Ataques de phishing y cómo evitarlos
El phishing sigue siendo una de las formas más baratas y fáciles para que los ciberdelincuentes obtengan acceso a información confidencial.
Simplemente haciendo clic en un enlace, las víctimas pueden poner en peligro la seguridad de su empresa y correr el riesgo de robo de identidad.
También pueden comprometer su información personal, credenciales de inicio de sesión, como nombres de usuario y contraseñas, e información financiera, incluidos los números de tarjetas de crédito.
Esta página brinda una descripción general del phishing y explica cómo la capacitación en concientización sobre seguridad puede ayudarlo a evitar ser víctima.
¿Qué es el phishing?
El phishing es un tipo de ataque de ingeniería social en el que los ciberdelincuentes engañan a las víctimas para que entreguen información confidencial o instalen malware.
La mayoría de las veces lo hacen a través de correos electrónicos maliciosos que parecen ser de remitentes confiables, pero a veces usan otros medios, que se explican a continuación.ónicos maliciosos y otras amenazas de phishing.
¿Cómo funciona el phishing?
La mayoría de las campañas de phishing emplean uno de dos métodos básicos:
Archivos adjuntos maliciosos
Los archivos adjuntos de correo electrónico maliciosos, que generalmente tienen nombres atractivos, como «FACTURA», instalan malware en el dispositivo de las víctimas cuando lo abren.
Enlaces a sitios web maliciosos
Los enlaces maliciosos apuntan a sitios web que a menudo son clones de los legítimos, que descargan malware o cuyas páginas de inicio de sesión contienen secuencias de comandos de recolección de credenciales.
Tipos de sitios web de phishing
Hay muchos tipos de sitios web maliciosos, que incluyen:
Pharming/envenenamiento de caché de DNS
Los ataques de pharming redirigen el tráfico de un sitio web a un sitio malicioso que se hace pasar por él al explotar vulnerabilidades en el sistema que hace coincidir los nombres de dominio (la URL que ingresa en la barra de direcciones de su navegador) con las direcciones IP (la cadena de números asignados a cada dispositivo conectado a una red ).
Typosquatting/secuestro de URL
Las URL de estos sitios web falsos parecen genuinas, pero son sutilmente diferentes de las que suplantan.
Su objetivo es aprovechar los errores de escritura cuando los usuarios ingresan URL en la barra de direcciones de su navegador.
Por ejemplo, podrían:
Escribir mal la URL legítima;
Usando letras que estén una al lado de la otra en el teclado, como ‘n’ en lugar de ‘m’;
Intercambia dos letras o añaden una letra adiccional
Los atacantes usan múltiples capas transparentes para colocar contenido malicioso en el que se puede hacer clic sobre botones legítimos.
Por ejemplo, un comprador en línea podría pensar que está haciendo clic en un botón para realizar una compra, pero en su lugar descargará malware.
Tabnabbing y tabnabbing inverso
En estos ataques, las pestañas del navegador desatendidas se reescriben con sitios maliciosos. Los usuarios desprevenidos que regresan a la pestaña pueden no notar que la página no es legítima.
Ataques de phishing dirigidos
La mayoría de los correos electrónicos de phishing se envían al azar a un gran número de destinatarios y dependen de la gran cantidad de números para tener éxito. (Cuantos más correos electrónicos se envían, más probable es que encuentren una víctima que los abra).
Sin embargo, también hay muchos tipos de ataques, conocidos como spear phishing, que se dirigen a organizaciones o individuos específicos. Al igual que con las campañas de phishing más amplias, los correos electrónicos pueden contener enlaces o archivos adjuntos maliciosos.
Estos tipos incluyen:
Suplantación de identidad de clones
Una copia de un correo electrónico legítimo que se entregó anteriormente, pero que se envió desde una dirección falsa que se parece mucho a la dirección de correo electrónico del remitente original.
La única diferencia entre este y el correo electrónico original es que los enlaces y/o archivos adjuntos habrán sido reemplazados por otros maliciosos.
Es más probable que los destinatarios caigan en este tipo de ataque, ya que reconocen el contenido del correo electrónico.
Fraude ballenero/CEO
Un tipo de phishing dirigido que se dirige a personas de alto perfil, como miembros de la junta o miembros del equipo financiero.
Estos ataques requieren un esfuerzo adicional por parte del atacante, pero las recompensas son potencialmente mayores: los directores ejecutivos y otros ejecutivos de alto nivel tienen más información y mayores niveles de acceso que los empleados junior.
Además, la cuenta comprometida de un miembro del personal senior puede usarse para llevar a cabo ataques BEC.
BEC (compromiso de correo electrónico comercial)
Estos correos electrónicos a menudo toman la forma de solicitudes «urgentes» que pretenden ser del personal superior, como el director ejecutivo o el director financiero.
Utilizan tácticas de ingeniería social para engañar a los miembros del personal más subalternos para que transfieran dinero al destinatario equivocado o divulguen información comercial confidencial.
Cómo identificar correos electrónicos de phishing
Según el informe State of the Phish de 2019 de Proofpoint, el 83 % de los profesionales de seguridad de la información sufrieron ataques en 2018, frente al 76 % en 2017.
Incluso si su organización tiene fuertes medidas de seguridad técnica, algunos correos electrónicos de phishing inevitablemente se filtrarán.
Por lo tanto, es fundamental que todos los empleados puedan reconocerlos. Las cosas a tener en cuenta incluyen:
Dominios de correo electrónico público
Nombres de dominio mal escritos
Mala gramática y ortografía
Archivos adjuntos/enlaces sospechosos
Sensación de urgencia
Cómo mitigar los ataques de phishing
Implementar las medidas técnicas apropiadas
Use prácticas sólidas de seguridad cibernética para evitar que la mayor cantidad posible de ataques de phishing atraviesen sus defensas y asegúrese de que, si tienen éxito, no lleguen mucho más lejos.
Construir una cultura de seguridad positiva
Reconoce que la ingeniería social tiene éxito porque sus perpetradores son buenos en la manipulación.
No castigue al personal por ser víctima, pero aliéntelos a reportar incidentes.
Si existe una cultura de la culpa, sus empleados no admitirán lo que se percibe como un error, lo que pondrá a su organización en un riesgo mucho mayor.
Aprende los disparadores psicológicos
Todos los ataques de ingeniería social explotan la psicología humana para superar la cautela natural de las víctimas, como:
Crear una falsa sensación de urgencia y una emoción intensificada para confundir a sus víctimas;
Explotar la propensión humana a la reciprocidad creando un sentido de endeudamiento.
Confiar en respuestas condicionadas a la autoridad al dar la impresión de emitir órdenes de figuras superiores.
Capacite a su personal
Cualquier miembro del personal puede sucumbir a un ataque de phishing, por lo que todos los empleados deben ser conscientes de la amenaza a la que se enfrentan.
La capacitación regular de concientización del personal ayudará a todos en la organización a comprender los signos de un ataque de phishing y sus posibles consecuencias.
Luego podrán informar sobre posibles correos electrónicos de phishing, de acuerdo con la política de la empresa.
Probar la efectividad del entrenamiento.
Los ataques de phishing simulados lo ayudarán a determinar la efectividad de la capacitación de concientización del personal y qué empleados podrían necesitar más educación.
