Una historiatan antigua como el tiempo, el phishing es tan antiguo como la propia Internet. Los ciberdelincuentes lanzaron los primeros ataques de phishing tan temprano como en los años 90, robando contraseñas e información financiera. Desde entonces, las operaciones maliciosas que afectan tanto a particulares como a empresas se han ramificado en una amplia gama de estafas.
Permanezca con nosotros, y nos adentremos de lleno en los siete tipos de ataques de phishing más comunes, efectivos y potencialmente catastróficos que están haciendo daño a las organizaciones y a los individuos en su conjunto.
¿Cómo funciona el phishing?
El phishing es un ciberataque en el que los malos actúan como si fueran una entidad o persona de confianza, utilizando diversas formas de comunicación online para distribuir enlaces o archivos adjuntos maliciosos que pueden realizar diversas funciones, pero con un único fin: robar los datos de la víctima para obtener un beneficio económico.
Este tipo de fraude en línea utiliza sutiles y hábiles estrategias de ingeniería social para determinar a una persona a actuar en contra de sus intereses y entregar información confidencial, que los phishers utilizarán en otros ataques.
Aunque los ataques modernos utilizan las mismas tácticas primarias de ingeniería social, los ciberdelincuentes emplean estrategias más evolucionadas y sofisticadas.
7 tipos de ataques de phishing y cómo detectarlos
1. Phishing por correo electrónico
Probablemente, la estrategia de ataque más común, los correos electrónicos de phishing,, genera buenas ganancias para los estafadores. Los correos electrónicos de phishing suelen ser muy sofisticados y difíciles de distinguir de los auténticos. Están diseñados para evadir la detección durante las pruebas del filtro de correo electrónico al contar con los marcos de políticas de remitentes y los controles SMTP adecuados.
Los enlaces suelen conducir a sitios web maliciosos que roban las credenciales o instalan software malicioso, también conocido como malware, en el dispositivo de la víctima. Las descargas, normalmente archivos PDF, tienen contenido malicioso que instala el malware una vez que el objetivo abre el documento.
Cómo detectarlo:
Si un correo electrónico…
- Pide repetidamente al destinatario que tome medidas urgentes;
- Contiene errores ortográficos y gramaticales;
- Comienza con un saludo desconocido;
- Proviene de un remitente desconocido;
- Contiene enlaces, archivos adjuntos y nombres de dominio sospechosos;
- Contiene logotipos que parecen desactivados;
- Parece demasiado bueno para ser cierto;
- Le pide que proporcione datos confidenciales;
Entonces lo más probable es que se trate de un correo electrónico de phishing.
2. Spear-Phishing («Pesca con arpón» o Phishing dirigido)
El spear-phishing es un intento dirigido a robar información confidencial de una víctima específica, como credenciales de cuentas o información financiera, con fines maliciosos.
Esto se consigue obteniendo información personal sobre la víctima, como sus contactos, lugar de nacimiento, lugar de trabajo, zonas frecuentadas y compras recientes en Internet. Los atacantes utilizan entonces el correo electrónico u otras formas de comunicación en línea para suplantar un amigo o una entidad de confianza y obtener información crítica. Este es el método más eficaz para conseguir información confidencial en Internet, representando el 91% de todos los ataques.
A diferencia de los ataques de phishing habituales, el spear-phishing es muy selectivo y requiere una importante investigación sobre la víctima antes de lanzar el ataque.
Cómo detectarlo:
- Solicitudes inusuales: Desconfía de las solicitudes internas que proceden de empleados de otros departamentos o parecen fuera de lo normal teniendo en cuenta las funciones del puesto.
- Enlaces de unidades compartidas: Desconfíe de los enlaces a documentos almacenados en unidades compartidas como Google Suite, O365 y Dropbox porque podrían llevar a un sitio web falso y malicioso.
- Documentos protegidos por contraseña: Cualquier documento que requiera una identificación de usuario y una contraseña de inicio de sesión podría ser un intento de robo de sus credenciales..
3. El fraude del CEO
El fraude al director general es una forma compleja de ataque de phishing que los estafadores utilizan para engañar los empleados a transferir dinero o proporcionar datos confidenciales de las empresas.
Los ciberdelincuentes suplantarán al director general de la empresa o a otros ejecutivos y exigirán a los empleados, normalmente de los departamentos de recursos humanos o de contabilidad, que realicen una transferencia bancaria, actualicen los datos de la cuenta o proporcionen información sobre esta.
Cómo detectarlo:
- Solicitudes inusuales: Si un ejecutivo nunca se ha puesto en contacto con usted antes, sea prudente a la hora de llevar a cabo la acción solicitada.
- El correo electrónico del destinatario: Dado que muchas personas utilizan aplicaciones de correo electrónico que conectan todas sus direcciones de correo electrónico, asegúrese de que cualquier solicitud que parezca normal se envíe a un correo electrónico de trabajo y no a uno personal.
4. Vishing
El phishing de voz o vishing consiste en que los hackers llaman por teléfono a los usuarios y los exigen que marquen un número concreto. El objetivo es obtener información de cuentas bancarias a través del teléfono utilizando un identificador de llamadas falso.
Cómo detectarlo:
- Número de la persona que llama: El número de teléfono de la persona que llama puede ser de un lugar inusual o puede estar bloqueado.
- El Momento: La llamada se realiza durante una temporada o acontecimiento que provoca estrés o presión.
- La acción solicitada: La llamada solicita información personal que es inusual para el tipo de persona que llama.
5. Smishing
El Phishing por SMS (Smishing) es un ataque realizado a través de SMS. Un texto de smishing intentará engañar al objetivo para que proporcione información confidencial después de acceder a un enlace que lleva a un sitio web malicioso.
Cómo detectarlo:
- Estado de la entrega: Un texto que solicite al destinatario una acción para modificar una entrega incluirá un enlace. Para comprobar el estado y estar seguro, conviene ir directamente a la página web del servicio de entrega.
- Código de zona extraño: Compruebe el código de área antes de responder a un texto o realizar la acción solicitada.
6. Phishing Pop-Up (en anuncios emergentes)
La publicidad maliciosa o el phishing en ventanas emergentes utiliza secuencias de código activas creadas para descargar malware o introducir de manera forzada contenidos no deseados en el dispositivo de la víctima. Los métodos más comunes explotan Adobe PDF y Flash.
Cómo detectarlo:
- Irregularidades: Compruebe si hay errores ortográficos o combinaciones de colores inusuales.
- Pasar a pantalla completa: Las ventanas emergentes maliciosas pueden cambiar un navegador a modo de pantalla completa, por lo queal, cualquier cambio repentino en el tamaño de la pantalla puede indicar un intento de intrusión.
7. Phishing por clonación
Este es otro tipo de ataque de phishing dirigido, por correo electrónico, que aprovecha servicios que el objetivo ha utilizado previamente. Los malos son conscientes de que la mayoría de las empresas requieren que los empleados hagan clic en los enlaces como parte de sus tareas diarias. Por ejemplo, muchas empresas utilizan DocuSign para intercambiar documentos electrónicos, por lo que los estafadores pueden crear correos electrónicos falsos para ese servicio específico.
Cómo detectarlo:
- Momentos extraños: Tenga cuidado con cualquier correo electrónico inesperado de un proveedor de servicios.
- Datos sensibles: Vigile los correos electrónicos que le piden información personal que el proveedor de servicios no solicitaría.
Evite los ataques de phishing con la formación de concienciación sobre seguridad de ATTACK Simulator
La formación en materia de seguridad para sus empleados es necesaria por muchas razones:
- Para prevenir los ciberataques y las brechas de seguridad
- Para reforzar sus defensas tecnológicas
- Para atraer más clientes
- Para que usted sea más responsable socialmente
- Para empoderar a sus empleados
- Para cumplir con los estándares de conformidad
- Para evitar los tiempos de inactividad y mantener una buena reputación
Cada día se envían más de mil millones de correos electrónicos de phishing, y muchos de ellos eluden los filtros de seguridad. Por lo tanto, es necesario poder confiar en que sus empleados estén atentos y detecten las estafas de phishing.
Puede defender su empresa con éxito, en parte, formando a sus empleados en materia de ciberseguridad y, especialmente, en los ataques de phishing, y, en parte, adoptando medidas de seguridad más rigurosas, como por ejemplo implementar la autenticación multifactorial y el análisis del comportamiento del usuario.
Nuestras simulaciones realistas de phishing expondrán a sus empleados a ataques de phishing falsos, pero inspirados en la vida real.
Estas son algunas de las increíbles ventajas por elegirnos:
- Simulación automatizada de ataques: simulamos todo tipo de ciberataques: phishing, malware, ransomware, spear-phishing, robo de identidad, ataques a la privacidad en línea, estafas en línea, etc.
- Escenarios de la vida real: evaluamos la vulnerabilidad de los usuarios a la hora de revelar datos personales o relacionados con la empresa mediante páginas web realistas.
- Análisis del comportamiento de los usuarios: reunimos los datos de los usuarios y los recopilamos en extensos informes para ofrecerle una imagen detallada sobre el nivel de conciencia de seguridad de sus empleados.
- Réplicas de archivos maliciosos – nuestros correos electrónicos contienen reproducciones de archivos maliciosos, para que la simulación sea lo más realista posible.
- Lecciones interactivas: si los empleados no reconocen nuestras trampas y caen en alguna, serán redirigidos a páginas de aterrizaje con lecturas rápidas sobre las mejores prácticas de seguridad.
- Imitamos marcas populares en nuestras páginas de phishing – el usuario se sienta más atraído a hacer clic en la URL o a abrir el archivo adjunto en el correo electrónico.
El programa de formación de concienciación sobre la seguridad de ATTACK Simulator le ayudará a equipar a sus empleados con los conocimientos necesarios y las prácticas actuales de seguridad para mantener su empresa a salvo de los estafadores y evitar daños potencialmente irreparables.

Atribución:
Imagen destacada: Imagen de Miranda Bleijenberg en Pixabay
Ilustraciones de datos de Storyset