capacitación enfocada en la concientización sobre seguridad, aquí hay algunas señales de advertencia claves de intento de phishing:

• Discrepancias en los nombres de dominio: Puede haber diferencias entre las direcciones de correo electrónico y los dominios web. Por ejemplo, si recibe un mensaje de correo electrónico que dice ser de una marca conocida, es posible que la dirección de correo electrónico no coincida con ella.
• Errores ortográficos: Aunque los ataques de phishing se han vuelto mucho más efectivos, los mensajes todavía suelen contener errores ortográficos o gramaticales.
• Saludos que no son los habituales: A veces, el estilo de un saludo o despedida puede ser una pista de que algo no está bien. Preste atención si alguien que siempre inicia los mensajes con "¡Hola!" de repente cambia a "Querido amigo".
• Corto y simple: Los correos electrónicos de phishing a menudo brindan escasa información, confiando en la ambigüedad para despistar a las víctimas. Si faltan muchos detalles importantes, puede ser una señal de un intento de phishing.
• Solicitudes inusuales: Un correo electrónico que le pida hacer algo inusual, sobre todo sin explicación, es una clara señal de advertencia. Por ejemplo, un intento de phishing podría afirmar ser de su equipo de TI, y pedirle que descargue un archivo sin especificar un motivo.

Phishing y el trabajo a distancia

En una encuesta de 2021 a líderes de seguridad de TI empresarial, el 80 % cree que los trabajadores a distancia corren un mayor riesgo de ser víctimas de los ataques de phishing. Aun así, muchas organizaciones siguen confiando en frágiles protocolos de seguridad. Se espera que la mayoría de las empresas sigan facilitando el trabajo a distancia o híbrido para al menos parte de su fuerza de trabajo, incluso después de que se apacigüe la pandemia por COVID-19, y esto podría exponerlos a riesgos.

En sus domicilios, los trabajadores a distancia suelen confiar en un software de seguridad que es menos sofisticado que el de las oficinas. También pueden estar usando correos electrónicos personales u otras cuentas que no estén bajo el control del equipo de TI de su organización. Además, debido a que están lejos de los controles empresariales internos, los empleados a distancia no siempre se ven obligados a tener una buena práctica de seguridad, y puede ser difícil, si no prácticamente imposible, que los responsables de TI supervisen o hagan cumplir las buenas prácticas.

Para mantenerse seguro en la era del trabajo a distancia, necesita una seguridad que se adapte a las necesidades de su fuerza de trabajo más móvil y distribuida.

Protección contra phishing con Zscaler

El éxito de los ataques se basa en aprovecharse de la naturaleza humana, y por lo tanto el compromiso del usuario es uno de los problemas de seguridad más difíciles de superar. Para detectar las violaciones activas y minimizar el daño que pueden causar dichas violaciones, es necesario implementar controles efectivos de prevención de phishing como parte de una estrategia zero trust más amplia.

La plataforma Zscaler Zero Trust Exchange™ se basa en una arquitectura zero trust integral para minimizar la superficie de ataque, evitar riesgos, eliminar el movimiento lateral y detener la pérdida de datos al:

• Evitar los ataques: Las funciones tales como la inspección TLS/SSL completa, el aislamiento del navegador y el control de acceso basado en políticas evita el acceso de sitios web maliciosos.
• Prevenir el movimiento lateral: Una vez en su sistema, el malware puede propagarse, causando aún más daño. Con Zero Trust Exchange, los usuarios se conectan directamente a las aplicaciones, no a su red, por lo que el malware no se puede propagar a partir de ellas.
• Detener las amenazas internas: Nuestra arquitectura de proxy en la nube detiene los intentos de explotación de aplicaciones privadas y detecta incluso las técnicas de ataque más sofisticadas con una inspección en línea completa.
• Detener la pérdida de datos: Zero Trust Exchange inspecciona los datos en movimiento y en reposo para evitar el posible robo de datos por parte de un atacante activo.