Cuidado con el Phishing

Últimamente, todos los que disponemos de una cuenta de correo, hemos recibido mensajes procedentes de distintos bancos. En estos mensajes se nos pide que pulsemos un link que nos conduce a una página y una vez allí, se nos indica que debemos completar un formulario con nuestros datos bancarios. Cuidado con el Phishing

Normalmente estos correos nos informan de que debido a problemas de seguridad, intrusiones o alguna otra incidencia debemos ratificar los datos de nuestra. Estos correos, que nada tienen que ver con los bancos, son el anzuelo que nos lanzan unos piratas informáticos que quieren robar nuestros datos.

La práctica de suplantar la identidad de una empresa u organismo para poder acceder a los datos de sus clientes se denomina PHISING.

Phishing

Phishing es la capacidad de duplicar una página web para hacer creer al visitante que se encuentra en la página original en lugar de la copiada. Normalmente se utiliza con fines delictivos duplicando páginas web de bancos conocidos y enviando indiscriminadamente correos para que se acceda a esta página a actualizar los datos de acceso al banco.

En ocasiones, el término phishing se dice que es la contracción de password harvesting fishing (cosecha y pesca de contraseñas ), aunque esto probablemente es un acrónimo retroactivo.

De forma más general, el nombre phishing también se aplica al acto de adquirir, de forma fraudulenta y a través de engaño, información personal como contraseñas o detalles de una tarjeta de crédito, haciendose pasar por alguien digno de confianza con una necesidad verdadera de tal información en un e-mail parecido al oficial, un mensaje instantáneo o cualquier otra forma de comunicación. Es una forma de ataque de la ingeniería social.

Cuando pulsamos el link que nos mandan en el correo, accedemos a una página que tiene la misma apariencia que la original pero que en realidad no es más que una réplica de la misma. Para una persona que esté acostumbrada a navegar por internet es fácil darse cuenta de que la página no es la original. Si nos fijamos en la barra de navegación veremos que la página que estamos visitando está alojada en un servidor que ni siquiera tiene un nombre de dominio asociado sino que es de la forma:

phising3.webp

La mejor manera de no ser victima de phising es tener muy claro que nuestro banco no nos va a pedir nuestros datos de cuenta a través de un email . Ni Hotmail, ni Yahoo, ni Microsoft, ni Paypal, ni Ebay, ninguna de estas grandes compañías utilizan estos métodos. Aún así, si alguna vez recibimos un correo de este tipo y consideramos que puede ser un mail legitimo debemos tener algunas precauciones:

  • Accederemos a la web de la compañía a través de su dirección pública y no a través del enlace del correo.
  • En caso de no estar 100% seguro, debemos buscar un mail o teléfono de soporte para consultar si están ejecutando alguna campaña de ese tipo y si realmente nuestra cuenta tiene algún problema.

Lo que se muestra a continuación son ejemplos de correos de este tipo

phising
phising

Del mismo modo que cuando andamos por la calle vamos más o menos pendientes de que no nos roben o nos timen, debemos tener igual o más cuidado cuando hacemos uso de internet.

El phishing en 2024

A medida que la tecnología avanza, los métodos empleados por los ciberdelincuentes para engañar a los usuarios y obtener acceso no autorizado a información confidencial también se perfeccionan.

En lo que va del año, hemos sido testigos de campañas de phishing cada vez más sofisticadas, que han afectado a diversos sectores, desde la administración pública hasta el tecnológico y logístico. Por ejemplo, la Agencia Tributaria ha sido objeto de ataques durante la campaña de Declaración de la Renta 2023, donde los delincuentes intentaron infectar dispositivos con malware bajo la fachada de comunicaciones oficiales.

Las empresas de envíos, como DHL, y gigantes tecnológicos, como Microsoft, no han sido inmunes a estos ataques. Los ciberdelincuentes han utilizado correos electrónicos fraudulentos que imitan comunicaciones legítimas para engañar a los destinatarios y dirigirlos a sitios web maliciosos, donde se les solicita realizar pagos o proporcionar información personal.

Las estadísticas sobre phishing en 2024 revelan un panorama alarmante.

Los ataques de phishing representaron un porcentaje significativo de todas las violaciones de datos en el año anterior, y la tendencia no muestra signos de disminución. Más de mil marcas fueron objetivo de estos ataques solo en el último trimestre de 2023, y el número de sitios únicos de phishing detectados alcanzó cifras millonarias.

Frente a este escenario, es fundamental que tanto individuos como organizaciones adopten medidas proactivas para protegerse. La educación y la concienciación sobre las tácticas de phishing son esenciales, así como la implementación de soluciones de seguridad robustas y la actualización constante de las mismas para enfrentar las nuevas formas de ataques.

El phishing en 2024 no solo se ha adaptado a los avances tecnológicos, sino que también ha evolucionado en su enfoque, con ataques dirigidos que buscan engañar a usuarios específicos mediante técnicas de spear phishing y whaling, que requieren un conocimiento más detallado del objetivo para aumentar la probabilidad de éxito[3].

Para mantenerse a salvo en este entorno en constante cambio, es crucial estar al tanto de las últimas tendencias en ciberseguridad y adoptar un enfoque multidimensional que incluya tanto la tecnología como el factor humano en la ecuación de la seguridad.

En resumen, el phishing sigue siendo una amenaza cibernética predominante en 2024, y la lucha contra estos ataques requiere un esfuerzo conjunto y continuo de vigilancia, educación y adaptación tecnológica. Solo así podremos esperar mantener un paso adelante en la carrera contra los ciberdelincuentes.

Spear phishing

El spear phishing es un tipo de ataque de phishing que se dirige a un individuo o grupo de individuos específicos dentro de una organización e intenta engañarlos para que divulguen información confidencial, descarguen malware o envíen sin saberlo nuestros pagos de autorización al atacante.

Como todas las estafas de phishing, el spear phishing puede realizarse por correo electrónico, mensajes de texto o llamadas telefónicas. La diferencia es que, en lugar de dirigirse a miles o millones de posibles víctimas con tácticas de phishing masivo, los estafadores se dirigen dirigidas a personas o grupos de individuos específicos (p. ej., los directores de ventas regionales de una compañía) con estafas personalizadas basadas en una investigación exhaustiva.

Cómo funcionan los ataques de spear phishing

En un clásico ataque de phishing masivo, los piratas informáticos crean mensajes fraudulentos que parecen provenir de empresas conocidas, organizaciones o incluso celebridades. Luego, distribuyen y rezan, enviando estos mensajes de phishing indiscriminadamente a tantas personas como sea posible y con la esperanza de que al menos unos pocos sean engañados para que den información valiosa, como números de la seguridad social, números de tarjetas de crédito o contraseñas de cuentas.  

En cambio, los ataques de spear phishing son ataques selectivos dirigidos a personas concretas que tienen acceso a activos específicos.

Establecimiento de un objetivo

La mayoría de los ataques de spear phishing tienen como objetivo robar grandes sumas de dinero de las organizaciones, engañando a alguien para que realice un pago o una transferencia bancaria a un proveedor o cuenta bancaria fraudulentos, o engañándole para que divulgue números de tarjetas de crédito, números de cuentas bancarias u otros datos confidenciales o sensibles.

Pero las campañas de spear phishing pueden tener otros objetivos perjudiciales:

  • Propagación de ransomware u otro malware: por ejemplo, el actor de amenazas puede enviar archivos adjuntos maliciosos por correo electrónico, como un archivo de Microsoft Excel, que instala malware cuando se abre.
     
  • Robo de credenciales, como nombres de usuario y contraseñas, que el pirata informático puede utilizar para organizar un ataque más grande. Por ejemplo, el pirata informático podría enviar un enlace malicioso al destino a una página web fraudulenta de actualiza tu contraseña.
     
  • Robo de datos personales o información confidencial, como datos personales de clientes o empleados, finanzas corporativas o secretos comerciales.

Elección de los objetivos

A continuación, el delincuente identifica un objetivo adecuado: una persona o grupo de personas con acceso directo a los recursos que desean los piratas informáticos, o que pueden proporcionar ese acceso indirectamente mediante la descarga de malware.

A menudo, los intentos de spear phishing se dirigen a empleados de nivel medio o bajo o nuevos empleados con privilegios elevados de acceso a la red o al sistema, que pueden ser menos rigurosos en las políticas y procedimientos de la compañía.

Las víctimas típicas incluyen gerentes financieros autorizados para realizar pagos, administradores de TI con acceso a la red a nivel de administrador y gerentes de RR. HH. con acceso a los datos personales de los empleados. (Otros tipos de ataques de spear phishing se dirigen exclusivamente a empleados de nivel ejecutivo).

Investigación del objetivo

El atacante investiga al objetivo en busca de información que pueda utilizar para hacerse pasar por alguien cercano a él: una persona u organización en la que el objetivo confía, o alguien a quien el objetivo debe rendir cuentas.

Gracias a la cantidad de información que la gente comparte libremente en las redes sociales y en otros lugares en línea, los ciberdelincuentes pueden encontrar esta información sin indagar demasiado.

Según un informe de Omdia, los hackers pueden crear un convincente correo electrónico de spear phishing después de unos 100 minutos de búsqueda general de Google.

Algunos hackers pueden entrar en cuentas de correo electrónico o aplicaciones de mensajería de la empresa y dedicar aún más tiempo a observar las conversaciones para recopilar información más detallada.

Creación y envío del mensaje

Mediante esta investigación, los ciberdelincuentes pueden crear mensajes de phishing dirigidos que parezcan creíbles, desde la fuente o la persona de confianza.

Por ejemplo, imagine que Jack es un gestor de cuentas en ABC Industries. Con solo mirar el perfil público de Jack en LinkedIn, un atacante podría encontrar su puesto de trabajo, sus responsabilidades, la dirección de correo electrónico de la empresa, el nombre del departamento, el nombre y cargo de su jefe y los nombres y cargos de sus socios comerciales, y luego utilizar estos datos para enviarle un correo electrónico muy creíble de su jefe o jefe de departamento:

Hola, Jack:

Sé que procesas las facturas de XYZ Systems. Me acaban de informar de que están actualizando su proceso de pago y necesitan que todos los pagos futuros vayan a una nueva cuenta bancaria. Aquí está su factura más reciente con los detalles de la nueva cuenta. ¿Puedes enviar el pago hoy?

El correo electrónico suele incluir señales visuales que refuerzan la identidad del remitente suplantado a primera vista, como una dirección de correo electrónico falsificada (por ejemplo, que muestra el nombre del remitente suplantado pero oculta la dirección de correo electrónico fraudulenta), enlaces a correos electrónicos de compañeros de trabajo igualmente falsificados o una firma de correo electrónico con el logotipo de la empresa ABC Industries.

Algunos estafadores pueden piratear la cuenta de correo electrónico real del remitente suplantado y enviar el mensaje desde allí, para obtener la máxima autenticidad.

Spear phishing, whaling y BEC

Aunque cualquier ataque de phishing dirigido a un individuo o grupo específico es un ataque de spear phishing, existen algunos subtipos notables.

El whaling o caza de ballenas (a veces llamado phishing de ballenas) es un tipo de phishing dirigido a las víctimas de más alto perfil y valor: a menudo miembros de juntas directivas o directivos de nivel C, pero también objetivos no corporativos, como celebridades y políticos.

Los balleneros buscan una presa que solo estos objetivos pueden proporcionar: grandes sumas de dinero o acceso a información muy valiosa o confidencial. No es sorprendente que los ataques de whaling normalmente requieran una investigación más detallada que otros ataques de spear phishing.

El compromiso del correo electrónico empresarial (BEC) es un tipo de spear phishing dirigido específicamente a robar a las organizaciones. Existen dos formas comunes de BEC:

  • Fraude del director general. El estafador se hace pasar por la cuenta de correo electrónico de un ejecutivo de nivel C, o la piratea directamente, y envía un mensaje a uno o varios empleados de nivel inferior dándoles instrucciones para que transfieran fondos a una cuenta fraudulenta o realicen una compra a un vendedor fraudulento.
     
  • Compromiso de la cuenta de correo electrónico (EAC). El estafador obtiene acceso a la cuenta de correo electrónico de un empleado de nivel inferior (p. ej., un gestor de finanzas, ventas o I+D) y lo utiliza para enviar facturas fraudulentas a proveedores, dar instrucciones a otros empleados para que realicen pagos o depósitos fraudulentos o solicitar acceso a datos confidenciales.

Los ataques de BEC exitosos se encuentran entre los ciberdelitos más costosos. En uno de los ejemplos más conocidos de BEC, los hackers que suplantaron a un director general convencieron al departamento financiero de su empresa a transferir 42 millones de euros a una cuenta bancaria fraudulenta.

Otra táctica es combinar el correo electrónico con el phishing de mensajes de texto (llamado phising por SMS o smishing) o el phishing por voz (llamado vishing). Por ejemplo, en lugar de adjuntar una factura, el correo electrónico puede indicar a Jack que llame al departamento de cuentas por pagar de XYZ Systems, a un número de teléfono atendido por un estafador.