loader

¿Qué es el phishing y cómo evitarlo?

Phishing Tarjeta de crédito encanchada con un anzuelo sobre un teclado de computadora

En 2021, el 80 % de las organizaciones fueron víctimas de un ataque de phishing. Conozca cómo proteger a su organización de este ciberataque. 

 

El phishing es un ciberataque en el que una persona es contactada por correo electrónico, teléfono o mensaje de texto por alguien que se hace pasar por una institución o una persona de su confianza. Los cibercriminales buscan que la víctima le proporcione datos confidenciales, para robarle su identidad, pedirle dinero o realizar cargos fraudulentos en su tarjeta de crédito.

 

Los ataques de phishing, cada vez más especializados, pueden perjudicar a su empresa a través de pérdidas económicas hasta incluso afectar su reputación. Por eso es importante que conozca las distintas modalidades bajo las cuales operan los ciberdelincuentes y de qué forma puede proteger a su organización. Aquí compartimos un resumen de todo lo que necesita saber sobre este tipo de ciberataque. 

¿Qué es el phishing y cómo funciona? 

El phishing es un ciberataque en el que una persona es contactada por correo electrónico, teléfono o mensaje de texto por alguien que se hace pasar por una institución legítima o una persona de su confianza. A través de distintas estrategias, buscan que la víctima le proporcione datos confidenciales como: datos de identificación personal, detalles bancarios y de tarjetas de crédito, contraseñas, etc.

 

Luego, dicha información es utilizada para robar la identidad de la persona, pedirle dinero o realizar cargos fraudulentos en su tarjeta de crédito.

Tipos de phishing

El ingenio de los ciberdelincuentes hace que cada vez existan más tipos de phishing y, al mismo tiempo, más especializados. A continuación, nombramos los principales: 

Email phishing

Se trata de una de las modalidades más extendidas en la que el ciberdelincuente, suplanta una organización genuina y envía miles de solicitudes genéricas. 

 

Algunas de las características de un correo electrónico de phishing son:

  • El dominio falso puede tener una suplantación o cambio del orden de los caracteres que, al verlo de forma rápida, parece genuina. Un ejemplo sería reemplazar “m” por una “rn” o “micorsoft” en vez de “microsoft”.
  • Hora de envío fuera del horario comercial.
  • Puede poner en copia a miembros de su organización agrupando a personas que no están relacionadas o en listados demasiados extensos. 
  • Hipervínculos que llevan a un sitio diferente al del dominio del mail, dirección con muchos caracteres o con alteración en el orden de los caracteres con apariencia de genuino.
  • Solicita que descargue un archivo.
  • En el contenido pide que haga clic en un link para evitar consecuencias graves o ganar algo muy preciado, solicita que descargue un archivo con imágenes comprometedoras, el texto tiene grandes errores de redacción. 

 

Estos son algunos de los aspectos a tener en cuenta para evitar ser víctima del phishing.

 

Spear phishing

El spear phishing es una estafa a través de correo electrónico, pero, a diferencia del anterior, se trata de envíos de Email maliciosos a una persona específica. 

 

Los ciberdelincuentes se comunican y cuentan con información detallada sobre la víctima, como, por ejemplo, su nombre, dónde trabaja, su título profesional, dirección de E-mail, datos sobre su puesto laboral. Por lo general, también conoce que su función dentro de la empresa le permite realizar transferencias bancarias en nombre de la organización.

 

A diferencia del phishing común, tienen un excelente manejo del vocabulario y el formato del mail parece ser genuino. 

 

Whaling

El whaling es otro de los ataques especializados de phishing a través de correo electrónico, en este caso apuntan a los altos ejecutivos y utilizan una técnica mucho más sutil. 

Es frecuente que los delincuentes usen el pretexto de un director general ocupado que quiere que un empleado le haga un favor.

 

A través de una estrategia psicológica conocida como Ingeniería Social, juegan con el miedo de los colaboradores de fallar al no seguir las instrucciones de “su jefe”. Quienes, aunque tengan sospechas de la veracidad del pedido, tienen demasiado miedo de confrontar al remitente y quedar como si no fueran profesionales.

 

Phishing por WhatsApp

En el phishing por WhatsApp, los ciberdelincuentes escriben en nombre de un familiar o amigo, desde un número desconocido, pero con una foto de perfil que le resulta conocida a la víctima. En la mayoría de los casos piden una ayuda económica de un importe grande para pagar una deuda urgente o aducen tener una emergencia, por lo que necesitan el dinero con rapidez. 

 

Esta modalidad conlleva un trabajo de inteligencia previa por parte de los delincuentes, quienes toman de los perfiles de redes sociales las fotos, eventos que compartieron la víctima y el familiar o amigo, como así también qué vocabulario utilizan de forma habitual. 

 

Para detectar este tipo de estafa puede tener en cuenta esta información:

  • Se comunica desde un número desconocido y enseguida pide dinero.
  • No quiere que lo llame por teléfono. 
  • El lenguaje escrito es deficiente o un vocabulario que le resulta poco familiar.
  • Pide transferencias a cuentas bancarias desconocidas. 
  • Solicita que le envíe alguna información sensible como claves o códigos de verificación. 
  • Llame al número que tiene de su amigo o familiar para corroborar la historia. 

 

Smishing and vishing

En estos casos, el método de comunicación es a través del teléfono. 

 

  • En el smishing los estafadores envían mensajes de texto (con un contenido muy similar al del phishing por correo electrónico) 
  • En el vishing se comunican con una conversación telefónica.

 

Los argumentos más usados en esta modalidad son: alertar sobre actividades sospechosas en su cuenta bancaria u ofrecer un beneficio extraordinario que debe gestionar con urgencia para no perderlo.

 

Angler phishing

El angler phishing es una modalidad de ataque bastante nueva, donde las redes sociales son empleadas para engañar a los clientes. 

 

A través de URL falsas, sitios web, publicaciones y tweets clonados; y la mensajería privada por redes impulsan a las personas a divulgar información confidencial o descargar malware. 

 

Otra forma, es utilizar los datos publicados en redes con quejas. Los ciberdelincuentes toman estos comentarios y le piden al cliente que le brinde sus datos personales para darle una compensación, sin embargo, lo que obtiene la persona al ofrecer su información es el ataque a sus cuentas. 

 

¿Cómo evitar ataques de phishing en una empresa?

La prevención de ataques de phishing se apoya en dos pilares: el humano y el tecnológico. Por ello, para tener éxito es necesario fortalecer ambos aspectos.  

1) Difunda la cultura de la ciberseguridad entre sus colaboradores

Como hemos visto, la puerta de entrada del phishing en cualquiera de sus modalidades son las personas y la manipulación que realizan los cibercriminales a través de la Ingeniería Social. Por ello, es preciso mantener a su personal actualizado sobre las distintas formas y el modus operandi de cada una de ellas. 

Recuerde, la mejor manera de proteger a su organización es la prevención y rápida acción ante los ataques (en caso de que lleguen a suceder). Por lo que es preciso inculcar esta cultura entre los colaboradores, alentándolos a denunciar casos sospechosos o incidentes con gran celeridad. 

 

Una estrategia muy útil para evitar los ataques de phishing, es “entrenar” o concientizar a los colaboradores con simulaciones. Esto ayudará a saber si la capacitación de concientización del personal fue efectiva y quiénes necesitan reforzar la información. En Lockbits ofrecemos el servicio Social Engineering Testing

 

Se trata de un servicio que permite evaluar la seguridad de los recursos y activos de la organización desde la perspectiva de las personas y la ciberseguridad.

 

El objetivo es identificar las vulnerabilidades existentes respecto a la concientización y el conocimiento sobre diferentes vectores de ataques orientados a los colaboradores de nuestra institución o empresa. Lo anterior con el propósito de medir el desempeño de las personas frente a posibles ataques y poder aplicar planes de concientización en caso de ser necesario.

 

2) Implementar las medidas tecnológicas apropiadas

Implemente prácticas y tecnologías sólidas de ciberseguridad para evitar la mayor cantidad posible de intentos de phishing y asegúrese de que, si tienen éxito, no lleguen mucho más lejos. Para lograrlo, procure obtener conocimientos globales detallados y actualizados sobre amenazas específicas y fuentes de ataque. 

 

Desde Lockbits podemos ayudar a su organización a través de la solución ESET Threat Intelligence que le ofrece:

Feeds de datos en tiempo real

Los feeds de datos de ESET Threat Intelligence utilizan los formatos STIX/TAXII que al tener excelente nivel de admisión, facilita su integración con las herramientas SIEM existentes. De este modo, contribuye a fortalecer a los proveedores de servicios y les brinda la información actualizada sobre las amenazas para predecirlas y prevenirlas antes de que ataquen.

 

En la actualidad, están disponibles los 3 tipos principales de feeds: de botnet, de archivo malicioso y de dominio. Todos ellos contienen nuevos metadatos que se actualizan cada 5 minutos.

Informes de alertas tempranas

Estos informes están basados en las coincidencias de reglas YARA. Puede tratarse de programas, actividades o configuraciones relacionadas que se estén preparando o que se estén usando en un ataque contra una organización específica o su cliente.

 

Potente API

Incluye una API completa que está disponible para automatizar informes, reglas YARA y otras funcionalidades para permitir la integración con los otros sistemas existentes en las organizaciones.

 

Envío de muestras de malware para Android 

Con ESET Threat Intelligence, es posible monitorear si el malware para Android está intentando atacar las aplicaciones móviles de la empresa. Esto es muy importante para los bancos y otras industrias que cuentan con apps propias. 

 

Además, en cualquier momento, la empresa puede cargar una aplicación para Android en ESET Threat Intelligence y realizar un análisis completo del archivo .apk.

 

Reglas YARA 

La plataforma permite configurar reglas personalizadas para obtener la información específica, de gran interés para los ingenieros de seguridad. 

 

Una vez configuradas, las organizaciones obtienen detalles valiosos, como:

  • la cantidad de veces que se detectó la amenaza en todo el mundo, 
  • las direcciones URL que contienen código malicioso, 
  • el comportamiento malicioso en el sistema, 
  • dónde se detectó, ente otros datos.

 

Análisis automatizado de muestras 

Crea un informe personalizado del archivo o hash enviado, lo que proporciona datos relevantes para la toma de decisiones basadas en hechos y en la investigación de incidentes.

 

Estas funcionalidades, más el soporte de un equipo de expertos, hará que la seguridad de su empresa ante los ataques de phishing tenga un desempeño exitoso. Tan solo es necesario adoptar un enfoque integral de la seguridad cibernética. 

 

En Lockbits podemos acompañarlo con la tecnología y el asesoramiento de calidad, póngase en contacto y proteja su empresa con las soluciones en ciberseguridad más completas del mercado.

 

Comparte

Facebook
Twitter
WhatsApp

NEWSLETTER

Buscar
Categorías
Archivos

Máxima seguridad digital para empresas

Contáctanos