El phishing es un tipo de ataque informático en el que los delincuentes intentan obtener información confidencial, como contraseñas, información bancaria o de tarjetas de crédito, haciéndose pasar por una entidad legítima a través de correos electrónicos, mensajes de texto, llamadas telefónicas o sitios web falsos.
Los correos electrónicos o mensajes de phishing a menudo incluyen enlaces que parecen legítimos, pero en realidad llevan a sitios web falsos que pueden parecerse a los sitios web reales, pero que están diseñados para robar información personal. Es importante tener cuidado al abrir correos electrónicos y mensajes de texto sospechosos, y nunca proporcionar información personal a través de sitios web no confiables.
Características del phishing
Algunas características del phishing son:
- Suplantación de identidad: los atacantes se hacen pasar por una entidad legítima, como una empresa o una organización gubernamental, para engañar a las personas.
- Engaño: los ataques de phishing suelen utilizar tácticas engañosas para incitar a las personas a proporcionar información confidencial, como mensajes de correo electrónico que afirman que hay un problema con la cuenta del destinatario y que deben proporcionar sus credenciales para solucionarlo.
- Uso de enlaces o archivos adjuntos maliciosos: los correos electrónicos o mensajes de phishing suelen incluir enlaces o archivos adjuntos maliciosos que, una vez que se hacen clic o se descargan, pueden instalar malware en el equipo del usuario o dirigirlo a un sitio web falso.
- Falsificación de sitios web: los sitios web falsos creados por los atacantes a menudo tienen una apariencia similar a la de los sitios web legítimos, lo que puede hacer que las personas proporcionen información sin darse cuenta de que están siendo engañadas.
- Consecuencias negativas: el phishing puede tener consecuencias negativas, como la pérdida de información personal o financiera, la exposición a malware o la infección del sistema informático, el robo de identidad y el fraude financiero.
Tipos de ataques del phishing
Hay varios tipos de ataques de phishing, cada uno con sus propias características y enfoques. Algunos de los tipos de ataques de phishing más comunes incluyen:
Phishing de suplantación de identidad
En este tipo de ataque, el atacante se hace pasar por una entidad de confianza, como un banco, una empresa de tecnología o una red social. Los correos electrónicos, mensajes de texto o sitios web falsos se utilizan para engañar a las personas y hacer que revelen información confidencial.
Spear Phishing
En el spear phishing, los atacantes se dirigen a individuos específicos o a un grupo selecto de personas, a menudo empleando información personal previamente recopilada. Esto hace que los ataques sean más convincentes y peligrosos.
Whaling
Este es un tipo de phishing dirigido a personas de alto nivel en una organización, como CEOs o directores ejecutivos. Los atacantes pretenden ser personas de confianza o miembros de la alta dirección para obtener información sensible.
Vishing
El vishing es la versión de phishing que se realiza a través de llamadas telefónicas. Los atacantes se hacen pasar por entidades legítimas y solicitan información confidencial por teléfono.
Smishing
En el smishing, los atacantes utilizan mensajes de texto o SMS para engañar a las personas. Estos mensajes suelen contener enlaces maliciosos o solicitudes de información personal.
Pharming
En lugar de depender de la interacción del usuario, el pharming redirige automáticamente a las víctimas a sitios web falsos, sin que estas lo sepan. Esto se logra a menudo manipulando la configuración de DNS o utilizando software malicioso.
Clone Phishing
En este tipo de ataque, un correo electrónico legítimo previamente enviado se clona y se modifica para incluir enlaces maliciosos o adjuntos. El correo electrónico clonado se envía nuevamente a la víctima, lo que puede hacer que parezca más confiable.
Malware distribuido a través de phishing
Los atacantes pueden utilizar correos electrónicos de phishing para distribuir malware, como troyanos o ransomware, que se instala en los sistemas de las víctimas una vez que hacen clic en un enlace o abren un archivo adjunto.
Phishing de soporte técnico
En este tipo de estafa, los atacantes hacen que las víctimas crean que tienen problemas técnicos en sus computadoras y les instan a llamar a un número de soporte técnico falso, donde se les solicitará información confidencial o se les pedirá acceso remoto a sus sistemas.
Phishing de redes sociales
Los atacantes utilizan plataformas de redes sociales para crear perfiles falsos o engañar a las personas para que hagan clic en enlaces maliciosos que llevan a sitios de phishing.
Recomendaciones para evitar el Phishing
Algunas recomendaciones para ayudar a evitar el phishing:
- Sospecha de correos electrónicos no solicitados: Sé escéptico con los correos electrónicos no solicitados o inesperados, especialmente si contienen enlaces o archivos adjuntos. No hagas clic en enlaces ni descargues archivos adjuntos de correos electrónicos sospechosos.
- Verifica la dirección de correo electrónico del remitente: Examina la dirección de correo electrónico del remitente para asegurarte de que sea legítima. Los atacantes pueden falsificar la dirección del remitente, así que presta atención a los detalles.
- No reveles información confidencial: Nunca proporciones información personal, contraseñas, números de tarjeta de crédito o datos financieros a través de correos electrónicos o sitios web no verificados.
- Utiliza la autenticación de dos factores (2FA): Habilita la autenticación de dos factores siempre que sea posible. Esto agrega una capa adicional de seguridad al requerir una segunda forma de autenticación además de la contraseña.
- Verifica la autenticidad de los sitios web: Antes de ingresar información en un sitio web, asegúrate de que la dirección (URL) sea correcta y que el sitio utilice cifrado (comienza con «https://»). Ten cuidado con las imitaciones de sitios web, que a menudo tienen direcciones web similares a las legítimas.
- Mantén tu software actualizado: Mantén tu sistema operativo, navegadores y programas de seguridad actualizados para protegerte de vulnerabilidades conocidas que los atacantes pueden explotar.
- Instala un software antivirus confiable: Utiliza software antivirus y antimalware actualizado en tus dispositivos para ayudar a detectar y prevenir amenazas.
- Educa a los empleados y familiares: Capacita a tus empleados y a tus familiares sobre los riesgos del phishing y cómo identificar correos electrónicos o mensajes sospechosos. La concienciación es fundamental para evitar caer en trampas de phishing.
- Utiliza filtros de correo no deseado: Aprovecha las funciones de filtro de correo no deseado en tu cliente de correo electrónico para reducir la cantidad de correos electrónicos de phishing que llegan a tu bandeja de entrada.
- Confirma solicitudes inusuales: Si recibes una solicitud inusual o sospechosa por correo electrónico, incluso si parece provenir de una fuente conocida, verifica su autenticidad contactando a la entidad a través de canales oficiales antes de tomar cualquier medida.
- Reporta correos electrónicos de phishing: Si recibes un correo electrónico de phishing, repórtalo a la entidad legítima y a las autoridades cibernéticas de tu país. También puedes marcarlo como correo no deseado en tu cliente de correo electrónico.
- Mantén un respaldo de datos: Realiza copias de seguridad de tus datos importantes en caso de que te conviertas en víctima de un ataque de ransomware o pérdida de datos.
Empresas víctimas del Phishing
Varias empresas y organizaciones han sido víctimas de ataques de phishing a lo largo de los años. Estos ataques pueden tener graves consecuencias para la empresa, incluyendo la pérdida de datos confidenciales, la exposición de información sensible y el daño a la reputación. Aquí hay algunos ejemplos de empresas y organizaciones que han experimentado ataques de phishing notables:
Sony Pictures Entertainment (2014)
Sony Pictures sufrió un ataque de phishing que resultó en la filtración de una gran cantidad de datos confidenciales, incluyendo correos electrónicos internos, información financiera y películas no lanzadas. El grupo de hackers «Guardians of Peace» se atribuyó la responsabilidad y afirmó que fue en respuesta al lanzamiento de la película «The Interview».
Equifax (2017)
La compañía de informes crediticios Equifax fue víctima de un ataque de phishing que llevó a una brecha de seguridad masiva. Los atacantes explotaron una vulnerabilidad en una aplicación web y accedieron a información personal de casi 147 millones de personas, incluyendo números de seguridad social y datos financieros.
Google (2017)
Google sufrió un ataque de phishing que se dirigía principalmente a periodistas y activistas. Los atacantes enviaron correos electrónicos maliciosos que pretendían ser de Google y solicitaban credenciales de inicio de sesión. Los atacantes pudieron acceder a las cuentas de correo electrónico de las víctimas.
Wannacry Ransomware (2017)
Aunque no fue un ataque de phishing típico, el ransomware WannaCry se propagó a través de un exploit de phishing llamado EternalBlue. El ataque afectó a organizaciones de todo el mundo, incluyendo hospitales, empresas y gobiernos.
IRS (Internal Revenue Service) (varios años)
Los estafadores han utilizado ataques de phishing dirigidos a los contribuyentes, haciéndose pasar por el IRS de Estados Unidos. Los correos electrónicos de phishing suelen incluir solicitudes de información personal o financiera y pueden ser particularmente efectivos durante la temporada de impuestos.
Yahoo (2013 y 2014)
Yahoo experimentó dos brechas masivas que afectaron a miles de millones de cuentas de usuarios. Los atacantes utilizaron el phishing como parte de sus tácticas para acceder a las cuentas de los usuarios y robar información.