Contactar Solicita una evaluación

¿Qué son los ataques de phishing?

¿Qué son los ataques de phishing?

Explicamos la definición de phishing y analizamos los diferentes tipos de ataque que existen.

¿Qué son los ataques de phishing?

En la era digital en la que vivimos, tomar conciencia sobre la importancia de navegar por Internet de forma segura nunca habí­a sido tan importante, y una de las amenazas online más comunes que aumenta cada año tanto para particulares como para empresas son los ataques de phishing.

Pero ¿qué son los ataques de phishing? En esta primera publicación de la serie de tres artí­culos sobre phishing vamos a analizar su definición, reflexionar sobre una serie de estadí­sticas muy reveladoras y conocer los diferentes tipos de phishing que existen.   

¿Qué es el phishing en ciberseguridad?

El phishing o suplantación de identidad es un tipo de ataque online en el que se engaña al usuario para que pulse sobre un enlace, enví­e información personal como las contraseñas o los números de las tarjetas de crédito, transfiera dinero, etc. Es la amenaza más común de lo que se conoce como «ingenierí­a social», una técnica cuyo objetivo es engañar a los usuarios.

El phishing puede afectar a particulares o empresas, y el término se acuñó en la década de los 90 para referirse a los cibercriminales que intentaban «pescar» (fish en inglés) los datos de inicio de sesión en los albores de Internet.     

Ataques de phishing 

Para hacernos una idea de la gravedad de los ataques de phishing, solo hay que echar un ojo a los datos. El Informe de investigación de filtración de datos de 2022 de Verizon y el Informe de tendencias de phishing de 2022 de APWG revelaron que:

  • En el 82 % de los ataques interviene el factor humano, siendo el phishing el actor principal.
  • Los ataques de phishing representaron casi el 20 % de los ataques que no se produjeron por un error ni un mal uso.
  • Los ataques de phishing representaron casi el 70 % de los ataques de ingenierí­a social.
  • El 18 % de los e-mails de phishing en los que se hizo clic provení­an de un dispositivo móvil.
  • Se estima que solo el 2,9 % de los empleados hace clic en un e-mail de phishing. Aunque pueda parecer una cifra pequeña, el informe de Verizon señaló que se filtraron más de 1000 millones de datos personales. Si asumimos que la mayorí­a de ellos han sido cuentas de e-mail, estamos hablando de 33 millones de cuentas, ¡lo que equivale a más de dos tercios de la población española!
  • La formación es fundamental para aumentar la sensibilización sobre el problema del phishing. Sin embargo, la mayorí­a de los empleados solo recibe un curso de phishing de una o dos horas al año.
  • En el segundo trimestre de 2022, APWG observó un total de 1 097 811 de ataques de phishing, lo que supuso un nuevo récord y el peor trimestre de la historia desde que APWG registra este tipo de datos.
  • El phishing dirigido a las redes sociales de las empresas aumentó del 8,5 % de todos los ataques en el cuarto trimestre de 2021 al 15,5 % en el segundo trimestre de 2022.
  • Los sectores que sufren más ataques son los de finanzas, redes sociales y SaaS.

¿Qué tipos de phishing existen?

Técnicas tradicionales de phishing

Phishing por e-mail

La forma más frecuente de phishing en ciberseguridad es el e-mail, y lleva siendo así­ desde el inicio de Internet en la década de los 90. 

Un intruso malicioso te enviará un e-mail haciéndose pasar por una empresa conocida en el que te informará, por ejemplo, de que tu cuenta está en peligro o de que tienes un pago pendiente de verificar. Asimismo, te pedirá que pulses en un enlace, descargues un archivo o confirmes los datos de tu cuenta o la información de tu tarjeta de crédito. Al pulsar en los enlaces o descargar los archivos, permitirás que se instale un malware en tu dispositivo para robar tu información. 

Los e-mails de phishing pueden identificarse y dividirse en tres categorí­as:

  • Spear phishing

Esta modalidad de phishing está dirigida contra un objetivo especí­fico, y por eso el nombre incluye el término spear (lanza en inglés). Para comprender mejor el término, solo hace falta imaginarse a un náufrago en una isla desierta intentando cazar con una lanza algún pez en el agua. 

Dado que se trata de un ataque dirigido a alguien en particular, el intruso adaptará el e-mail a su objetivo para que parezca más auténtico y llame su atención. 

  • Whaling

Esta modalidad de phishing también está dirigida contra un objetivo especí­fico. Sin embargo, mientras el spear phishing tiene como objetivo a los trabajadores de una empresa, el whaling pretende ir «a por los peces gordos» (whaling hace referencia a la caza de ballenas en inglés), engañando a directores generales, directores financieros o cualquier otro lí­der sénior de la empresa.

El objetivo del whaling es obtener información clave de la empresa, por lo que un e-mail de whaling puede avisar de que la empresa tiene que hacer frente a una demanda judicial y pedir al usuario que pulse en un enlace para obtener más información. A continuación, el usuario tendrá que introducir información fiscal, bancaria, etc.   

  • Clone phishing

Los estafadores saben que la confianza es un aspecto fundamental del phishing, y por eso han desarrollado el clone phishing. Para ganarse la confianza de un usuario o empresa, los intrusos intentarán obtener información sobre las aplicaciones, herramientas y plataformas que usan sus objetivos o las empresas con las que colaboran.  

A continuación, utilizarán esta información para hacerse pasar por el socio o la empresa y aprovecharán esa relación de confianza para pedir información confidencial o incluso una transferencia de fondos.

Vishing

El vishing es un método muy común de ataque de phishing que tiene lugar por teléfono o mensaje de voz. El intruso se hará pasar por alguien importante como un empleado de Hacienda o un agente de Microsoft y, a continuación, te avisará de que hay un problema y necesita una serie de datos para solucionarlo.

Este tipo de ataques pretende crear una sensación de urgencia y pánico, cada vez es más frecuente y tiene una mayor tasa de éxito que el phishing estándar. Según un informe de IBM, la tasa media de clics de las campañas de vishing fue del 53,2 %, en comparación con el 17,8 % de las campañas normales de phishing. 

Smishing

El smishing es un tipo de phishing que se lleva a cabo mediante un mensaje de texto. Al igual que en los otros medios de phishing, esta técnica suele apoyarse en un mensaje falso en el que se avisa de algún tipo de fallo de seguridad en una cuenta y se pide una respuesta inmediata. 

A continuación, se solicitan los datos de la cuenta bancaria o de la tarjeta de crédito, la información fiscal o cualquier otro tipo de información personal.

Nuevas técnicas de phishing

Social phishing

El phishing en las redes sociales se lleva a cabo en plataformas como Facebook, Instagram, LinkedIn o Twitter. Este método utiliza los mensajes directos para engañar al usuario y acceder a su información personal.

Malvertising

El malvertising hace referencia a la publicidad engañosa e introduce código malicioso a través de redes publicitarias y anuncios legí­timos. Este tipo de anuncios es difí­cil de identificar tanto para los usuarios como para los sitios web donde se alojan. 

El código malicioso se descarga en el dispositivo cuando el usuario pulsa en el enlace, aunque el usuario también puede ser redirigido a otro sitio web en el que se usarán técnicas de phishing para obtener información confidencial. 

Phishing por códigos QR

Los códigos QR fueron muy populares en 2012 por su facilidad para interactuar con las marcas, aunque su fama fue efí­mera, ya que la tecnologí­a avanzó y cambiaron las tendencias. Sin embargo, el auge de la tecnologí­a por aproximación tras la pandemia ha propiciado que vuelvan a estar de moda, lo que a su vez ha generado una nueva técnica de phishing.

El phishing por códigos QR aprovecha los códigos QR para dirigir a los usuarios a sitios web fraudulentos para que compartan información confidencial. Este método se apoya en estafas de aplicaciones bancarias, tickets de aparcamiento falsos o e-mails.

Browser in the Browser (BitB)

El BitB es una de las técnicas de phishing más avanzadas en las que se simula una ventana de inicio de sesión para que los usuarios introduzcan sus nombres y contraseñas. Este método intenta replicar navegadores como Google o Safari con sus imágenes, colores, fuentes e incluso detalles que aparecen al desplazar el ratón por un fragmento de texto o una imagen. 

El BitB aprovecha el inicio de sesión único para robar nombres de usuarios y contraseñas o engañan a los usuarios para que pulsen en la opción de «He olvidado mi contraseña». De esta manera, los usuarios introducen sus datos pensando que es un navegador de confianza y terminan siendo engañados por los cibercriminales. 

Conclusiones

Los datos que hemos compartido sobre los ataques de phishing y los diferentes tipos de phishing que existen te permiten conocer mejor los peligros de esta técnica fraudulenta y el impacto que puede tener.

¿Cómo puedes evitar incidentes de phishing por e-mail o mediante las nuevas técnicas de estafa que hemos presentado? Lee nuestro siguiente artí­culo de la serie sobre cómo evitar incidentes de phishing para descubrir varios consejos que te ayudarán a mantenerte protegido al navegar por Internet. 

Para obtener más información sobre cómo aumentar la posición de seguridad de tu empresa y cubrir tus necesidades de ciberseguridad, contacta con Ackcent hoy mismo.