El phishing es un ciberdelito que utiliza diferentes tácticas, como correos electrónicos, sitios web y mensajes de texto engañosos, para obtener información de carácter personal de los usuarios. Los atacantes utilizan la información obtenida para el robo de identidad y el fraude.
Del phreaking al phishing
El término phishing tiene sus raíces en el phreaking de los años 60, es decir, la manipulación fraudulenta de señales telefónicas. La gente que practicaba el phreaking solía silbar para recrear el tono de 2.600MHz de la señal de enrutamiento del teléfono. ¡Todo este esfuerzo para hacer llamadas telefónicas gratuitas! Por lo tanto, las palabras: teléfono, gratis («free») y friki («freak») crearon la palabra «phreaking».
La palabra phishing fue utilizada por primera vez en 1996 por piratas informáticos que intentaban robar cuentas y contraseñas de America Online. Parecido al deporte de la pesca con caña, los estafadores «pescaban» contraseñas e información financiera en el «mar» de los usuarios de Internet. Esta analogía llevó a la invención del término phishing, sustituyendo la «f» de «fishing» por la «ph» de «phreaking».
¿Cómo funciona el phishing?
Imagínese que al consultar su correo electrónico encuentra un mensaje de su banco. Ya ha recibido correos electrónicos del banco antes, pero este contiene un mensaje sospechoso que amenaza con cerrar su cuenta si no responde inmediatamente. Este mensaje es un ejemplo de phishing.
Los phishers eligen una empresa como objetivo y consiguen obtener las direcciones de correo electrónico de los clientes de esa empresa. Una vez que han localizado a sus víctimas, trabajan en el método de entrega del mensaje. La mayoría de las veces, optan por una página web.
Al menos una vez en su vida ha recibido un mensaje que parece provenir de una fuente fiable. El correo electrónico intenta engañarle para que pulse sobre un enlace e introducir información confidencial o para que ejecute un archivo ejecutable que permite el acceso a su equipo de forma secreta.
Aunque los phishers utilizan varios métodos de estafa, principalmente utilizan la manipulación de enlaces y la falsificación de sitios web, con el objetivo de lograr que su mensaje sea más convincente.
Tipos de phishing
Los ataques de phishing son tan antiguos como la propia Internet. Por ello, los métodos de phishing han mejorado a lo largo de los años y se han perfeccionado. A continuación se presentan 6 tipos de ataques de phishing más comunes:
El correo electrónico
Este es uno de los ciberataques más conocidos. Los phishers envían correos electrónicos a los usuarios suplantando a una empresa de confianza y utilizan tácticas de ingeniería social para convencer a los usuarios de que es imprescindible pulsar o descargar un archivo.
Los enlaces incluidos en el correo electrónico conducen a sitios web maliciosos que roban credenciales o instalan código malicioso en el dispositivo del usuario.
Spear phishing
Cuando el ataque se dirige a una persona, organización o empresa concreta, se denomina spear phishing. Este método utiliza la inteligencia de fuente abierta (OSINT) para recopilar datos de fuentes públicas, como las redes sociales o los sitios web, y luego dirigirse a una persona determinada dentro de una empresa.
Como los phishers utilizan nombres reales y funciones laborales, el destinatario puede pensar que el correo electrónico procede de alguien de la empresa. Pensando que se trata de una solicitud interna, la persona realiza la acción solicitada en el correo electrónico.
Desde 2006 hasta 2020, Estados Unidos registró 156 ciberataques importantes. Por ello, es imprescindible formar a sus empleados para la concienciación en materia de seguridad.
Whaling
Al igual que el spear phishing, el whaling también utiliza OSINT. Los atacantes encuentran el nombre del director general de una entidad objetivo y luego suplantan a esa persona utilizando una dirección de correo electrónico similar. A través del correo electrónico, el atacante puede pedir una transferencia de dinero o la revisión de un determinado documento.
Vishing
Se trata de un tipo de phishing de voz por el que una persona malintencionada llama a un número de teléfono y crea la impresión de una emergencia, logrando que la víctima realice una acción en contra de sus intereses. Asegúrese cuando recibe una llamada telefónica de alguien que solicita información personal inusual para el tipo de persona que llama.
Smishing
El smishing, también conocido como phishing por SMS, es un tipo de ciberataque realizado a través de mensajes de texto. Lamentablemente, a diferencia del phishing por correo electrónico, que los filtros de seguridad pueden identificar y bloquear, el smishing puede entrar en los teléfonos de los usuarios casi sin problemas. Y lo que es peor, este tipo de ataque de phishing ha evolucionado en los últimos años hasta convertirse en toda una serie de estafas y programas maliciosos dirigidos a los dispositivos móviles de los usuarios.
Angler
Debido al gran uso de las redes sociales, es natural que aparezca el fenómeno de angler phishing. Al igual que el vishing y el smishing, este tipo de ataque implica el uso de notificaciones o funciones de mensajería directa en una aplicación de redes sociales. A través de la notificación, el atacante envía un mensaje que le pide al usuario que realice una acción.
La necesidad de concienciación en materia de seguridad
Como los tiempos difíciles exigen medidas drásticas, el preocupante número de ataques de phishing exige medidas de prevención eficaces. Nuestro equipo – Attack Simulator – está aquí para responder a sus necesidades con una serie de servicios diseñados para aumentar la conciencia de seguridad.
Le ofrecemos una formación automatizada de concienciación sobre la seguridad, para aumentar la atención de sus empleados a los ciberataques. Siempre es mejor prevenir que curar, incluso cuando se trata de la seguridad en línea.
Atribución:
Imagen destacada: Vector de ordenador creado por freepik – www.freepik.com
