En el mundo cada vez más digital de hoy, gran parte de lo que hacemos, ya sea por negocios o por placer, se lleva a cabo en línea. Este aumento en la actividad en línea ha originado una explosión masiva del cibercrimen.
El delito cibernético se ha convertido en una herramienta poderosa para los delincuentes que buscan robar nuestros datos personales y extorsionarnos con el pago de dinero. La velocidad, el anonimato y la conveniencia de Internet ha permitido a los delincuentes lanzar ataques altamente selectivos con muy poco esfuerzo.
El más exitoso y peligroso de todos los ciberataques es el phishing. Se considera que el 91% de todos los ataques cibernéticos comienzan con un correo electrónico de phishing.
El phishing continúa siendo la forma más común de ciberataque debido a su simplicidad, efectividad y alto retorno de la inversión. Ha evolucionado desde sus primeros días de engañar a las personas con estafas de príncipes nigerianos y solicitudes de tratamiento médico de emergencia.
Los ataques de phishing que tienen lugar hoy en día son sofisticados, específicos y cada vez más difíciles de detectar.
Por eso vamos a darte unas nociones básicas sobre este tipo de ataques, en qué consisten, los tipos principales y cómo evitarlos.
Indice
¿Qué es el phishing?
El phishing es una suplantación de identidad.
La suplantación de identidad se produce cuando los atacantes intentan engañar a los usuarios para que hagan «algo incorrecto», como hacer clic en un enlace incorrecto que descargará malware o dirigirlos a un sitio web poco fiable.
El phishing se puede realizar a través de un mensaje de texto, redes sociales o por teléfono. Pero el término ‘phishing’ se usa principalmente para describir los ataques que llegan por correo electrónico.
Los correos electrónicos de phishing pueden llegar a millones de usuarios directamente y esconderse entre la gran cantidad de correos electrónicos benignos que recibimos cada día. Los ataques pueden instalar malware (como ransomware), sistemas de sabotaje o robar propiedad intelectual y dinero.
Los correos electrónicos de phishing pueden afectar a una organización de cualquier tamaño y tipo.
Puede quedar atrapado en una campaña masiva donde el atacante solo busca recopilar nuevas contraseñas o ganar dinero fácil, o podría ser el primer paso en un ataque dirigido contra su empresa, donde el objetivo podría ser algo más específico, como el robo de datos confidenciales.
En una campaña dirigida, el atacante puede usar información sobre sus empleados o compañía para hacer que sus mensajes sean aún más persuasivos y realistas. Esto generalmente se conoce como spear phishing.
Papel de las empresas
Las medidas de atenuación que se describen aquí se centran principalmente en prevenir el impacto de los ataques de phishing dentro de tu organización, y ayudarán a proteger a cualquier tipo de empresa. Para ello es importante aplicar estándares de autenticación, informe y conformidad de mensajes de correo electrónico basados en dominio.
Los beneficios de tener en cuenta esta medidas son muy importantes:
- Es más probable que los correos electrónicos genuinos de tu propia empresa lleguen a las bandejas de entrada de los destinatarios, en lugar de filtrarse como spam.
- Desde el punto de vista de la reputación, ninguna organización quiere que su nombre se convierta en sinónimo de estafas y fraude.
- La comunidad en general también se beneficiará si se incita a sus contactos (como proveedores, socios y clientes) a registrar sus datos con esos estándares. Esto puede darte una seguridad mucho mayor de que el correo electrónico que solicita información o dinero en realidad proviene de donde piensas.
¿Cómo funciona?
El éxito de la suplantación de identidad se produce cuando la víctima accede a un enlace o descarga un archivo. En ese momento, el malware se introduce en su ordenador.
Existen distintas maneras con las que puedes ser estafado y te las indico a continuación.
Tipos
Los principales tipos de phishing existentes son los siguientes:
Estafas por correo electrónico
Los ataques de phishing, en su forma más común, son correos electrónicos que incitan al destinatario a tomar medidas, generalmente para lograr uno de dos objetivos:
- Engañarle para que comparta información personal
- Engañarle para que descargue malware dañino
Una vez que les haya dado acceso, los hackers pueden acceder a tu cuenta bancaria, robar tu identidad o realizar compras fraudulentas en tu nombre.
Las estafas por correo electrónico se han incrementado en casi un 500% en los últimos años. Debido al aumento y al triunfo del phishing por correo electrónico se han producido importantes modificaciones del método.
SMiShing
Smishing es un tipo de phishing que utiliza mensajes SMS en lugar de correos electrónicos para dirigirse a personas. Es otra forma efectiva de que los ciberdelincuentes engañen a las personas para que divulguen información personal como detalles de cuentas, detalles de tarjetas de crédito o nombres de usuario y contraseñas. Este método implica que el estafador envíe un mensaje de texto al número de teléfono de un individuo y generalmente incluye una llamada a la acción que requiere una respuesta inmediata.
Spear Phishing
Spear phishing es un intento más específico de robar información confidencial y generalmente se enfoca en un individuo u organización específica. Estos tipos de ataque utilizan información personal que es específica del individuo para parecer legítima.
Los delincuentes cibernéticos a menudo recurren a las redes sociales y los sitios web de las empresas para investigar a sus víctimas. Una vez que comprendan mejor su objetivo, comenzarán a enviar correos electrónicos personalizados que incluyen enlaces que, una vez que se hace clic, infectarán una computadora con malware.
Vishing
Vishing se refiere a estafas de phishing que tienen lugar por teléfono. Tiene la interacción más humana de todos los ataques de phishing, pero sigue el mismo patrón de engaño. Los estafadores a menudo crean un sentido de urgencia para convencer a una víctima de divulgar información confidencial.
La llamada a menudo se realizará a través de una identificación falsificada, por lo que parece que proviene de una fuente confiable. Un escenario típico involucrará al estafador haciéndose pasar por un empleado del banco para señalar comportamientos sospechosos en una cuenta. Una vez que hayan ganado la confianza de la víctima, pedirán información personal, como detalles de inicio de sesión, contraseñas y PIN. Los detalles se pueden utilizar para vaciar cuentas bancarias o cometer fraude de identidad.
Whaling
Lo que distingue a esta categoría de phishing de otras es la elección de alto nivel del objetivo. Un ataque de caza de ballenas es un intento de robar información confidencial y a menudo está dirigido a la alta gerencia.
Los correos electrónicos de caza de ballenas son mucho más sofisticados que los correos electrónicos de phishing habituales y mucho más difíciles de detectar. Los correos electrónicos a menudo contendrán información personalizada sobre el objetivo u organización, y el idioma tendrá un tono más corporativo. Se necesitará mucho más esfuerzo y reflexión para la elaboración de estos correos electrónicos debido al alto nivel de rendimiento de los ciberdelincuentes.
Phishing de clones
Clone Phishing es donde se utiliza un correo electrónico legítimo y entregado previamente para crear un correo electrónico idéntico con contenido malicioso. El correo electrónico clonado parecerá provenir del remitente original, pero será una versión actualizada que contiene enlaces maliciosos o archivos adjuntos.
Existen infinitas estafas de phishing, pero utilizan un cebo similar para engañar a sus víctimas.
¿Cómo detectar un ataque de phishing?
A menudo es difícil distinguir un correo electrónico falso de uno verdadero, sin embargo, la mayoría tiene indicios sutiles de su naturaleza fraudulenta.
Aquí te dejo algunas cuestiones que debes tener en cuenta para reconocer un correo electrónico malicioso y mantener la seguridad del correo electrónico.
- Una compañía real no solicita su información confidencial por correo electrónico. Lo más probable es que si recibes un correo electrónico no solicitado de una institución que proporciona un enlace o archivo adjunto y te pide que proporciones información confidencial, es una estafa. La mayoría de las compañías no envian correos electrónicos solicitando contraseñas o información de tarjeta de crédito, ni envian un enlace desde el que se debe iniciar sesión.
- Las empresas legítimas generalmente te llaman por tu nombre. Los correos electrónicos de suplantación de identidad (phishing) suelen utilizar saludos genéricos como «Estimado titular de la cuenta» o «Estimado cliente». Algunos hackers simplemente evitan el saludo por completo. Esto es especialmente común con los anuncios.
- Las empresas reales tienen correos electrónicos de dominio. Verifica no solo el nombre de la persona que envía el correo electrónico, también su dirección de correo electrónico pasando el ratón sobre la dirección. Asegúrate de que no se hayan realizado modificaciones (como números o letras adicionales). Pero este no es un método infalible. A veces, las empresas utilizan dominios únicos o variados para enviar correos electrónicos, y algunas empresas más pequeñas utilizan proveedores de correo electrónico de terceros.
- Los correos reales deben estar correctamente redactados. Posiblemente, la forma más fácil de reconocer un correo electrónico fraudulento es una mala gramática. Un correo electrónico de una organización legítima debe estar bien escrito. Los hackers se aprovechan de las personas menos cultas creyendo que son menos observadores y, por lo tanto, objetivos más fáciles.
- Las empresas reales no te obligan a ir a su página web. A veces, los correos electrónicos de phishing se codifican por completo como un hipervínculo. Por lo tanto, hacer clic accidental o deliberadamente en cualquier parte del correo electrónico abrirá una página web falsa o descargará spam en tu ordenador.
- Las compañías auténticas no envían archivos adjuntos no solicitados. Por lo general, las instituciones auténticas no te envían al azar correos electrónicos con archivos adjuntos, sino que te indican que descargues documentos o archivos en su propio sitio web. Pero este método tampoco es infalible. A veces, las empresas que ya tienen su correo electrónico le enviarán información, como un documento técnico, que puede requerir una descarga. En ese caso, esté atento a los tipos de archivos adjuntos de alto riesgo que incluyen .exe, .scr y .zip.
Defensa frente a phishing
Las defensas típicas contra el phishing a menudo dependen exclusivamente de que los usuarios puedan detectar correos electrónicos de phishing. Este enfoque solo tendrá un éxito limitado.
En cambio, deben ampliarse las defensas para incluir medidas más técnicas. Esto mejorará la resistencia de la empresa frente a los ataques de phishing sin interrumpir la productividad de sus usuarios.
Existen muchas oportunidades para detectar un ataque de phishing y luego detenerlo antes de que cause daño. Pero también algunos ataques se producirán, y eso te ayudará a planificar incidentes y minimizar el daño causado.
Podemos dividir las mitigaciones en cuatro capas mediante las que construir tus defensas:
- Hacer que sea difícil para los atacantes llegar a sus usuarios
- Ayuda a los usuarios a identificar e informar sobre correos electrónicos sospechosos de phishing
- Protege tu organización de los efectos de correos electrónicos de phishing no detectados
- Responde rápidamente a los incidentes.
Algunas de las mitigaciones sugeridas pueden no ser factibles dentro del contexto de tu organización. Si no puedes implementarlas todas, intenta abordar al menos algunas de las mitigaciones desde cada una de las capas.
1. Evita que los atacantes lleguen a tus usuarios
Para ello, las pautas a seguir son:
No permitas que sus direcciones de correo electrónico sean un recurso para los atacantes
Los atacantes engañan con correos electrónicos confiables, haciendo que sus correos electrónicos parezcan enviados por organizaciones de buena reputación. Estos correos electrónicos falsificados se pueden usar para atacar a tus clientes o personas dentro de su organización.
¿Cómo hago esto?
Haz que sea más difícil falsificar el correo electrónico de tus dominios mediante el uso de los controles antifalsificación, y anima a tus contactos a hacer lo mismo.
Reduce la información disponible para los atacantes
Los atacantes usan información disponible públicamente sobre tu organización y usuarios para hacer que sus mensajes de phishing sean más convincentes. Esto a menudo se obtiene de tu sitio web y cuentas de redes sociales.
¿Cómo hago esto?
- Ten en cuenta qué necesitan saber los visitantes de tu sitio web y qué detalles son innecesarios. Esto es particularmente importante para los miembros de alto perfil de tu organización, ya que esta información podría usarse para crear ataques personalizados.
- Ayuda al personal a comprender cómo compartir su información personal puede afectarlos a ellos y a tu organización, y desarrollar esto en una política clara de huella digital para todos los usuarios.
- Ten en cuenta lo que tus socios, contratistas y proveedores ofrecen sobre tu empresa en línea.
Filtra o bloquea correos electrónicos de phishing entrantes
Filtrar o bloquear un correo electrónico de phishing antes de que llegue a sus usuarios no solo reduce la probabilidad de un incidente de phishing. También reduce la cantidad de tiempo que los usuarios necesitan para revisar y reportar correos electrónicos. El servicio de filtrado/bloqueo puede ser un servicio integrado de un proveedor de correo electrónico basado en la nube o un servicio personalizado para tu propio servidor de correo electrónico.
¿Cómo hago esto?
- Revisa todos los correos electrónicos entrantes en busca de spam, phishing y malware. Los correos electrónicos sospechosos de phishing se deben filtrar o bloquear antes de que lleguen a su usuario. Idealmente, esto debería hacerse en el servidor, pero también se puede hacer en dispositivos de usuario final.
- Para el correo electrónico entrante, se deben respetar las políticas antifalsificación del dominio del remitente.
- Si utilizas un proveedor de correo electrónico basado en la nube, asegúrate de que su servicio de filtrado/bloqueo sea suficiente para tus necesidades, y que esté activado de forma predeterminada para todos sus usuarios. Si alojas tu propio servidor de correo electrónico, asegúrate de contar con un servicio probado de filtrado/bloqueo. Y de que esté activado de manera predeterminada para todos sus usuarios.
- Los servicios de filtrado generalmente envían correos electrónicos a carpetas de correo basura, mientras que los servicios de bloqueo aseguran que nunca lleguen a su usuario. Las reglas que determinan el bloqueo o el filtrado deben ajustarse a las necesidades de tu organización.
- Filtrar correos electrónicos en dispositivos de usuarios finales puede ofrecer una capa adicional de defensa contra correos electrónicos maliciosos. Sin embargo, esto no debería compensar las medidas ineficaces basadas en el servidor, que podrían bloquear por completo una gran cantidad de correos electrónicos entrantes de phishing.
- El correo electrónico se puede filtrar o bloquear mediante una variedad de técnicas que incluyen: direcciones IP, nombres de dominio, lista blanca/negra de direcciones de correo electrónico, spam público y listas negras de retransmisión abierta, tipos de archivos adjuntos y detección de malware.
2. Ayuda a los usuarios a identificar e informar sobre correos electrónicos sospechosos de phishing
En este apartado debemos tener en cuenta lo siguiente:
Considera cuidadosamente el enfoque para el entrenamiento de phishing
Responder a correos electrónicos y hacer clic en enlaces es una gran parte del trabajo moderno, por lo que no es realista esperar que los usuarios permanezcan vigilantes todo el tiempo.
Detectar correos electrónicos de phishing es difícil, y el spear phishing es aún más difícil de detectar. Los consejos dados en muchos paquetes de capacitación, basados en advertencias y señales estándar, ayudarán a sus usuarios a detectar algunos correos electrónicos de phishing, pero no pueden enseñar a todos a detectar todos los correos electrónicos de phishing.
¿Cómo hago esto?
- Deja en claro que los mensajes de suplantación de identidad (phishing) pueden ser difíciles de detectar y que no esperas que las personas puedan identificarlos el 100% del tiempo.
- La capacitación debe estimular la disposición de los usuarios para informar incidentes futuros y asegurarles que está bien pedir más ayuda cuando algo parece sospechoso.
- Asegúrate de que los usuarios comprendan la naturaleza de la amenaza que representa el phishing, especialmente aquellos departamentos que pueden ser más vulnerables.
- Ayuda a tus usuarios a detectar las características comunes de los mensajes de phishing, como las señales de urgencia o autoridad que presionan al usuario a actuar.
- El uso de simulaciones de phishing no hará que tu organización sea más segura . Algunas compañías tienen capacitación para usuarios que hace que los participantes elaboren su propio correo electrónico de phishing, lo que les brinda una visión mucho más rica de las técnicas utilizadas.
Facilita a tus usuarios el reconocimiento de solicitudes fraudulentas
Los atacantes pueden explotar los procesos para engañar a los usuarios para que entreguen información (incluidas las contraseñas) o realicen pagos no autorizados. Considera qué procesos podrían imitar los atacantes y cómo revisarlos y mejorarlos para que los ataques de phishing sean más fáciles de detectar.
Además, piensa en cómo se recibirán los correos electrónicos que envíe a proveedores y clientes. ¿Pueden sus destinatarios distinguir fácilmente su correo electrónico genuino de un ataque de phishing?
¿Cómo hago esto?
- Asegúrate de que el personal esté familiarizado con las formas normales de trabajar para tareas clave, de modo que estén mejor equipados para reconocer solicitudes inusuales.
- Haz que los procesos sean más resistentes a la suplantación de identidad garantizando que todas las solicitudes de correo electrónico importantes se verifiquen mediante un segundo tipo de comunicación (como un mensaje SMS, una llamada telefónica o confirmación por correo postal o en persona).
- Piensa en cómo se ven tus comunicaciones salientes a proveedores y clientes. ¿El destinatario espera un correo electrónico y reconocerá su dirección de correo electrónico? ¿Tienen alguna forma de saber si los enlaces son genuinos?
- Considera decirles a tus proveedores o clientes qué buscar (como «nunca le pediremos su contraseña» o «nuestros datos bancarios no cambiarán en ningún momento»).
Crea un entorno que aliente a los usuarios a informar de intentos de phishing
Crear una cultura en la que los usuarios puedan informar sobre intentos de phishing te da información vital sobre los tipos de ataques de phishing que se están utilizando. También puedes saber qué tipo de correos electrónicos se confunden con phishing y qué impacto podría tener esto en tu organización.
¿Cómo hago esto?
- Ten un proceso efectivo para que los usuarios informen cuando crean que un intento de phishing pudo haber superado las defensas técnicas de tu organización.
- Proporciona rápidamente comentarios sobre las medidas que se han tomado y deja claro que sus contribuciones marcan la diferencia.
- Piensa en cómo puedes usar canales de comunicación informales para crear un entorno en el que sea fácil para los usuarios pedir apoyo y orientación cuando puedan enfrentarse a un intento de phishing.
- Evita crear un castigo o una cultura orientada a la culpa en torno al phishing. Es importante que los usuarios se sientan apoyados para presentarse incluso cuando hayan «hecho clic» y luego crean que algo puede ser sospechoso.
3. Protege tu organización de los efectos de correos electrónicos de phishing no detectados
Como no es posible detener todos los ataques, es importante saber cómo minimizar el impacto de los correos electrónicos de phishing no detectados.
Protege tus dispositivos del malware
El malware a menudo está oculto en correos electrónicos de phishing o en sitios web a los que se vinculan. Los dispositivos bien configurados y las buenas defensas de punto final pueden detener la instalación de malware, incluso si se hace clic en el correo electrónico. El impacto del malware en su sistema dependerá de cómo se haya configurado este.
¿Cómo hago esto?
- Evita que los atacantes usen vulnerabilidades conocidas utilizando solo software y dispositivos compatibles. Asegúrate de que el software y los dispositivos estén siempre actualizados con los últimos parches.
- Evita que los usuarios instalen accidentalmente malware desde un correo electrónico de phishing, limitando las cuentas de administrador a quienes necesitan esos privilegios. Las personas con cuentas de administrador no deben usar estas cuentas para consultar el correo electrónico o navegar por la web.
Protege a tus usuarios de sitios web maliciosos
Los enlaces a sitios web maliciosos a menudo son una parte clave de un correo electrónico de phishing. Sin embargo, si el enlace no puede abrir el sitio web, el ataque no puede continuar.
¿Cómo hago esto?
- Los navegadores más modernos y actualizados bloquearán los sitios conocidos de phishing y malware. Pero esto no siempre es así en los dispositivos móviles.
- Las organizaciones deben ejecutar un servicio de proxy para bloquear cualquier intento de llegar a sitios web que han sido identificados como hosting de malware o campañas de phishing.
- Las entidades del sector público deben usar el servicio DNS del sector público, que evitará que los usuarios accedan a dominios que se sabe que son maliciosos.
Proteje tus cuentas con autenticación y autorización efectivas
Las contraseñas son un objetivo clave para los atacantes, especialmente si son para cuentas con privilegios como el acceso a información confidencial, el manejo de activos financieros o la administración de sistemas de TI. Debes hacer que el proceso de inicio de sesión en todas las cuentas sea más resistente al phishing y limitar la cantidad de cuentas con acceso privilegiado al mínimo absoluto.
¿Cómo hago esto?
- Agregua seguridad adicional al proceso de inicio de sesión configurando la autenticación de dos factores.
- Usa administradores de contraseñas, algunos de los cuales pueden reconocer sitios web reales y no se rellenarán automáticamente en sitios web falsos. Del mismo modo, puedes utilizar un método de inicio de sesión único (donde el dispositivo reconoce y se registra automáticamente en el sitio web real).
- Usa mecanismos de inicio de sesión alternativos (como biometría o tarjetas inteligentes) que requieren más esfuerzo para robar que las contraseñas.
- Da acceso privilegiado solo a las personas que lo necesiten para sus roles. Revisa regularmente estos y revoca los privilegios si ya no los necesita.
- Elimina o suspende las cuentas que ya no se utilizan.
- Revisa tus políticas de contraseña.
4. Responde rápidamente a los incidentes
Todas las organizaciones experimentarán incidentes de seguridad en algún momento, así que asegúrate de estar en condiciones de detectarlos rápidamente y responderlos de manera planificada.
Detecta incidentes rápidamente
Conocer un incidente más temprano que tarde te permite limitar el daño que puede causar.
¿Cómo hago esto?
- Asegúrate de que los usuarios sepan de antemano cómo pueden reportar incidentes.
- Usa un sistema de registro de seguridad para detectar incidentes que tus usuarios desconocen. Para recopilar esta información, puedes usar herramientas de monitorización integradas en sus servicios estándar, crear un equipo interno o externalizar a un servicio de monitoreo de seguridad administrado.
Elabora un plan de respuesta a incidentes
Una vez que se descubre un incidente, debes saber qué hacer para evitar más daños lo antes posible.
¿Cómo hago esto?
- Asegúrate de que tu organización sepa qué hacer en caso de diferentes tipos de incidentes. Por ejemplo, ¿cómo forzará un restablecimiento de contraseña si la contraseña se ve comprometida? ¿Quién es responsable de eliminar el malware de un dispositivo y cómo lo harán?
- Los planes de respuesta a incidentes deben practicarse antes de que ocurra un incidente.
Herramienta contra el phishing de Google: SMS verificados
Google ha lanzado una aplicación de SMS predeterminada en el sistema operativo móvil Android.
A partir de hoy, los usuarios de Android en los países seleccionados tendrán acceso a dos nuevas funciones llamadas SMS verificado y Protección contra spam.
Verified SMS funciona confirmando la identidad del remitente del SMS.
El SMS verificado solo se utilizará para verificar la autenticidad de los mensajes SMS enviados por las empresas. No verificará ni agregará una insignia de verificación a los mensajes enviados por usuarios normales.
Google dijo que creó esta función para ayudar a los usuarios a confiar en los mensajes que reciben, especialmente para «cosas como contraseñas de un solo uso, alertas de cuenta o confirmaciones de citas».
Esta aplicación se lanzó en nueve países: Estados Unidos, India, México, Brasil, Reino Unido, Francia, Filipinas, España y Canadá.
La segunda característica de la aplicación Mensajes se llama Protección contra spam. Esta función funciona mostrando una barra de notificaciones en la parte superior de la aplicación Mensajes cuando la aplicación cree que un mensaje recién recibido contiene los marcadores de un texto clásico de spam de SMS.
Al igual que la función de SMS verificado, Google dijo que Spam Protection funcionaría sin enviar el mensaje SMS del usuario a los servidores de Google, manteniendo las conversaciones privadas.
¿Cómo denunciar un correo electrónico?
En caso de que recibas un correo electrónico considerado como phishing, además de seguir las recomendaciones facilitadas anteriormente, puedes denunciarlo para evitar que otras personas sean víctimas de esos atacantes.
A la policía
Si recibes un email de phishing, debes ponerte en contacto con la policía para informarles de lo ocurrido. De esta forma les puedes ayudar a detener a los estafadores.
Hotmail
Las estafas de suplantación de identidad (phishing) pueden tener efectos devastadores no solo en un solo empleado, sino en todo un negocio, dependiendo de los datos que se divulguen.
Informar los correos electrónicos sospechosos que recibas en tu cuenta de Hotmail puede ayudar a evitar la circulación de tales estafas.
Para denunciar ese email:
- Inicia sesión en tu cuenta de Hotmail. Ve a tu bandeja de entrada y marca la casilla de verificación a la izquierda del mensaje sospechoso.
- Selecciona «Marcar como» de las opciones en la parte superior de la página y elige «Estafa de phishing» en el menú desplegable.
- Haz clic en «Aceptar» para informar el correo electrónico a Microsoft.
Gmail
Google hace un gran trabajo al detectar y filtrar correos electrónicos falsos (spam, malware, fraudulentos), sin embargo, un correo electrónico de phishing bien diseñado y dirigido se parece mucho a un correo electrónico real, lo que los hace más difíciles de filtrar.
Si recibes un correo electrónico que crees que no proviene de una fuente genuina, puedes informarlo utilizando un método especial de suplantación de identidad en Gmail (en la web).
Cuando veas un mensaje, haz clic en la flecha desplegable junto a Responder en la parte superior derecha del panel de mensajes y selecciona Informar suplantación de identidad.
Esto eliminará el correo electrónico de tu bandeja de entrada y enviará un informe a Google para ayudar en la lucha contra los estafadores.
Yahoo
Puedes recibir un mensaje en tu cuenta de Yahoo Mail pidiéndote su nombre de cuenta y contraseña de alguien que se identifique como empleado oficial de Yahoo.
Informar el intento de phishing a Yahoo, si el remitente usó una cuenta de Yahoo, permite a la compañía tomar medidas contra el remitente. No solo puedes marcar el correo electrónico como spam en tu cuenta de Yahoo Mail, sino que también puedes informarlo directamente a Yahoo a través de un formulario en línea.
- Haz clic en la casilla junto a cada correo electrónico que deseas marcar como spam en tu cuenta de Yahoo Mail.
- Pincha en el icono de una flecha que apunta hacia abajo a la derecha del botón «Spam» en la parte superior de la Bandeja de entrada.
- Haz clic en «Informar una estafa de phishing» para informar el correo electrónico a Yahoo y mover el correo electrónico a la carpeta «Spam».
Las mejores herramientas de phishing para auditar la seguridad de tu empresa
La siguiente lista de herramientas de phishing se presenta sin ningún orden en particular. Estamos favoreciendo los proyectos de código abierto, con algunas soluciones comerciales que están dirigidas más directamente a la formación en seguridad empresarial y al e-learning.
King Phisher
Comencemos con una de las herramientas de campaña de phishing de código abierto más conocidas. King Phisher está escrito en Python y es una herramienta de campaña de phishing gratuita que se utiliza para simular ataques de phishing en el mundo real y para evaluar y promover la conciencia de la ciberseguridad y el phishing de una organización.
King Phisher, una herramienta frecuente de las operaciones del equipo rojo, te permite crear campañas de phishing independientes con diferentes objetivos, ya sea para concienciar sobre phishing o para situaciones más complejas en las que se utiliza para la recolección de credenciales.
Su capacidad para capturar credenciales y diferentes números de objetivos es impresionante, a veces alcanza los 10.000 objetivos por campaña. Y como King Phisher no tiene interfaz web, puede ser difícil identificar su servidor y si se utiliza para ingeniería social. Esto reduce su exposición a vulnerabilidades web como XSS.
Otras características incluyen:
- Gráficos de resultados de campaña
- Imágenes incrustadas en correos electrónicos
- 2FA opcional
- Plantillas que utilizan Jinja2
- Alertas por SMS sobre el estado de la campaña
- Clonación de páginas web
- Controles SPF
- Ubicación geográfica
Gophish
Continuemos con otra herramienta que se ha abierto camino desde el kit de herramientas del equipo rojo: Gophish. Un simulador de phishing de código abierto escrito en GO, Gophish ayuda a las organizaciones a evaluar su susceptibilidad a los ataques de phishing al simplificar el proceso de creación, lanzamiento y revisión de los resultados de una campaña.
Gophish puede ayudarte a crear plantillas de correo electrónico, páginas de destino y listas de destinatarios, y te ayuda a enviar perfiles. Luego te permite lanzar una campaña y, finalmente, generar y ver informes sobre aperturas de correo electrónico, clics en enlaces, credenciales enviadas y más.
Esta herramienta es muy fácil de usar, lo que permite una ejecución rápida; la idea detrás de Gophish es ser accesible para todos. Es gratis y ofrece versiones de Gophish como binarios compilados sin dependencias.
Las características principales incluyen:
- Instalación rápida
- API REST
- Interfaz fácil de usar
- Binarios proporcionados para Windows, Mac OSX y Linux
- Informes en tiempo real
Evilginx2
Con las técnicas de phishing convencionales, tener 2FA habilitado en las cuentas de usuario puede mitigar la mayoría de las tácticas de los atacantes. Aquí es donde Evilginx2 puede ser bastante útil. Un sucesor de Evilginx, Evilginx2 es un poco diferente de otras herramientas y simuladores en esta lista de herramientas de phishing, en el sentido de que actúa como un proxy de intermediario.
¿Y cómo puede ayudar esto con las campañas de phishing? Bueno, en escenarios de phishing comunes, serviría plantillas de parecidos a la página de inicio de sesión, pero Evilginx2 funciona de manera diferente. Se conecta a sitios web que están protegidos con 2FA, convirtiéndose en un proxy web entre el sitio web phishing y el navegador, e interceptando cada paquete, modificándolo y luego enviándolo al sitio web real.
Además, captura las cookies de token de sesión que, si se exportan a un navegador diferente, pueden otorgar autorización completa para acceder a la cuenta del usuario.
Modlishka
Modlishka generó un gran revuelo cuando se lanzó por primera vez, ya que demostró la facilidad de uso de kits de phishing y el alcance de sus capacidades. Es otra herramienta que evade 2FA y no usa plantillas. Para utilizar Modlishka, solo necesitas un dominio de phishing y un certificado TLS válido, por lo que no perderás tiempo al tener que crear sitios web de phishing.
Modlishka es un proxy inverso que se interpone entre el usuario y su sitio web de destino. El usuario se conecta al servidor del «atacante» y el servidor realiza solicitudes al sitio web real, sirviendo al usuario contenido legítimo, pero la herramienta registra todo el tráfico y las contraseñas ingresadas. Con él, automatizarás la campaña de phishing y la harás más eficiente en el tiempo.
Desde allí, puedes recolectar tokens 2FA y usarlos para acceder a las cuentas del usuario e incluso establecer nuevas sesiones. Algunas de las principales características de Modlishka son:
- Inyección de carga útil de JavaScript basada en patrones
- Envuelve sitios web con envoltura TLS, autenticación, encabezados de seguridad relevantes, etc.
- Elimina sitios web de todos los encabezados de seguridad y cifrado
- Soporte para 2FA
- Cosecha de credenciales
- Escrito en Go
Phishing Frenzy
Es un marco de phishing de Ruby on Rails de código abierto diseñado para ayudar a los probadores de penetración y a los profesionales de la seguridad a crear y administrar campañas de phishing por correo electrónico.
Al ayudar en la administración de campañas, generar estadísticas detalladas de campañas y recolección de credenciales (entre muchas otras características), Phishing Frenzy hace que el proceso de phishing se ejecute de manera más fluida y eficiente.
Kit de herramientas de ingeniería social – SET
El Kit de herramientas de ingeniería social (SET) es una herramienta sobre la que hemos escrito mucho, y la estamos visitando nuevamente aquí, esta vez como una herramienta de phishing.
SET es una herramienta de seguridad Python de código abierto que presenta diferentes técnicas de ataque centradas en las pruebas de penetración y el uso de humanos como objetivos. Los tipos de ataques abordados son, phishing, spear phishing, ataque web, generador de medios infecciosos, creación de una carga útil, ataque de envío masivo y otros.
Destacaremos sus características principales aquí, con detalles sobre la instalación y los casos de uso. Las características principales de esta herramienta de phishing incluyen:
- Multiplataforma
- Admite la integración con módulos de terceros
- Plataforma de pruebas de penetración Fast-Track
- Vectores de powershell attack
- Clonación de sitios web
- Números de teléfono falsos
WifiPhisher
Una herramienta de phishing realmente popular, Wifiphisher tiene la capacidad de asociarse con una red WiFi cercana y obtener una posición de intermediario. Puede hacer esto de diferentes maneras: utilizando el ataque Evil Twin que considera la creación de una red inalámbrica falsa para imitar una legítima; mediante el uso de KARMA, donde la herramienta actúa como una red pública. O con Balizas conocidas, donde Wifiphisher transmite ESSID que parecen familiares para los usuarios.
Por ejemplo, si Wifiphisher usa el ataque Evil Twin para obtener la posición MiTM, desde allí anulará la autenticación de los usuarios desde su punto de acceso, clonará el punto de acceso y engañará al usuario para que se una al falso que convenientemente no tiene contraseña. A continuación, le proporcionará al usuario una página de phishing personalizada.
Dnstwist
Es una herramienta de línea de comandos de Python que puede ayudarte a detectar phishing, secuestro de URL, infracciones de derechos de autor, usurpación de dominios, fraude y más. Es una herramienta fácil de usar para la administración de dominios, así como para rastrear si alguien está falsificando tu marca y dañando tu reputación.
Lo hace generando permutaciones basadas en el nombre de dominio de destino utilizando diferentes técnicas y luego verificando si alguna de las variaciones está en uso. Incluso comprueba si alguna página web se utiliza para campañas de phishing o suplantación de marca.
Las principales características de dnstwist incluyen:
- Varios algoritmos de fuzzing de dominio diferentes
- Nombres de dominio Unicode
- Permutaciones de dominio usando archivos de diccionario
- Distribución de tareas multiproceso
- Detección de host de Rogue MX
- Ubicación GeoIP
SocialPhish
Los sitios web de apariencia auténtica son la clave para una campaña de phishing exitosa, y para probar de manera efectiva el conocimiento y la resistencia al phishing, necesitarás buenas herramientas. Ahí es donde SocialPhish puede ayudar.
Dejando de lado la necesidad de crear plantillas, puede clonar un sitio web de redes sociales que solicita a los usuarios que revelen sus credenciales rápidamente y luego guarda esas credenciales en un registro que se puede analizar fácilmente. Esto permite una fácil gestión de las campañas de phishing y ayuda a agilizar el proceso de phishing.
Carece de la documentación adecuada, por lo que es posible que el uso de algunas de sus funciones sea un poco complicado, pero en general es una sólida herramienta de phishing en las redes sociales.
Pythem
Es una plataforma de pruebas de penetración multipropósito escrita en Python. Este marco se puede utilizar para realizar diferentes pruebas y evaluaciones de seguridad que incluyen la simulación de suplantación de ARP, suplantación de DNS, suplantación de DHCP y ataque de fuerza bruta SSH, pero también puede realizar desarrollo de exploits e ingeniería inversa.
Además, puede realizar tareas de aplicaciones web como rastreo web, escaneo de publicaciones, redireccionamiento a una página falsa para recolección de credenciales, rastreo de redes y más.
EAPHammer
Es un conjunto de herramientas diseñado para realizar ataques gemelos malvados contra redes WPA2-Enterprise. Es una alternativa más fácil de usar y más específica a Wifiphisher que permite una fácil ejecución de ataques inalámbricos sin la necesidad de mucha configuración manual.
Los tipos de ataques que aborda EAPHammer son KARMA, encubrimiento de SSID, robo de credenciales RADIUS, ataques a portales hostiles y difusión de contraseñas en varios nombres de usuario contra un solo ESSID. Otras características incluyen:
- Soporte para WPA-EAP / WPA2-EAP
- No se necesita configuración manual
- Soporte para ataques de karma y gemelos malvados
- Genera cargas útiles Powershell cronometradas para pivote inalámbrico indirecto
- Ataques PMKID contra redes PSK usando hcxtools
API SecurityTrails
Tener acceso a más de 400 millones de dominios y más de mil millones de subdominios rastreados, junto con registros DNS y direcciones IP, puertos abiertos , versiones de software, certificados SSL, registros DNS de dominio y bloques de IP realmente puede ayudarte a mejorar tu simulación de ataque.
Con SecurityTrails API, podrás integrar la seguridad de datos en tu aplicación y consultar su base de datos inteligente para impulsar tus tareas de investigación de dominios y rastrear dominios de phishing. Las características principales de la API incluyen:
- Registros DNS históricos
- Datos de WHOIS actuales e históricos
- DNS pasivo
- Datos de nombre de host
SurfaceBrowser
Una vez que hayas descubierto dominios de phishing sospechosos y posibles, es hora de llevar tu investigación un paso más allá y obtener la información necesaria.
SurfaceBrowser puede proporcionarte datos sobre el propietario del dominio, así como otros datos de WHOIS, todos los registros DNS actuales e históricos, rangos de direcciones IP cercanas, registros de transparencia de certificados y más. ¿Y qué pensarías si te dijéramos que puedes obtener todos estos datos en una única interfaz unificada?
También obtendrás acceso a geolocalización IP precisa, información ASN, tipo de IP y otras herramientas de IP. Las principales características de SurfaceBrowser incluyen:
- Bloques de IP
- Certificados SSL
- Dominios asociados
- Puertos abiertos
- DNS inverso
- Reenviar DNS
Phishing Catcher
Los registros de transparencia de certificados ofrecen seguridad de dominio mediante la supervisión de certificados fraudulentos. Phishing Catcher es una herramienta de código abierto que funciona mediante el uso de CertStream API para encontrar certificados sospechosos y posibles dominios de phishing.
Para medir la sospecha, consideran las puntuaciones de los nombres de dominio que superan un cierto umbral según un archivo de configuración.
Blackeye
Se considera «La herramienta de phishing más completa», es un script bash que ofrece 32 plantillas para elegir y te permite seleccionar qué sitio web de redes sociales emular.
Los sitios web incluidos en las plantillas son Facebook, Twitter, Google, PayPal, Github, Gitlab y Adobe, entre otros. Una vez que elijas una plantilla, BlackEye creará un sitio web de phishing que se puede conectar al dispositivo del objetivo, para recopilar credenciales y redirigirlas al sitio web legítimo. Si bien puede que no sea la herramienta de phishing más completa o definitiva, BlackEye es una gran adición a tu kit de herramientas de phishing.
HiddenEye
Es una herramienta todo en uno que presenta una funcionalidad interesante como keylogger y rastreo de ubicación. También ofrece una serie de ataques diferentes, como phishing, recopilación de información, ingeniería social y otros.
HiddenEye es compatible con las principales redes sociales y sitios web comerciales como Google, Facebook, Twitter, Instagram y LinkedIn, y se pueden utilizar como vectores de ataque. También hay varias opciones de tunelización disponibles para lanzar campañas de phishing:
- localhost
- LocalXpose
- Serveo
- Ngrok
- Localtunnel
- Openport
- PageKite
Además, HiddenEye puede realizar ataques en vivo y recopilar IP, geolocalización, ISP y otros datos, usar la función keylogger como se mencionó y tiene soporte para Android.
Zphisher
Es una forma mejorada de Shellphish, de donde obtiene su código fuente principal. Este kit de herramientas de phishing ofrece diferentes plantillas de phishing (37 para ser exactos) de los principales sitios web, incluidos Facebook, Instagram, Google, Adobe, Dropbox, Ebay, Github, LinkedIn, Microsoft, PayPal, Reddit y Stackoverflow.
ZPhisher también ofrece 4 herramientas de reenvío de puertos:
- localhost
- Ngrok
- Serveo
- Localhost.run
CredSniper
Aquí estamos nuevamente en eludir 2FA y recolectar tokens 2FA, pero esta vez con CredSniper. Escrito en Flask, CredSniper ayuda a los equipos rojos a lanzar sitios web de phishing con SSL que se pueden usar para obtener credenciales y con plantillas que usan Jinja2, admite la captura de tokens 2FA.
Al usar su API, obtienes acceso a las credenciales capturadas, que a su vez se pueden integrar en tu propia aplicación mediante el uso de un token de API generado aleatoriamente. Algunas de las características de CredSniper incluyen:
- SSL totalmente compatible a través de Let’s Encrypt
- Clones exactos del formulario de inicio de sesión
- Fácil integración
- Personalizando las plantillas
- Una característica realmente interesante de CredSniper es su módulo de Gmail. Puede detectar 2FA, admite SMS, autenticación de Google e incluso la omisión de U2F.
Dado que el lado humano de la seguridad sigue siendo uno de los principales riesgos de ciberseguridad para cualquier organización, y los actores malintencionados utilizan constantemente ataques de phishing que aprovechan a las víctimas desprevenidas para obtener credenciales, obtener acceso a las redes y violar las defensas de las organizaciones, el uso de herramientas de phishing en seguridad la evaluación y las pruebas son cruciales.
Si bien esto está lejos de ser una lista extensa, ya que existen muchas herramientas de phishing que ayudan en muchas tareas y técnicas diferentes relacionadas con el phishing, esperamos haberte presentado algunas nuevas herramientas de phishing que enriquecerán significativamente tu conjunto de herramientas de seguridad.