¿Qué es phishing? Una de las estafas más comunes y costosas para las organizaciones

En 2020, 61% de las empresas mexicanas notaron un aumento en los correos de phishing, según la encuesta Phishing Insights 2021. Y de acuerdo con la Secretaría de Seguridad Ciudadana, este tipo de fraude electrónico es el más frecuente en México, cometido a través de medios digitales, SMS, emails o páginas web.

El phishing es uno de los ciberataques más exitosos porque suele pasar desapercibido, y podemos definirlo como cualquier estafa cibernética donde un pirata informático engaña a una persona para que ofrezca información sensible o exponga datos confidenciales. El delincuente suele utilizar un archivo con malware oculto o un correo electrónico falso para que la víctima revele contraseñas, información transaccional u otros datos de identificación personal.

Por lo general, las personas detrás de los ataques de phishing no intentan robar dinero, sino algo mucho más valioso: información. Y cuando ocurre una violación de datos, las consecuencias para las empresas e individuos pueden ser graves.

En el día a día, tus colaboradores pueden caer víctimas a través de:

• Sitios web falsos que solicitan datos personales o institucionales. Van desde comercios electrónicos hasta páginas fraudulentas como las que prometen solucionar trámites, las que ofrecen préstamos exprés inexistentes, aquellas que se hacen pasar por sitios oficiales de entidades gubernamentales o hasta portales que son look-alikes de marcas conocidas, con dominios web casi idénticos a los oficiales.
• Enlaces de descarga para plataformas y herramientas de comunicación de trabajo remoto como Zoom o Slack.
• Emails que se hacen pasar por descargas de “actualizaciones críticas” para soluciones de colaboración empresarial.
• Archivos que vienen en formatos normales como .zip o .pdf, o en formatos sospechosos con extensiones como .vbs, .vbe, .wsh, .bat, .js o .jse.
• Correos electrónicos de falsos proveedores de servicios de TI que solicitan un pago para brindar soporte técnico.
• Emails fraudulentos que se hacen pasar por organizaciones gubernamentales para ingresar a una cuenta o proporcionar datos personales para resolver un problema o trámite.

Identificar las variedades de phishing para prevenirlas

Si estás preparando o reforzando la estrategia de ciberseguridad para tu organización, es importante que todos sus integrantes conozcan las formas más comunes de phishing. Esto les permitirá ser más críticos cuando reciban emails, links o archivos adjuntos.

1. Correo electrónico de suplantación de identidad (phishing)

La mayoría de los ataques de phishing son enviados por correo electrónico.

La táctica más común es la de registrar un dominio falso que imita al de una organización real para enviar miles de solicitudes. El dominio falso puede tener el nombre de la marca real, pero con variaciones en algunos caracteres; por ejemplo, utilizan “r” y “n” una al lado de la otra para que “rn” luzca como una “m”.

Alternativamente, usan el nombre en la dirección de correo electrónico (por ejemplo, mastercard@dominio.com), esperando que el nombre del remitente aparezca como “Mastercard” en la bandeja de entrada del destinatario, quien creerá que el email proviene de una marca conocida.

Hay varias formas de detectar un email de suplantación de identidad, pero como regla general siempre debes verificar la dirección electrónica de cualquier mensaje que te pida hacer clic en un enlace o descargar un archivo adjunto.

2. Spear phishing

También se realiza a través de correo electrónico, pero a un nivel más sofisticado porque se dirige a personas u organizaciones específicas. Quienes realizan este tipo de ataque suelen tener información particular sobre la víctima: nombre, lugar de trabajo, ocupación, dirección de correo electrónico, funciones laborales o usuario de acceso.

Uno de los casos más sonados fue el de Sony Pictures Entertainment en 2015, cuando la compañía recibió una serie de emails dirigidos a ingenieros de sistemas, administradores de redes y otros colaboradores a quienes se les pidió verificar sus IDs de Apple. Al verificar su cuenta de Apple, de forma involuntaria otorgaron acceso a la red de Sony, que los ciberdelincuentes aprovecharon para robar gigabytes de datos que incluían desde correos electrónicos e informes financieros, hasta copias digitales de películas que apenas se habían estrenado.

3. Ataque de whaling

Los ataques de whaling suelen apuntar a los ejecutivos de alto nivel. Aunque el objetivo final es el mismo que cualquier otro ataque de phishing, la técnica es mucho más sutil.

Se utilizan links falsos y URLs maliciosas haciéndose pasar por personas que tienen cargos superiores en la organización, para que los ejecutivos caigan y otorguen datos de pago, información confidencial o acceso a la red empresarial.

4. Smishing y vishing

Tanto en smishing como en vishing, los celulares reemplazan al email como método de comunicación. Smishing es cuando los delincuentes envían mensajes de texto (cuyo contenido es muy similar al del phishing por correo electrónico) y el vishing es a través de una conversación telefónica.

La estafa más común de vishing es cuando el criminal se hace pasar por un investigador de fraudes (por ejemplo, como empleado de un banco o institución financiera reconocida) y le dice a la víctima que su cuenta fue vulnerada. Luego, el delincuente pide a la víctima que le proporcione los datos de su tarjeta de pago para verificar su identidad o para transferir dinero a una cuenta “segura”, que en realidad es la del estafador.

En el smishing, la táctica más popular es cuando la víctima recibe un mensaje de texto que supuestamente proviene de su banco, avisándole que alguien intentó realizar una compra sospechosa con su cuenta. El sms le pide comunicarse a un número telefónico para cancelar la compra, ya sea otorgando un número de confirmación o algún dato que permita al delincuente acceder a una compra importante o a la cuenta del usuario.

5. Phishing en redes sociales

Las redes sociales permiten a los delincuentes engañar a las personas de múltiples formas: URLs falsas, sitios web, publicaciones, tuits y mensajería instantánea (que es básicamente lo mismo que el smishing) se pueden usar para persuadir a la gente de divulgar información confidencial o descargar un malware sin darse cuenta.

En julio de 2020, Twitter causó revuelo cuando algunos errores de sus empleados permitieron que un ataque de phishing hackeara las cuentas de personajes como Kim Kardashian, Bill Gates o Joe Biden. A través de mensajes y tuits fraudulentos que provenían de cuentas oficiales, los hackers lograron difundir una estafa de Bitcoin que les permitió recaudar más de 100 mil dólares.

Protege a tu organización de los fraudes cibernéticos

Para resguardar a tu empresa es fundamental adoptar prácticas avanzadas de ciberseguridad:

• Instalar soluciones para detectar actividades o intentos de login sospechosos.
• Usar tecnología de autenticación multifactor para acceder a los recursos de la organización.
• Usar filtros antispam en el correo electrónico.
• Actualizar todo el software de forma regular para prevenir que estén trabajando con vulnerabilidades.
• Monitorear de forma proactiva las redes y los puntos finales de comunicación.

También piensa que tus colaboradores son la última línea de defensa ante los ataques de phishing (y otros). Haz que estos consejos se vuelvan sus mantras de trabajo:

• Tengan reglas claras sobre lo que pueden y no pueden compartir, incluso dentro de la propia compañía.
• Verifiquen los dominios de los correos electrónicos que reciben, para detectar si alguno luce sospechoso.
• Cuando reciban correos de instituciones “oficiales”, busquen inconsistencias en la fuente, el logotipo, el color y la redacción del mensaje.
• Cambien las contraseñas de inmediato si sospechan que fueron víctimas de un email de suplantación de identidad.
• Evalúen periódicamente su conocimiento sobre seguridad informática, para detectar cuáles son las áreas de oportunidad de aprendizaje entre tus empleados.

El impacto del phishing no solo es económico, sino también puede derivar en pérdida de propiedad intelectual y daños a la reputación. Ahora que conoces más sobre las circunstancias donde se presentan los ataques de phishing, no dudes en reforzar las medidas de seguridad de tu compañía.