Phishing

¿Qué es el phishing?

Phishing es un tipo de ciberataque en el que los atacantes intentan engañar a las personas para que faciliten información confidencial o instalen software malicioso. Suelen hacerse pasar por una entidad o persona de confianza en comunicaciones electrónicas, como correos electrónicos, mensajes de texto o incluso llamadas telefónicas. El objetivo es robar datos personales, como credenciales de acceso, números de tarjetas de crédito u otra información financiera, que luego pueden utilizarse para actividades fraudulentas.

Métodos habituales de phishing

phishing por correo electrónico

Los atacantes envían correos electrónicos que parecen proceder de fuentes legítimas, como bancos, redes sociales u otras organizaciones de confianza. Estos correos suelen contener mensajes urgentes o amenazas que incitan al destinatario a hacer clic en un enlace malicioso o a descargar un archivo adjunto.

Indicadores comunes de un intento de phishing correo electrónico

Los intentos de Phishing son intentos fraudulentos de obtener información sensible haciéndose pasar por una entidad de confianza. Los indicadores comunes de los intentos de phishing incluyen:

1. Dirección del remitente sospechosa

La dirección de correo electrónico del remitente puede parecerse a una legítima, pero con ligeras alteraciones.

Ejemplo: Mientras estás en el trabajo, recibes un correo electrónico de lo que parece ser el departamento de TI de tu empresa, pidiéndote que restablezcas tu contraseña. El correo electrónico del remitente parece casi correcto, pero al examinarlo más de cerca, se da cuenta de que es de "it-support[@]cmpany[.]com" en lugar de "it-support[@]company[.]com". Esta ligera alteración es una táctica común phishing .

2. Saludos genéricos

Los correos electrónicos Phishing suelen utilizar saludos genéricos como"Estimado cliente" en lugar de dirigirse a usted por su nombre.

Ejemplo: Una mañana, encuentras un correo electrónico en tu bandeja de entrada que dice:"Estimado cliente, su cuenta ha sido comprometida. Por favor, verifique su información inmediatamente". Dado que a menudo recibe correos electrónicos personalizados de su banco, este saludo genérico levanta una bandera roja.

3. Lenguaje urgente o amenazador

Los correos electrónicos Phishing suelen crear una sensación de urgencia o miedo, alegando que es necesario actuar de inmediato para evitar consecuencias negativas.

Ejemplo: Justo antes de la fecha límite de un gran proyecto, recibes un correo electrónico de"admin[@]hrdepartment[.]com" que dice:"¡Tu trabajo está en peligro! Confirma tus datos en 24 horas o te despedirán". El tono urgente y amenazador está diseñado para que entres en pánico y respondas sin pensar.

4. Solicitud de información personal

Las empresas legítimas rara vez solicitan información confidencial (como contraseñas, números de la Seguridad Social o datos de tarjetas de crédito) por correo electrónico.

Ejemplo: Te llega un correo electrónico de"payroll[@]companyfinance[.]com" pidiéndote que confirmes tu número de la Seguridad Social y los datos de tu cuenta bancaria para procesar tu salario. Sabiendo que las solicitudes legítimas de RRHH nunca pedirían información tan sensible por correo electrónico, sospechas que se trata de un intento de phishing .

5. Enlaces a sitios web falsos

El correo electrónico puede contener enlaces que lleven a sitios web que imitan a los legítimos. Compruebe siempre si la URL presenta ligeras variaciones o errores ortográficos.

Ejemplo: Recibes un correo electrónico de lo que parece ser tu tienda online favorita, alegando que hay un problema con tu pedido reciente. El mensaje contiene un enlace a"www[.]amaz0n-support[.]com" (fíjate en el cero en lugar de la "o"). Al pasar el ratón por encima del enlace, ves que la URL no es el sitio oficial de Amazon.

6. Mala gramática y ortografía

Muchos correos electrónicos phishing contienen errores ortográficos y gramaticales evidentes.

Ejemplo: Después de una reunión de equipo, recibes un correo electrónico de"ceo[@]companyy[.]com" que dice: "Por favor, revisa el documento adjunto para obtener información importante sobre tu revisión de rendimiento". La mala gramática y las faltas de ortografía indican que no es de tu director general.

7. Adjuntos inesperados

Los correos electrónicos no solicitados con archivos adjuntos pueden ser una señal de alarma. Estos archivos adjuntos pueden contener malware.

Ejemplo: Justo después de enviar un informe, recibes un correo electrónico de"support[@]techservices[.]com" con un archivo adjunto llamado "invoice_12345[.]zip". Como no has solicitado ningún servicio, este archivo adjunto no solicitado levanta sospechas.

8. Ofertas demasiado buenas para ser verdad

Desconfíe de las ofertas que parecen demasiado buenas para ser ciertas, como ganar una lotería en la que nunca ha participado.

Ejemplo: Recibes un correo electrónico de"reward[@]employeeappreciation[.]com" en el que te dicen que has ganado una tarjeta regalo de 1.000 dólares por tu excelente rendimiento. ¿El truco? Tienes que facilitar los datos de tu tarjeta de crédito para reclamar el premio. La oferta parece demasiado buena para ser cierta y es probable que se trate de una estafa phishing .

9. Formato incoherente del correo electrónico

Preste atención a formatos inusuales, como fuentes, logotipos o colores incoherentes.

Ejemplo: Recibe un correo electrónico de"info[@]bankingservice[.]com" con fuentes incoherentes, logotipos que no coinciden y colores que no coinciden con la marca oficial a la que está acostumbrado. Estas incoherencias delatan un intento de phishing .

10. URL falsificadas

Pase el ratón por encima de los enlaces para ver la URL real. Los intentos de Phishing suelen utilizar URL que parecen legítimas pero tienen pequeñas desviaciones.

Ejemplo: Mientras revisa correos electrónicos, recibe uno de"support[@]softwareupdate[.]com" instándole a descargar la última actualización. El enlace parece"www[.]update-software[.]com", pero cuando pasas el ratón por encima, ves que la URL real es"www[.]malicious-site[.]com/update". Esta URL falsa es una clara señal de phishing.

11. Solicitudes inusuales

Los correos electrónicos que solicitan acciones inusuales, como transferir dinero o comprar tarjetas regalo, suelen ser intentos de phishing .

Ejemplo: Después de un largo día, encuentras un correo electrónico de"manager[@]companyprojects[.]com" en el que se te pide que compres varias tarjetas regalo para una reunión con un cliente y que envíes los códigos de vuelta. Esta petición inusual, especialmente si llega por correo electrónico, es un escenario clásico de phishing .

Ser consciente de estos indicadores puede ayudarle a identificar y evitar intentos de phishing .

phishing

Se trata de una forma más selectiva de phishing en la que el atacante personaliza el correo electrónico en función de la información específica del destinatario, haciéndolo parecer más legítimo. Por ejemplo, puede utilizar el nombre del destinatario, su cargo u otros detalles para crear un mensaje más convincente.

Indicadores comunes de un intento de spear phishing

1. Personalización

‍Elcorreo electrónico está muy personalizado, con su nombre, cargo o detalles específicos sobre su función o actividades recientes.

Ejemplo: "Hola [Su nombre], he visto que asistió a la reciente conferencia de marketing. ¿Podría revisar esta presentación adjunta para nuestra próxima reunión?".

2. Pertinencia contextual

El mensaje es contextualmente relevante y a menudo hace referencia a acontecimientos, proyectos o comunicaciones recientes.

Ejemplo: "Como continuación de nuestra reunión de la semana pasada, revise el documento adjunto".

3. Remitente creíble

‍Elcorreo electrónico parece proceder de un colega, superior o alguien con quien interactúas frecuentemente.

Ejemplo: Un correo electrónico que parece proceder de tu jefe directo o de un miembro del equipo con el que trabajas habitualmente.

4. Urgencia

‍Elmensaje crea una sensación de urgencia o importancia para incitar a una acción rápida sin un escrutinio exhaustivo.

Ejemplo:"Por favor, complete la tarea adjunta al final del día".

La caza de ballenas

Un tipo de phishing dirigido a personas de alto perfil dentro de una organización, como ejecutivos o altos directivos. Los mensajes se adaptan a sus funciones y responsabilidades específicas.

Indicadores comunes de un intento de caza de ballenas

1. Dirigido a ejecutivos

El mensaje va dirigido a personas de alto nivel dentro de la organización, como ejecutivos o altos directivos.

Ejemplo: Un correo electrónico dirigido al director general solicitando información sensible de la empresa.

2. Lenguaje de alto nivel

El tono y el lenguaje son profesionales, acordes con la antigüedad del destinatario.

Ejemplo: "Estimado CEO, por favor revise este informe financiero confidencial".

3. Recurso de la autoridad

‍Elcorreo electrónico suele apelar a la autoridad o la urgencia, aprovechando el poder de decisión del ejecutivo.

Ejemplo:"Se requiere acción inmediata sobre la orden ejecutiva adjunta".

4. Suplantación de entidades de confianza

Elremitente suele ser alguien de la organización o un socio de confianza.

Ejemplo: Un correo electrónico que parece ser de un miembro de la junta directiva o de un cliente de alto perfil.

Smishing y Vishing

El smishing consiste en phishing a través de mensajes de texto SMS, mientras que el vishing consiste en llamadas de voz. Ambos métodos pretenden engañar al destinatario para que facilite información personal o transfiera fondos.

Indicadores comunes de un intento de smishing

1. Mensajes inesperados

‍Recibirmensajes de texto no solicitados de números desconocidos.

Ejemplo: Un mensaje de un número que no reconoce y que dice ser su banco.

2. URL acortadas

‍Elmensaje contiene URLs acortadas que ocultan el verdadero destino.

Ejemplo:"Haga clic aquí para verificar su cuenta: bit[.]ly/12345".

3. Lenguaje urgente

‍Elmensaje crea una sensación de urgencia o amenaza.

Ejemplo:"Su cuenta ha sido comprometida. Actúe ahora para asegurarla".

4. Solicitud de información personal

‍Eltexto solicita información personal como contraseñas, PIN o datos de tarjetas de crédito.

Ejemplo:"Verifique su identidad facilitando su número de la Seguridad Social".

Indicadores comunes de un intento de vishing

1. Llamadas no solicitadas

Recibir llamadas inesperadas de números desconocidos o suplantados.

Ejemplo: Una llamada de un número que dice ser su banco, pero el identificador de llamadas muestra un número local.

2. Solicitudes urgentes

La persona que llama crea una sensación de urgencia, a menudo amenazando con consecuencias negativas.

Ejemplo: "Su cuenta será bloqueada si no verifica su identidad ahora".

3. Solicitud de información sensible

La persona que llama solicita información confidencial como contraseñas, números de cuenta o números de la seguridad social.

Ejemplo:"Introduzca su PIN para confirmar su identidad".

4. Suplantación de entidades de confianza

La persona que llama se hace pasar por una institución o persona de confianza.

Ejemplo: Alguien que dice pertenecer al departamento de fraudes de su banco y le pide datos de verificación.

Phishing clones

Los atacantes crean una réplica casi idéntica de un correo electrónico legítimo enviado previamente por una entidad de confianza. Cambian el archivo adjunto o el enlace por uno malicioso, con la esperanza de que el destinatario haga clic en él, creyendo que se trata del mensaje original.

Indicadores comunes de un intento de phishing clónico

1. Dirección del remitente similar pero ligeramente modificada

El correo electrónico parece proceder de una fuente de confianza, pero la dirección del remitente es ligeramente diferente.

Ejemplo:"support[@]paypa1[.]com" en lugar de"support[@]paypal[.]com".

2. Duplicar el contenido del correo electrónico

‍Elcontenido del correo electrónico es casi idéntico al de un mensaje legítimo que recibió anteriormente, pero con un enlace o archivo adjunto malicioso.

Ejemplo: Un correo electrónico exactamente igual a otro anterior de su departamento de RRHH pero con un archivo adjunto diferente.

3. Enlaces o archivos adjuntos modificados

The cloned email has links or attachments that lead to malicious websites or files.

Ejemplo: Un correo electrónico que antes tenía un archivo PDF adjunto ahora tiene un archivo ZIP.

4. Seguimiento inesperado

Recibir un correo electrónico de seguimiento de una acción que ya ha completado, en el que se le pide que haga clic en un nuevo enlace.

Ejemplo:"Nos hemos dado cuenta de que no ha rellenado el formulario de nuestro anterior correo electrónico. Aquí encontrará el enlace actualizado".

¿Por qué utilizan los hackers técnicas phishing ?

Los piratas informáticos utilizan técnicas de phishing porque explotan las vulnerabilidades humanas más que las debilidades tecnológicas. Phishing se basa en la ingeniería social, manipulando a las personas para que divulguen información sensible o realicen acciones que comprometen la seguridad. A diferencia de la piratería tradicional, que a menudo requiere importantes conocimientos técnicos para violar directamente los sistemas, phishing puede ejecutarse con un esfuerzo relativamente bajo. Mediante la creación de mensajes engañosos que parecen legítimos, los hackers pueden engañar a las personas para que proporcionen contraseñas, números de tarjetas de crédito u otra información personal. Este método es muy eficaz porque elude muchas medidas técnicas de seguridad y se centra en el elemento humano.

Además, phishing es escalable y adaptable, lo que lo convierte en una herramienta versátil para los hackers. Pueden enviar fácilmente miles de correos electrónicos o mensajes de phishing con un coste y un esfuerzo mínimos, lo que aumenta considerablemente las posibilidades de éxito. A medida que mejoran las ciberdefensas, los hackers evolucionan continuamente sus tácticas de phishing para parecer más creíbles y sofisticadas. Adaptan sus ataques a personas u organizaciones concretas (spear phishing y whaling), lo que aumenta las probabilidades de éxito. La amplia disponibilidad de información personal en las redes sociales y otras plataformas ayuda a los hackers a elaborar intentos de phishing convincentes y personalizados. Esta adaptabilidad y alcance hacen del phishing una amenaza persistente y peligrosa en el panorama de la ciberseguridad.

Ejemplo de un ataque que comenzó con phishing

La siguiente imagen ilustra un ataque simulado de spear phishing en el que el atacante se dirige inicialmente a un empleado en LinkedIn para recabar información y utiliza WhatsApp para saltarse la seguridad, comprometiendo un portátil corporativo.

A continuación, el atacante navega a través de la Arquitectura de Red Zero Trust (ZTNA), pivotando hacia el centro de datos mediante un servicio de comando remoto, e instala Command and Control (C2) para obtener acceso persistente y llevar a cabo el reconocimiento.

El atacante roba las credenciales de administrador del servidor y las utiliza para desplazarse lateralmente, obteniendo acceso a otros servidores.

A lo largo de este proceso, Vectra AI detecta diversas actividades sospechosas, como túneles HTTPS ocultos, enumeración de archivos compartidos, barridos de puertos y anomalías de acceso privilegiado. Los analistas sugieren aprovechar los datos agregados de las investigaciones, examinar los datos de registro para obtener información más detallada y bloquear las cuentas infectadas para detener el ataque.