\u00bfSabes lo peor? Lejos de desaparecer, con el auge de la IA (Inteligencia Artificial) y nuevos mecanismos de suplantaci\u00f3n de identidad como, por ejemplo, smishing (a trav\u00e9s de SMS), vishing (por llamadas telef\u00f3nicas) o quishing (mediante c\u00f3digos QR), este tipo de estafas son cada vez m\u00e1s sofisticadas y la posibilidad de caer en ellas es cada vez mayor.<\/p>\n
\u00a1Pero que no cunda el p\u00e1nico! El hecho de que este tipo de ciberestafas est\u00e9n muy bien dise\u00f1adas no significa que t\u00fa no puedas identificarlas y protegerte de ellas<\/strong>.<\/p>\n Pero, \u00bfc\u00f3mo lo hago? Pues f\u00e1cil, qu\u00e9date en esta gu\u00eda y te explico detalladamente qu\u00e9 es el phishing, las modalidades de este tipo de ataque y c\u00f3mo identificarlas para protegerte en Internet.<\/p>\n \u00bfEmpezamos?<\/p>\n Tabla de contenidos:<\/p> El phishing es una t\u00e9cnica de ingenier\u00eda social utilizada por ciberdelincuentes que tiene como objetivo obtener informaci\u00f3n personal, confidencial y bancaria de forma fraudulenta.<\/p>\n Por norma general, los ataques de phishing utilizan la suplantaci\u00f3n de identidad, en los que el atacante se hace pasar por una empresa confiable con la intenci\u00f3n de que el receptor ofrezca la informaci\u00f3n que buscan.<\/p>\n Hasta hace unos a\u00f1os, esta suplantaci\u00f3n de identidad se realizaba por correo electr\u00f3nico. \u00bfNunca recibiste un email de una entidad financiera que te ped\u00eda que pulsaras el enlace para cambiar tu contrase\u00f1a? \u00bfO te contactaron avisando de un cargo en tu cuenta bancaria y te piden que accedas para revisarlo?<\/p>\n Ahora, aunque se siguen realizando ataques a trav\u00e9s de correo electr\u00f3nico, estas t\u00e9cnicas de suplantaci\u00f3n de identidad se han diversificado:<\/p>\n \u00a1Y no son las \u00fanicas! M\u00e1s abajo veremos las nuevas variantes de phishing y c\u00f3mo lo hacen para enga\u00f1arnos.<\/p>\n Para que te hagas una idea, el t\u00e9rmino phishing es un juego de palabras que proviene del ingl\u00e9s y significa \u00abpescar\u00bb. Es decir, los ciberdelincuentes mediante un anzuelo, que puede ser un correo electr\u00f3nico o un SMS, intentan que una v\u00edctima caiga en \u00e9l y facilite informaci\u00f3n confidencial y sensible.<\/p>\n La mayor\u00eda de ataques de phishing siguen un patr\u00f3n bastante similar en cuanto a su funcionamiento. Aunque el mensaje y la personalizaci\u00f3n del mismo var\u00eda en funci\u00f3n del ataque que realizan, el procedimiento suele seguir esta secuencia:<\/p>\n Tanto si se trata de un ataque dirigido, es decir, a una persona o grupo concreto, como si es de forma masiva, los ciberdelincuentes se encargan de recopilar toda la informaci\u00f3n de estos sujetos para hacerles llegar su mensaje.<\/p>\n En este \u00faltimo caso, normalmente se hacen con listas de correo electr\u00f3nico o n\u00fameros de tel\u00e9fono obtenidos de forma ilegal.<\/p>\n Los ciberdelincuentes deciden a qui\u00e9n suplantan la identidad y elaboran un mensaje para ello. Por ejemplo, en las campa\u00f1as de phishing por email suelen utilizar elementos visuales de la marca o compa\u00f1\u00eda (logo, colores, tipograf\u00edas\u2026) y alg\u00fan \u201cgancho\u201d para enga\u00f1ar a la v\u00edctima: mensajes de urgencia, URL fraudulentas\u2026<\/p>\n En funci\u00f3n del tipo de phishing del que se trate, el mensaje se difunde a trav\u00e9s de email, SMS, llamadas telef\u00f3nicas, c\u00f3digos QR o incluso a trav\u00e9s del navegador web.<\/p>\n De todas las comunicaciones que se env\u00edan en un ataque, si es masivo, se recopila toda la informaci\u00f3n que el usuario facilita: datos personales, de pago, credenciales, etc. Esta informaci\u00f3n puede ser utilizada en el momento o vendida a otros ciberdelincuentes.<\/p>\n Aunque el objetivo siempre es el mismo, sustraer informaci\u00f3n confidencial de la v\u00edctima o instalar alg\u00fan software malicioso, la forma de llevar a cabo el ataque es diferente.<\/p>\n Por eso hablamos de diferentes tipos de phishing, que conviene conocer para saber c\u00f3mo operan los atacantes y las se\u00f1ales de alerta que te ayudar\u00e1n a mejorar tu seguridad.<\/p>\n Veamos cu\u00e1les son.<\/p>\n Quiz\u00e1 sea el primero que nos viene a la mente cuando hablamos de phishing. Tambi\u00e9n es conocido como phishing tradicional.<\/p>\n En este tipo de phishing, el ciberdelincuente suplanta la identidad de una empresa reconocida, como un banco, una empresa de transporte, o una instituci\u00f3n p\u00fablica. Al ser marcas altamente reconocidas, es probable que una gran parte de los receptores del email fraudulento sean usuarios de las mismas, lo abran y, algunos, piquen el anzuelo.<\/p>\n Estos correos electr\u00f3nicos est\u00e1n muy logrados. Es decir, utilizan todos los elementos de la marca: logo, tipograf\u00eda, paleta de colores\u2026 Y, por supuesto, falsifican las direcciones de correo electr\u00f3nico para que el email parezca del dominio real.<\/p>\n En cuanto al contenido de estos emails, suelen crear bastante urgencia o plantean un problema para que el usuario lo abra. Por ejemplo:<\/p>\n Tambi\u00e9n es bastante habitual recibir correos con un CTA de tipo \u00abReclama tu premio\u00bb en el que te indican que has ganado un sorteo y que puedes reclamar tu premio.<\/p>\n \u00bfLa finalidad? Que el usuario, mediante un enlace fraudulento, ceda sus datos. Pueden ser datos confidenciales, contrase\u00f1as o datos bancarios (claves de la banca online o el n\u00famero de la tarjeta o de tu cuenta).<\/p>\n \u00a1Ojo! Es f\u00e1cil pensar yo nunca caer\u00e9 en la trampa<\/em>, pero la alta personalizaci\u00f3n de los mensajes y cu\u00e1ndo ejecutan estas campa\u00f1as, parecen totalmente reales.<\/p>\n Un ejemplo de ello son los correos electr\u00f3nicos de phishing relacionados con un supuesto pedido de Amazon en fechas clave de esta marca, como \u00abLas ofertas de primavera\u00bb o \u00abLos Prime Days\u00bb, o \u00abEl Black Friday\u00bb de MediaMarkt.<\/p>\n Este tipo de emails suelen manifestar alg\u00fan problema con el pedido y en muchos casos te piden que abones una peque\u00f1a tasa, por ejemplo, dos euros en concepto de aduanas o gastos de transporte. Obviamente, no todos los usuarios que recibieron el email compraron esos d\u00edas en dichas tienda, pero\u2026 \u00bfY si lo recibi\u00f3 alguien que s\u00ed hizo un pedido esos d\u00edas?<\/p>\n Justo el caso opuesto al que acabamos de ver.<\/p>\n Mientras que el phishing masivo o tradicional se lanza a miles de usuarios sin realizar ninguna distinci\u00f3n, este tipo de phishing tiene a la v\u00edctima m\u00e1s estudiada. No tiene que ser una persona en concreto, sino que en ocasiones lo hacen a una empresa o a una organizaci\u00f3n.<\/p>\n Dentro de este grupo, los ataques m\u00e1s comunes son el spear phishing<\/strong>, el whaling<\/strong> y el clone phishing<\/strong>.<\/p>\n En el spear phishing<\/strong>, los ataques se dirigen a un usuario espec\u00edfico o a un grupo u organizaci\u00f3n con acceso a datos confidenciales que pueden ser beneficiosos para el ciberdelincuente.<\/p>\n El objetivo en este tipo de phishing puede ser la obtenci\u00f3n de datos sensibles, informaci\u00f3n confidencial, credenciales de acceso o incluso la infecci\u00f3n de los dispositivos mediante malware.<\/p>\n Para realizar el ataque y que sea efectivo, el atacante estudia bien a su v\u00edctima y se hace pasar por una persona de su confianza como, por ejemplo, alguien de su trabajo. Para ello, utiliza diversos canales como el email, los mensajes de texto, llamadas telef\u00f3nicas o incluso aplicaciones como WhatsApp.<\/p>\n Este tipo de phishing es mucho m\u00e1s costoso que el phishing tradicional (masivo) debido a la investigaci\u00f3n y la personalizaci\u00f3n que conlleva. Y precisamente esta personalizaci\u00f3n hace que los ataques de spear phishing sean tan peligrosos y a su vez tan efectivos.<\/p>\n Whaling significa \u00abcaza de ballenas\u00bb, as\u00ed que estar\u00edamos hablando de un tipo de phishing que tiene como objetivo presas de alto valor<\/strong>.<\/p>\n En otras palabras, un ataque de whaling tiene como objetivo personas con altos cargos en una organizaci\u00f3n (CEOs, CFOs\u2026). Normalmente, estas personas tienen acceso a informaci\u00f3n de gran valor para los atacantes, y lo que a\u00fan es mejor para ellos, la capacidad de realizar transferencias de fondos.<\/p>\n De manera muy similar al spear fishing, el ciberdelincuente realiza una investigaci\u00f3n muy detallada de su v\u00edctima para preparar un cebo muy personalizado. Esta investigaci\u00f3n puede realizarse en redes sociales profesionales como LinkedIn o incluso con el hackeo de cuentas de correo electr\u00f3nico.<\/p>\n Una vez tenga toda la informaci\u00f3n necesaria, suplantan la identidad de alguien que trabaja en la organizaci\u00f3n, proveedores, inversores, etc. para que le hagan una transferencia o que abran un archivo adjunto que tiene c\u00f3digo malicioso. A simple vista puede parecer dif\u00edcil caer en la trampa, pero con el uso de la IA y los deepfakes (videos, im\u00e1genes o audios generados con inteligencia artificial) las probabilidades de \u00e9xito aumentan.<\/p>\n Ojo, este tipo de phishing no siempre se realiza por correo electr\u00f3nico. Cada vez es m\u00e1s com\u00fan hacerlo v\u00eda telef\u00f3nica o incluso tomando el control remoto del equipo con el que trabajan.<\/p>\n Aunque es muy frecuente leer sobre casos de whaling en organizaciones, hay algunos ataques que se hicieron muy famosos por el impacto econ\u00f3mico que tuvieron. Por ejemplo, en 2016 la empresa de juguetes Mattel estuvo a punto de perder 3 millones de euros. Un directivo recibi\u00f3 un correo electr\u00f3nico suplantando la identidad del nuevo CEO solicitando una transferencia urgente a una cuenta bancaria. Y digo que casi pierde<\/i> porque la transferencia se cancel\u00f3 a tiempo, ya que ese d\u00eda era festivo en China, pa\u00eds de la cuenta bancaria de destino. O sea, \u00a1por los pelos!<\/p>\n\u00bfQu\u00e9 es phishing?<\/span><\/h2>\n
\n
Origen del t\u00e9rmino phishing<\/span><\/h3>\n
\u00bfC\u00f3mo funciona un ataque de phishing?<\/span><\/h3>\n
1. Recopilaci\u00f3n de la informaci\u00f3n de usuarios<\/span><\/h4>\n
2. Preparaci\u00f3n y personalizaci\u00f3n del mensaje<\/span><\/h4>\n
3. Env\u00edo<\/span><\/h4>\n
4. Recopilaci\u00f3n de datos robados<\/span><\/h4>\n
Tipos de phishing<\/span><\/h2>\n
Phishing masivo por email<\/span><\/h3>\n
\n
![\"Ejemplos](\"https:\/\/www.lucushost.com\/blog\/wp-content\/uploads\/2018\/08\/ejemplos-phishing.png\" "\\"\\"")
<\/p>\nPhishing dirigido<\/span><\/h3>\n
Spear phishing<\/span><\/h4>\n
Whaling<\/span><\/h4>\n
![\"Tabla](\"https:\/\/www.lucushost.com\/blog\/wp-content\/uploads\/2018\/08\/tipos-de-phishing-segun-canal.png\" "\\"\\"")
<\/p>\n![\""Comparaci\u00f3n](\"https:\/\/www.lucushost.com\/blog\/wp-content\/uploads\/2018\/08\/suplantacion-dominio-phishing.png\" "\\"\\"")
<\/p>\n