Phishing

En el mundo cada vez más digital de hoy, gran parte de lo que hacemos, ya sea por negocios o por placer, se lleva a cabo en línea. Este aumento en la actividad en línea ha originado una explosión masiva del cibercrimen.

El delito cibernético se ha convertido en una herramienta poderosa para los delincuentes que buscan robar nuestros datos personales y extorsionarnos con el pago de dinero. La velocidad, el anonimato y la conveniencia de Internet ha permitido a los delincuentes lanzar ataques altamente selectivos con muy poco esfuerzo.

El más exitoso y peligroso de todos los ciberataques es el phishing. Se considera que el 91% de todos los ataques cibernéticos comienzan con un correo electrónico de phishing.

El phishing continúa siendo la forma más común de ciberataque debido a su simplicidad, efectividad y alto retorno de la inversión. Ha evolucionado desde sus primeros días de engañar a las personas con estafas de príncipes nigerianos y solicitudes de tratamiento médico de emergencia.

Los ataques de phishing que tienen lugar hoy en día son sofisticados, específicos y cada vez más difíciles de detectar.

Por eso vamos a darte unas nociones básicas sobre este tipo de ataques, en qué consisten, los tipos principales y cómo evitarlos.

¿Qué es el phishing?

El phishing es una suplantación de identidad.

La suplantación de identidad se produce cuando los atacantes intentan engañar a los usuarios para que hagan «algo incorrecto», como hacer clic en un enlace incorrecto que descargará malware o dirigirlos a un sitio web poco fiable.

El phishing se puede realizar a través de un mensaje de texto, redes sociales o por teléfono. Pero el término ‘phishing’ se usa principalmente para describir los ataques que llegan por correo electrónico.

Los correos electrónicos de phishing pueden llegar a millones de usuarios directamente y esconderse entre la gran cantidad de correos electrónicos benignos que recibimos cada día. Los ataques pueden instalar malware (como ransomware), sistemas de sabotaje o robar propiedad intelectual y dinero.

Los correos electrónicos de phishing pueden afectar a una organización de cualquier tamaño y tipo.

Puede quedar atrapado en una campaña masiva donde el atacante solo busca recopilar nuevas contraseñas o ganar dinero fácil, o podría ser el primer paso en un ataque dirigido contra su empresa, donde el objetivo podría ser algo más específico, como el robo de datos confidenciales.

En una campaña dirigida, el atacante puede usar información sobre sus empleados o compañía para hacer que sus mensajes sean aún más persuasivos y realistas. Esto generalmente se conoce como spear phishing.

Papel de las empresas

Las medidas de atenuación que se describen aquí se centran principalmente en prevenir el impacto de los ataques de phishing dentro de tu organización, y ayudarán a proteger a cualquier tipo de empresa. Para ello es importante aplicar estándares de autenticación, informe y conformidad de mensajes de correo electrónico basados ​​en dominio.

Los beneficios de tener en cuenta esta medidas son muy importantes:

  • Es más probable que los correos electrónicos genuinos de tu propia empresa lleguen a las bandejas de entrada de los destinatarios, en lugar de filtrarse como spam.
  • Desde el punto de vista de la reputación, ninguna organización quiere que su nombre se convierta en sinónimo de estafas y fraude.
  • La comunidad en general también se beneficiará si se incita a sus contactos (como proveedores, socios y clientes) a registrar sus datos con esos estándares. Esto puede darte una seguridad mucho mayor de que el correo electrónico que solicita información o dinero en realidad proviene de donde piensas.

¿Cómo funciona?

El éxito de la suplantación de identidad se produce cuando la víctima accede a un enlace o descarga un archivo. En ese momento, el malware se introduce en su ordenador.

Existen distintas maneras con las que puedes ser estafado y te las indico a continuación.

Tipos

Los principales tipos de phishing existentes son los siguientes:

Estafas por correo electrónico

Los ataques de phishing, en su forma más común, son correos electrónicos que incitan al destinatario a tomar medidas, generalmente para lograr uno de dos objetivos:

  • Engañarle para que comparta información personal
  • Engañarle para que descargue malware dañino

Una vez que les haya dado acceso, los hackers pueden acceder a tu cuenta bancaria, robar tu identidad o realizar compras fraudulentas en tu nombre.

Las estafas por correo electrónico se han incrementado en casi un 500% en los últimos años. Debido al aumento y al triunfo del phishing por correo electrónico se han producido importantes modificaciones del método.

SMiShing

Smishing es un tipo de phishing que utiliza mensajes SMS en lugar de correos electrónicos para dirigirse a personas. Es otra forma efectiva de que los ciberdelincuentes engañen a las personas para que divulguen información personal como detalles de cuentas, detalles de tarjetas de crédito o nombres de usuario y contraseñas. Este método implica que el estafador envíe un mensaje de texto al número de teléfono de un individuo y generalmente incluye una llamada a la acción que requiere una respuesta inmediata.

Spear Phishing

Spear phishing es un intento más específico de robar información confidencial y generalmente se enfoca en un individuo u organización específica. Estos tipos de ataque utilizan información personal que es específica del individuo para parecer legítima.

Los delincuentes cibernéticos a menudo recurren a las redes sociales y los sitios web de las empresas para investigar a sus víctimas. Una vez que comprendan mejor su objetivo, comenzarán a enviar correos electrónicos personalizados que incluyen enlaces que, una vez que se hace clic, infectarán una computadora con malware.

Vishing

Vishing se refiere a estafas de phishing que tienen lugar por teléfono. Tiene la interacción más humana de todos los ataques de phishing, pero sigue el mismo patrón de engaño. Los estafadores a menudo crean un sentido de urgencia para convencer a una víctima de divulgar información confidencial.

La llamada a menudo se realizará a través de una identificación falsificada, por lo que parece que proviene de una fuente confiable. Un escenario típico involucrará al estafador haciéndose pasar por un empleado del banco para señalar comportamientos sospechosos en una cuenta. Una vez que hayan ganado la confianza de la víctima, pedirán información personal, como detalles de inicio de sesión, contraseñas y PIN. Los detalles se pueden utilizar para vaciar cuentas bancarias o cometer fraude de identidad.

Whaling

Lo que distingue a esta categoría de phishing de otras es la elección de alto nivel del objetivo. Un ataque de caza de ballenas es un intento de robar información confidencial y a menudo está dirigido a la alta gerencia.

Los correos electrónicos de caza de ballenas son mucho más sofisticados que los correos electrónicos de phishing habituales y mucho más difíciles de detectar. Los correos electrónicos a menudo contendrán información personalizada sobre el objetivo u organización, y el idioma tendrá un tono más corporativo. Se necesitará mucho más esfuerzo y reflexión para la elaboración de estos correos electrónicos debido al alto nivel de rendimiento de los ciberdelincuentes.

Phishing de clones

Clone Phishing es donde se utiliza un correo electrónico legítimo y entregado previamente para crear un correo electrónico idéntico con contenido malicioso. El correo electrónico clonado parecerá provenir del remitente original, pero será una versión actualizada que contiene enlaces maliciosos o archivos adjuntos.

Existen infinitas estafas de phishing, pero utilizan un cebo similar para engañar a sus víctimas.

¿Cómo detectar un ataque de phishing?

A menudo es difícil distinguir un correo electrónico falso de uno verdadero, sin embargo, la mayoría tiene indicios sutiles de su naturaleza fraudulenta.

Aquí te dejo algunas cuestiones que debes tener en cuenta para reconocer un correo electrónico malicioso y mantener la seguridad del correo electrónico.

  • Una compañía real no solicita su información confidencial por correo electrónico. Lo más probable es que si recibes un correo electrónico no solicitado de una institución que proporciona un enlace o archivo adjunto y te pide que proporciones información confidencial, es una estafa. La mayoría de las compañías no envian correos electrónicos solicitando contraseñas o información de tarjeta de crédito, ni envian un enlace desde el que se debe iniciar sesión.
  • Las empresas legítimas generalmente te llaman por tu nombre. Los correos electrónicos de suplantación de identidad (phishing) suelen utilizar saludos genéricos como «Estimado titular de la cuenta» o «Estimado cliente». Algunos hackers simplemente evitan el saludo por completo. Esto es especialmente común con los anuncios.
  • Las empresas reales tienen correos electrónicos de dominio. Verifica no solo el nombre de la persona que envía el correo electrónico, también su dirección de correo electrónico pasando el ratón sobre la dirección. Asegúrate de que no se hayan realizado modificaciones (como números o letras adicionales). Pero este no es un método infalible. A veces, las empresas utilizan dominios únicos o variados para enviar correos electrónicos, y algunas empresas más pequeñas utilizan proveedores de correo electrónico de terceros.
  • Los correos reales deben estar correctamente redactados. Posiblemente, la forma más fácil de reconocer un correo electrónico fraudulento es una mala gramática. Un correo electrónico de una organización legítima debe estar bien escrito. Los hackers se aprovechan de las personas menos cultas creyendo que son menos observadores y, por lo tanto, objetivos más fáciles.
  • Las empresas reales no te obligan a ir a su página web. A veces, los correos electrónicos de phishing se codifican por completo como un hipervínculo. Por lo tanto, hacer clic accidental o deliberadamente en cualquier parte del correo electrónico abrirá una página web falsa o descargará spam en tu ordenador.
  • Las compañías auténticas no envían archivos adjuntos no solicitados. Por lo general, las instituciones auténticas no te envían al azar correos electrónicos con archivos adjuntos, sino que te indican que descargues documentos o archivos en su propio sitio web. Pero este método tampoco es infalible. A veces, las empresas que ya tienen su correo electrónico le enviarán información, como un documento técnico, que puede requerir una descarga. En ese caso, esté atento a los tipos de archivos adjuntos de alto riesgo que incluyen .exe, .scr y .zip.

Defensa frente a phishing

Las defensas típicas contra el phishing a menudo dependen exclusivamente de que los usuarios puedan detectar correos electrónicos de phishing. Este enfoque solo tendrá un éxito limitado.

En cambio, deben ampliarse las defensas para incluir medidas más técnicas. Esto mejorará la resistencia de la empresa frente a los ataques de phishing sin interrumpir la productividad de sus usuarios.

Existen muchas oportunidades para detectar un ataque de phishing y luego detenerlo antes de que cause daño. Pero también algunos ataques se producirán, y eso te ayudará a planificar incidentes y minimizar el daño causado.

Podemos dividir las mitigaciones en cuatro capas mediante las que construir tus defensas:

  1. Hacer que sea difícil para los atacantes llegar a sus usuarios
  2. Ayuda a los usuarios a identificar e informar sobre correos electrónicos sospechosos de phishing
  3. Protege tu organización de los efectos de correos electrónicos de phishing no detectados
  4. Responde rápidamente a los incidentes.

Algunas de las mitigaciones sugeridas pueden no ser factibles dentro del contexto de tu organización. Si no puedes implementarlas todas, intenta abordar al menos algunas de las mitigaciones desde cada una de las capas.

1. Evita que los atacantes lleguen a tus usuarios

Para ello, las pautas a seguir son:

No permitas que sus direcciones de correo electrónico sean un recurso para los atacantes

Los atacantes engañan con correos electrónicos confiables, haciendo que sus correos electrónicos parezcan enviados por organizaciones de buena reputación. Estos correos electrónicos falsificados se pueden usar para atacar a tus clientes o personas dentro de su organización.

¿Cómo hago esto?

Haz que sea más difícil falsificar el correo electrónico de tus dominios mediante el uso de los controles antifalsificación, y anima a tus contactos a hacer lo mismo.

Reduce la información disponible para los atacantes

Los atacantes usan información disponible públicamente sobre tu organización y usuarios para hacer que sus mensajes de phishing sean más convincentes. Esto a menudo se obtiene de tu sitio web y cuentas de redes sociales.

¿Cómo hago esto?

  • Ten en cuenta qué necesitan saber los visitantes de tu sitio web y qué detalles son innecesarios. Esto es particularmente importante para los miembros de alto perfil de tu organización, ya que esta información podría usarse para crear ataques personalizados.
  • Ayuda al personal a comprender cómo compartir su información personal puede afectarlos a ellos y a tu organización, y desarrollar esto en una política clara de huella digital para todos los usuarios.
  • Ten en cuenta lo que tus socios, contratistas y proveedores ofrecen sobre tu empresa en línea.

Filtra o bloquea correos electrónicos de phishing entrantes

Filtrar o bloquear un correo electrónico de phishing antes de que llegue a sus usuarios no solo reduce la probabilidad de un incidente de phishing. También reduce la cantidad de tiempo que los usuarios necesitan para revisar y reportar correos electrónicos. El servicio de filtrado/bloqueo puede ser un servicio integrado de un proveedor de correo electrónico basado en la nube o un servicio personalizado para tu propio servidor de correo electrónico.

¿Cómo hago esto?

  • Revisa todos los correos electrónicos entrantes en busca de spam, phishing y malware. Los correos electrónicos sospechosos de phishing se deben filtrar o bloquear antes de que lleguen a su usuario. Idealmente, esto debería hacerse en el servidor, pero también se puede hacer en dispositivos de usuario final.
  • Para el correo electrónico entrante, se deben respetar las políticas antifalsificación del dominio del remitente.
  • Si utilizas un proveedor de correo electrónico basado en la nube, asegúrate de que su servicio de filtrado/bloqueo sea suficiente para tus necesidades, y que esté activado de forma predeterminada para todos sus usuarios. Si alojas tu propio servidor de correo electrónico, asegúrate de contar con un servicio probado de filtrado/bloqueo. Y de que esté activado de manera predeterminada para todos sus usuarios.
  • Los servicios de filtrado generalmente envían correos electrónicos a carpetas de correo basura, mientras que los servicios de bloqueo aseguran que nunca lleguen a su usuario. Las reglas que determinan el bloqueo o el filtrado deben ajustarse a las necesidades de tu organización.
  • Filtrar correos electrónicos en dispositivos de usuarios finales puede ofrecer una capa adicional de defensa contra correos electrónicos maliciosos. Sin embargo, esto no debería compensar las medidas ineficaces basadas en el servidor, que podrían bloquear por completo una gran cantidad de correos electrónicos entrantes de phishing.
  • El correo electrónico se puede filtrar o bloquear mediante una variedad de técnicas que incluyen: direcciones IP, nombres de dominio, lista blanca/negra de direcciones de correo electrónico, spam público y listas negras de retransmisión abierta, tipos de archivos adjuntos y detección de malware.

2. Ayuda a los usuarios a identificar e informar sobre correos electrónicos sospechosos de phishing

En este apartado debemos tener en cuenta lo siguiente:

Considera cuidadosamente el enfoque para el entrenamiento de phishing

Responder a correos electrónicos y hacer clic en enlaces es una gran parte del trabajo moderno, por lo que no es realista esperar que los usuarios permanezcan vigilantes todo el tiempo.

Detectar correos electrónicos de phishing es difícil, y el spear phishing es aún más difícil de detectar. Los consejos dados en muchos paquetes de capacitación, basados ​​en advertencias y señales estándar, ayudarán a sus usuarios a detectar algunos correos electrónicos de phishing, pero no pueden enseñar a todos a detectar todos los correos electrónicos de phishing.

¿Cómo hago esto?

  • Deja en claro que los mensajes de suplantación de identidad (phishing) pueden ser difíciles de detectar y que no esperas que las personas puedan identificarlos el 100% del tiempo.
  • La capacitación debe estimular la disposición de los usuarios para informar incidentes futuros y asegurarles que está bien pedir más ayuda cuando algo parece sospechoso.
  • Asegúrate de que los usuarios comprendan la naturaleza de la amenaza que representa el phishing, especialmente aquellos departamentos que pueden ser más vulnerables.
  • Ayuda a tus usuarios a detectar las características comunes de los mensajes de phishing, como las señales de urgencia o autoridad que presionan al usuario a actuar.
  • El uso de simulaciones de phishing no hará que tu organización sea más segura . Algunas compañías tienen capacitación para usuarios que hace que los participantes elaboren su propio correo electrónico de phishing, lo que les brinda una visión mucho más rica de las técnicas utilizadas.

Facilita a tus usuarios el reconocimiento de solicitudes fraudulentas

Los atacantes pueden explotar los procesos para engañar a los usuarios para que entreguen información (incluidas las contraseñas) o realicen pagos no autorizados. Considera qué procesos podrían imitar los atacantes y cómo revisarlos y mejorarlos para que los ataques de phishing sean más fáciles de detectar.

Además, piensa en cómo se recibirán los correos electrónicos que envíe a proveedores y clientes. ¿Pueden sus destinatarios distinguir fácilmente su correo electrónico genuino de un ataque de phishing?

¿Cómo hago esto?

  • Asegúrate de que el personal esté familiarizado con las formas normales de trabajar para tareas clave, de modo que estén mejor equipados para reconocer solicitudes inusuales.
  • Haz que los procesos sean más resistentes a la suplantación de identidad garantizando que todas las solicitudes de correo electrónico importantes se verifiquen mediante un segundo tipo de comunicación (como un mensaje SMS, una llamada telefónica o confirmación por correo postal o en persona).
  • Piensa en cómo se ven tus comunicaciones salientes a proveedores y clientes. ¿El destinatario espera un correo electrónico y reconocerá su dirección de correo electrónico? ¿Tienen alguna forma de saber si los enlaces son genuinos?
  • Considera decirles a tus proveedores o clientes qué buscar (como «nunca le pediremos su contraseña» o «nuestros datos bancarios no cambiarán en ningún momento»).

Crea un entorno que aliente a los usuarios a informar de intentos de phishing

Crear una cultura en la que los usuarios puedan informar sobre intentos de phishing te da información vital sobre los tipos de ataques de phishing que se están utilizando. También puedes saber qué tipo de correos electrónicos se confunden con phishing y qué impacto podría tener esto en tu organización.

¿Cómo hago esto?

  • Ten un proceso efectivo para que los usuarios informen cuando crean que un intento de phishing pudo haber superado las defensas técnicas de tu organización.
  • Proporciona rápidamente comentarios sobre las medidas que se han tomado y deja claro que sus contribuciones marcan la diferencia.
  • Piensa en cómo puedes usar canales de comunicación informales para crear un entorno en el que sea fácil para los usuarios pedir apoyo y orientación cuando puedan enfrentarse a un intento de phishing.
  • Evita crear un castigo o una cultura orientada a la culpa en torno al phishing. Es importante que los usuarios se sientan apoyados para presentarse incluso cuando hayan «hecho clic» y luego crean que algo puede ser sospechoso.

3. Protege tu organización de los efectos de correos electrónicos de phishing no detectados

Como no es posible detener todos los ataques, es importante saber cómo minimizar el impacto de los correos electrónicos de phishing no detectados.

Protege tus dispositivos del malware

El malware a menudo está oculto en correos electrónicos de phishing o en sitios web a los que se vinculan. Los dispositivos bien configurados y las buenas defensas de punto final pueden detener la instalación de malware, incluso si se hace clic en el correo electrónico. El impacto del malware en su sistema dependerá de cómo se haya configurado este.

¿Cómo hago esto?

  • Evita que los atacantes usen vulnerabilidades conocidas utilizando solo software y dispositivos compatibles. Asegúrate de que el software y los dispositivos estén siempre actualizados con los últimos parches.
  • Evita que los usuarios instalen accidentalmente malware desde un correo electrónico de phishing, limitando las cuentas de administrador a quienes necesitan esos privilegios. Las personas con cuentas de administrador no deben usar estas cuentas para consultar el correo electrónico o navegar por la web.

Protege a tus usuarios de sitios web maliciosos

Los enlaces a sitios web maliciosos a menudo son una parte clave de un correo electrónico de phishing. Sin embargo, si el enlace no puede abrir el sitio web, el ataque no puede continuar.

¿Cómo hago esto?

  • Los navegadores más modernos y actualizados bloquearán los sitios conocidos de phishing y malware. Pero esto no siempre es así en los dispositivos móviles.
  • Las organizaciones deben ejecutar un servicio de proxy para bloquear cualquier intento de llegar a sitios web que han sido identificados como hosting de malware o campañas de phishing.
  • Las entidades del sector público deben usar el servicio DNS del sector público, que evitará que los usuarios accedan a dominios que se sabe que son maliciosos.

Proteje tus cuentas con autenticación y autorización efectivas

Las contraseñas son un objetivo clave para los atacantes, especialmente si son para cuentas con privilegios como el acceso a información confidencial, el manejo de activos financieros o la administración de sistemas de TI. Debes hacer que el proceso de inicio de sesión en todas las cuentas sea más resistente al phishing y limitar la cantidad de cuentas con acceso privilegiado al mínimo absoluto.

¿Cómo hago esto?

  • Agregua seguridad adicional al proceso de inicio de sesión configurando la autenticación de dos factores.
  • Usa administradores de contraseñas, algunos de los cuales pueden reconocer sitios web reales y no se rellenarán automáticamente en sitios web falsos. Del mismo modo, puedes utilizar un método de inicio de sesión único (donde el dispositivo reconoce y se registra automáticamente en el sitio web real).
  • Usa mecanismos de inicio de sesión alternativos (como biometría o tarjetas inteligentes) que requieren más esfuerzo para robar que las contraseñas.
  • Da acceso privilegiado solo a las personas que lo necesiten para sus roles. Revisa regularmente estos y revoca los privilegios si ya no los necesita.
  • Elimina o suspende las cuentas que ya no se utilizan.
  • Revisa tus políticas de contraseña.

4. Responde rápidamente a los incidentes

Todas las organizaciones experimentarán incidentes de seguridad en algún momento, así que asegúrate de estar en condiciones de detectarlos rápidamente y responderlos de manera planificada.

Detecta incidentes rápidamente

Conocer un incidente más temprano que tarde te permite limitar el daño que puede causar.

¿Cómo hago esto?

  • Asegúrate de que los usuarios sepan de antemano cómo pueden reportar incidentes.
  • Usa un sistema de registro de seguridad para detectar incidentes que tus usuarios desconocen. Para recopilar esta información, puedes usar herramientas de monitorización integradas en sus servicios estándar, crear un equipo interno o externalizar a un servicio de monitoreo de seguridad administrado.

Elabora un plan de respuesta a incidentes

Una vez que se descubre un incidente, debes saber qué hacer para evitar más daños lo antes posible.

¿Cómo hago esto?

  • Asegúrate de que tu organización sepa qué hacer en caso de diferentes tipos de incidentes. Por ejemplo, ¿cómo forzará un restablecimiento de contraseña si la contraseña se ve comprometida? ¿Quién es responsable de eliminar el malware de un dispositivo y cómo lo harán?
  • Los planes de respuesta a incidentes deben practicarse antes de que ocurra un incidente.