Comunicaciones y Sistemas, Soluciones y consultoría

Phishing: no bajes la guardia

Índice del contenido

Lejos de perder efectividad, el phishing es una de las técnicas de ingeniería social que sigue aumentando por el gran porcentaje de éxito que tienen los ciberataques que la utilizan.

El Grupo de Análisis de Amenazas (TAG) de la plataforma Google ha desvelado que en lo que va de 2021 han aumentado los mensajes de alerta por ataques de phishing enviados por la compañía a sus usuarios un 33% respecto al año anterior. En 2020 fue, en su momento, récord debido a los efectos negativos de la pandemia sobre la seguridad de las organizaciones.

El éxito de los ataques de phishing está en que utilizan el único factor que no puede ser controlado por un antivirus: la naturaleza humana. Conocer a fondo en qué consiste el phishing y la manera de protegerse es la única forma de no bajar la guardia ante esta exitosa técnica de ciberdelincuencia.

¿Qué es el phishing?

El phishing es una técnica de ingeniería social de suplantación de identidad utilizada por la ciberdelincuencia. La víctima es contactada por alguien que se hace pasar por otra persona o una institución legítima con el fin de engañarla para que realice una determinada acción que permita al ciberdelincuente obtener datos confidenciales con los que culminar su ataque. Las vías de contacto más frecuentes son el correo electrónico, el teléfono y los mensajes de texto.

El phishing tiene como objetivo engañar a particulares, además, suele ser poco elaborado y es lanzado contra muchos objetivos a la vez. De esta forma, basta con que un pequeño porcentaje caiga en él para que el ciberdelincuente obtenga los resultados deseados. Un ejemplo muy frecuente son los SMS aparentemente enviados por una entidad bancaria en los que se insta al receptor a dar una serie de datos para evitar un cargo o un bloqueo en su cuenta o tarjeta.

Sin embargo, cuando el objetivo del phishing son las organizaciones, su elaboración suele llevar detrás muchas horas de investigación por parte del ciberdelincuente. El engaño es mucho más sofisticado y personalizado, también más difícil de detectar y el objetivo suele ser único.

¿Qué tipos existen?

Atendiendo la vía que utilizan para establecer el contacto, encontramos los siguientes tipos de phishing:

  • Email phishing: el correo electrónico es la vía de contacto más frecuente cuando el objetivo es una organización. El correo lleva adjunto un archivo que al ser descargado permite al ciberdelincuente tomar el control de ordenador o un enlace que al pincharlo redirige a una página web fraudulenta, la cual recogerá los datos que el objetivo deposita en ella. A veces, el ciberdelincuente clona algún correo verdadero y cambia el archivo o enlace adjunto por otro fraudulento.
  • Smishing: es el phishing que se realiza a través de mensaje de texto: SMS o en alguna plataforma de mensajería. También incluyen archivos para ser descargados, enlaces a webs fraudulentas y, a veces, instrucciones para introducir unas claves que cambiarán algunas contraseñas y darán el control del dispositivo al ciberdelincuente.
  • Vishing: es el phishing que se realiza a través de una llamada telefónica en la que suelen pedir directamente datos confidenciales con la excusa de solucionar un determinado problema grave que primero han planteado al objetivo.

Atendiendo a los objetivos

  • Fraude del CEO: una de las técnicas de phishing más sofisticadas y que mayor daño han provocado estos últimos años a las organizaciones. El objetivo son los empleados. Después de estudiar a fondo las dinámicas de la empresa, el ciberdelincuente suplanta la identidad de uno de los directivos de la empresa, normalmente a través del correo electrónico, y da la orden para realizar una acción, generalmente financiera o le pide determinada información.
  • Whaling: está dirigido a alguno de los directivos de la empresa y el ciberdelincuente suplanta la identidad de uno de sus contactos o de alguna otra organización con la que tenga relaciones de negocio. Su objetivo también es recoger la información que necesita.
  • Spare phishing: el objetivo es cualquier persona de la organización. El ciberdelincuente suplanta la identidad de alguno de sus contactos personales, compañeros de trabajo o de alguna organización de su confianza. El contacto se establece después de que el ciberdelincuente haya estudiado muy bien a su víctima a través de las redes sociales y el resto de entornos digitales en los que deje información.

Reconocer un mensaje de phishing

Muchos mensajes de phishing tienen unas determinadas características y elementos, sin embargo, hay que ser consciente de que, cuando el ataque es muy sofisticado y fruto de un largo estudio previo, a veces son casi imposibles de detectar:

  • Urgencia: Es una de características más comunes. Generalmente, los mensajes de phishing urgen a realizar una acción determinada para evitar que ocurra un supuesto perjuicio inminente que tendrá graves consecuencias para el individuo o la organización.
  • Oferta: A veces, el cebo es una oferta que supone una gran oportunidad para el individuo o la organización. También va acompañada del factor urgencia.
  • Enlaces: Contienen enlaces en los que hay que pinchar para seguir adelante con una acción u obtener más información.
  • Archivos: Contienen archivos que hay que descargar para poder tener más información o seguir adelante con una acción.
  • Redacción extraña: Mala redacción del texto, faltas de ortografía o utilización de un lenguaje o un tono que no son los habituales en el contacto suplantado. Esta característica no suele estar presente en los ataques más sofisticados.
  • Dirección incorrecta: Tanto la dirección del remitente como los enlaces integrados en el texto tienen alteraciones respecto a las reales suplantadas. A veces son tan mínimas, que cuesta identificarlas.
  • Diseño desajustado: El logotipo o los elementos visuales están colocados o dimensionados de forma diferente a la habitual. En los ataques más sofisticados, la copia suele ser bastante realista.

Cómo proteger a la organización frente al phishing

El eslabón más débil de la cadena de seguridad corporativa es el factor humano, y el phishing explota esta vulnerabilidad. Por eso, para proteger con efectividad a la organización se necesita una actuación combinada de tecnología y personas.

Tecnología

  • Contar con un agente avanzado de comportamiento o EDR que permita bloquear posible malware desconocido que el correo pudiera llevar adjunto.
  • Establecer una estrategia de protección multicapa del correo electrónico corporativo, que no solo contenga defensas basadas en análisis básico del contenido del correo electrónico, sino que contemple, también, defensas para neutralizar ataques de ingeniería social con técnicas avanzadas de phishing, basadas fundamentalmente en el análisis del comportamiento del buzón del usuario mediante inteligencia artificial.
  • Mantener siempre actualizado el sistema operativo.

Personas

  • Mantenerse al día de cada una de las nuevas variantes de phishing a través de formación e información continuada y actualizada.
  • Establecer rutinas de protección para la actividad diaria, como no pinchar en ningún enlace o descargar ningún archivo sin estar seguro antes de su procedencia y adecuación al contexto de trabajo.
  • Hacer una comprobación del remitente cuando el correo incluya enlaces o archivos sospechosos o no esperados.
  • Nunca proporcionar claves o contraseñas.
  • Tener establecida en la organización una doble vía de confirmación para todas las peticiones de movimientos financieros.
  • Implementar las verificaciones en dos pasos.

Apuesta por Sothis y previene el phishing

En Sothis, nuestro alto nivel de conocimiento y nuestra experiencia en seguridad de la información nos permiten diseñar estrategias integrales de protección a medida de las necesidades de cada cliente. Además, contamos con un SOC totalmente equipado para detectar amenazas, lo que nos habilita para conectar las soluciones de protección corporativas con el centro de respuesta ante incidentes de seguridad.

Comparte

No es sólo un blog

Noticias y avances sobre
tecnología

No data was found

Consigue el eBook

De conformidad con lo establecido en la normativa vigente en materia de protección de datos, le informamos que sus datos serán tratados por Sothis Enterprise Resource Planning, S.L.U. con el fin de atender las solicitudes que nos formule en base a la ejecución de un acuerdo. Puede ejercer sus derechos de acceso, rectificación, supresión, oposición, así como los demás que la normativa reconoce al interesado, mediante solicitud dirigida a c/ Charles Robert Darwin, 13 – Parque Tecnológico cp. 46980 Paterna (Valencia), o por correo electrónico a rgpd@sothis.tech adjuntando copia de su DNI o documentación que le identifique. Puede consultar información adicional sobre el tratamiento de datos en SOTHIS en nuestra Política de Privacidad.

¡Gracias!

Tu formulario se ha enviado correctamente-