7 tipos de ataques de phishing y cómo detectarlos

por | enero 21, 2022 | Ciberseguridad, Cómo hacerlo, Guías del ATTACK Simulator

Un cuento tan antiguo como el tiempo, un phishing tan antiguo como la propia Internet. Los ciberdelincuentes lanzaron los primeros ataques de phishing ya en los años 90, robando contraseñas e información financiera. Desde entonces, las operaciones maliciosas que afectan tanto a particulares como a empresas se han ramificado en una amplia gama de estafas.

Permanezca en sintonía, y vamos a sumergirnos de lleno en los siete tipos de ataques de phishing más frecuentes, efectivos y potencialmente catastróficos que están causando estragos en las organizaciones y en las personas.

Hay muchos tipos de ataques de phishing que molestan a los usuarios de Internet y a las empresas cada día.

¿Cómo funciona el phishing?

El phishing es un ciberataque en el que los malos actúan como si fueran una entidad o persona de confianza, utilizando diversas formas de comunicación online para distribuir enlaces o archivos adjuntos maliciosos que pueden realizar diversas funciones, pero con un único fin: robar los datos de la víctima para obtener un beneficio económico.

Este tipo de fraude en línea utiliza sutiles y hábiles estrategias de ingeniería social para determinar que una persona realice una acción que vaya en contra de sus intereses y entregue información sensible, información los phishers utilizan en sus ataques

Aunque los ataques modernos utilizan las mismas tácticas primarias de ingeniería social, los ciberdelincuentes emplean estrategias más evolucionadas y sofisticadas.

5 tipos más comunes de ataques de phishing y cómo esquivarlos

1. Phishing por correo electrónico

Probablemente la estrategia de ataque más común, el phishing por correo electrónico genera buenas ganancias a los estafadores. Los correos electrónicos de phishing suelen ser muy sofisticados y difíciles de distinguir de los auténticos. Están diseñados para evadir la detección durante las pruebas del filtro de correo electrónico al contar con los marcos de políticas de remitentes y los controles SMTP adecuados.

Los enlaces suelen conducir a sitios web maliciosos que roban las credenciales o instalan software malicioso, también conocido como malware, en el dispositivo de la víctima. Las descargas, normalmente archivos PDF, tienen contenido malicioso que instala el malware una vez que el objetivo abre el documento.

Cómo detectarlo:

Si un correo electrónico…

  • Pide repetidamente al destinatario que tome medidas urgentes;
  • Contiene errores ortográficos y gramaticales;
  • Comienza con un saludo desconocido;
  • Proviene de un remitente desconocido;
  • Contiene enlaces, archivos adjuntos y nombres de dominio sospechosos;
  • Contiene logotipos que parecen estar fuera de lugar;
  • Parece demasiado bueno para ser verdad;
  • Le pide que proporcione datos sensibles;

Entonces lo más probable es que se trate de un correo electrónico de phishing.

2. Spear-Phishing («Pesca con arpón»)

El spear-phishing es un intento de robar, con fines maliciosos, información sensible de una cierta persona, como credenciales de cuentas o información financiera.

Esto se consigue obteniendo información personal sobre la víctima, como sus conexiones, lugar de nacimiento, empresa, zonas frecuentadas y compras recientes en Internet. Los atacantes utilizan entonces el correo electrónico u otras formas de comunicación en línea para hacerse pasar por un amigo o una entidad de confianza y obtener información crítica. Este es el método más eficaz para obtener información sensible en Internet, y representa el 91% de todos los ataques.

A diferencia de los ataques de phishing habituales, el spear-phishing es muy selectivo y requiere una importante investigación sobre la víctima antes de lanzar el ataque.

Cómo detectarlo:

  • Solicitudes inusuales: Desconfía si las solicitudes internas que proceden de empleados de otros departamentos o parecen fuera de lo normal teniendo en cuenta la función del puesto.
  • Enlaces a unidades compartidas: Ten cuidado con los enlaces a documentos almacenados en unidades compartidas como Google Suite, O365 y Dropbox porque pueden llevar a un sitio web falso y malicioso.
  • Documentos protegidos por contraseña: Cualquier documento que requiera una identificación de usuario y una contraseña podría ser un intento de robo de sus credenciales.

3. El fraude del CEO

El fraude del CEO es una forma compleja de ataque de phishing que los estafadores utilizan para engañar a los empleados para que transfieran dinero o proporcionen datos confidenciales de la empresa.

Los ciberdelincuentes se hacen pasar por el director general de la empresa u otros ejecutivos y exigen a los empleados, normalmente de los departamentos de recursos humanos o de contabilidad, que realicen una transferencia bancaria, actualicen los datos de la cuenta o proporcionen información sobre la misma.

Cómo detectarlo:

  • Solicitudes inusuales: Si un ejecutivo nunca se ha puesto en contacto con usted antes, sea prudente a la hora de llevar a cabo la acción solicitada.
  • El correo electrónico del destinatario: Dado que muchas personas utilizan aplicaciones de correo electrónico que conectan todas sus direcciones de correo electrónico, asegúrese de que cualquier solicitud que parezca normal se envíe a un correo electrónico de trabajo y no a uno personal.

4. Vishing

El phishing de voz o vishing consiste en que los hackers llaman por teléfono a los usuarios y les exigen que marquen un número concreto. El objetivo es obtener información de cuentas bancarias a través del teléfono utilizando un identificador de llamadas falso.

Cómo detectarlo:

  • Número de la persona que llama: El número de teléfono de la persona que llama puede ser de un lugar inusual o estar bloqueado.
  • Momento: La llamada ocurre en una temporada o evento que causa estrés o presión.
  • Acción solicitada: La llamada solicita información personal que es inusual para el tipo de persona que llama.

5. Smishing

El Phishing por SMS (Smishing) es un ataque realizado a través de SMS. Un texto de smishing intentará engañar al objetivo para que proporcione información personal después de acceder a un enlace que lleva a un sitio web malicioso.

Cómo detectarlo:

  • Estado de la entrega: Un texto que solicite al destinatario una acción para modificar una entrega incluirá un enlace. Para estar seguro, debería ir directamente a la página web del servicio de entrega para comprobar el estado.
  • Código de área extraño: Compruebe el código de área y antes de responder a un texto o realizar la acción solicitada.

6. Pop-Up Phishing

La publicidad maliciosa o el phishing en ventanas emergentes utiliza secuencias de código activas creadas para descargar malware o introducir de manera forzada contenidos no deseados en el dispositivo de la víctima. Los métodos más comunes explotan Adobe PDF y Flash.

Cómo detectarlo:

  • Irregularidades: Compruebe si hay errores ortográficos o combinaciones de colores inusuales.
  • Pasar a pantalla completa: Las ventanas emergentes maliciosas pueden cambiar el navegador al modo de pantalla completa, por lo que cualquier cambio repentino en el tamaño de la pantalla puede indicar un intento de intrusión.

7. Phishing por clonación

Este es otro tipo de ataque de phishing por correo electrónico dirigido que utiliza servicios que el objetivo ha probado previamente. Los delincuentes son conscientes de que la mayoría de las empresas requieren que los empleados hagan clic en los enlaces como parte de sus tareas diarias. Por ejemplo, muchas empresas utilizan DocuSign para intercambiar documentos electrónicos, por lo que los estafadores pueden crear correos electrónicos falsos para ese servicio específico.

Cómo detectarlo:

  • Momentos extraños: Tenga cuidado con cualquier correo electrónico inesperado de un proveedor de servicios.
  • Datos sensibles: Vigila los correos electrónicos que te piden información personal que el proveedor de servicios no solicitaría.

Evite los ataques de phishing con la formación de concienciación sobre seguridad de ATTACK Simulator

La formación en materia de seguridad para sus empleados es necesaria por muchas razones:

  • Para prevenir los ciberataques y las brechas de seguridad
  • Para reforzar sus defensas tecnológicas
  • Para atraer más clientes
  • Para que usted sea más responsable socialmente
  • Para empoderar a sus empleados
  • Para cumplir las normas de conformidad
  • Para evitar los tiempos de inactividad y mantener una buena reputación

Cada día se envían más de mil millones de correos electrónicos de phishing, y muchos de ellos eluden los filtros de seguridad. Por lo tanto, debe confiar en que sus empleados estén atentos y detecten las estafas de phishing.

Puede defender su empresa con éxito, en parte, formando a sus empleados en materia de ciberseguridad y, especialmente, en los ataques de phishing, y, en parte, adoptando medidas de seguridad más rigurosas, como la implantación de la autenticación multifactor y el análisis del comportamiento de los usuarios.

Nuestras simulaciones realistas de phishing expondrán a sus empleados a ataques de phishing falsos, pero inspirados en la vida real.

Estas son algunas de las increíbles ventajas al elegirnos:

  • Simulación automatizada de ataques: simulamos todo tipo de ciberataques: phishing, malware, ransomware, spear-phishing, robo de identidad, ataques a la privacidad en línea, estafas en línea, etc.
  • Escenarios de la vida real: evaluamos la vulnerabilidad de los usuarios a la hora de revelar datos personales o relacionados con la empresa mediante páginas web realistas.
  • Análisis del comportamiento de los usuarios: reunimos los datos de los usuarios y los recopilamos en extensos informes para ofrecerle una imagen detallada sobre el nivel de conciencia de la seguridad de sus empleados.
  • Réplicas de archivos maliciosos: nuestros correos electrónicos contienen réplicas de archivos maliciosos, para que la simulación sea lo más realista posible.
  • Lecciones interactivas: si los empleados no reconocen nuestras trampas y caen en alguna, serán redirigidos a páginas de aterrizaje con lecturas rápidas sobre las mejores prácticas de seguridad.
  • Simulamos marcas populares en nuestras páginas de phishing para que el usuario se sienta más atraído a hacer clic en la URL o a abrir el archivo adjunto en el correo electrónico.

El programa de formación de concienciación sobre la seguridad de ATTACK Simulator le ayudará a equipar a sus empleados con los conocimientos necesarios y las prácticas actuales de seguridad para mantener su empresa a salvo de los estafadores y evitar daños potencialmente irreparables.

Atribución:

Imagen de Miranda Bleijenberg de Pixabay

Ilustraciones web de Storyset

Ilustraciones de datos de Storyset

Ilustraciones de personas de Storyset

Ilustraciones en línea de Storyset

by Diana Panduru

Content writer for Attack Simulator. Passionate about all things writing and cybersecurity, and obsessed with driving. I sometimes indulge in pencil drawing, poetry, and cooking for fun.

There’s no reason to postpone training your employees

Get a quote based on your organization’s needs and start building a strong cyber security infrastructure today.