¿Qué es el phishing?

¿Cómo funciona el phishing?

La forma más fácil de cometer un robo probablemente es convencer a las víctimas de que no les están robando en absoluto. Ese es el modelo básico del estafador de phishing.

Los ataques de phishing comienzan con un correo electrónico, una llamada telefónica, un mensaje SMS, una publicación en las redes sociales o algo similar que parece provenir de una fuente confiable. A partir de aquí, el atacante puede tener todo tipo de objetivos finales, como engañar a la víctima para que ofrezca información de la cuenta, realice una transferencia de PayPal, descargue malware encubierto, etc.

Veamos un ejemplo común. La víctima recibe un correo electrónico o mensaje de texto que parece ser su banco. El mensaje de phishing menciona una oferta especial que expira, una sospecha de robo de identidad o algo similar, y pide a la víctima que inicie sesión en su cuenta bancaria. Se vincula a una página web de inicio de sesión simulada y la víctima, sin darse cuenta, le da al atacante sus credenciales de inicio de sesión.

El ataque de este ejemplo, como la mayoría de los ataques de phishing, crea cuidadosamente una sensación de urgencia que engaña a la víctima para que baje la guardia en lugar de tomarse el tiempo para considerar si el mensaje es sospechoso. Sin embargo, es más fácil decirlo que hacerlo, ya que los atacantes tienen bastantes trucos en su manual de estrategias.

Tipos de ataques de phishing

Los atacantes han inventado una amplia variedad de técnicas de phishing para explotar diferentes tecnologías, tendencias, sectores y usuarios. He aquí un resumen de algunos tipos comunes:

• Phishing por correo electrónico: un correo electrónico de un remitente aparentemente legítimo intenta engañar al destinatario con el fin de que siga un enlace malicioso y/o descargue un archivo infectado. La dirección de correo electrónico y cualquier URL en un correo electrónico de phishing pueden usar la suplantación de identidad para parecer legítimos.
• Smishing/phishing de SMS: a través de mensajes de texto, los atacantes intentan engañar a las víctimas para que proporcionen información personal, como números de tarjetas de crédito u otros números de cuenta.
• Vishing/phishing de voz: Esencialmente, es lo mismo que el smishing pero realizado a través de una llamada telefónica. Estos ataques buscan información de tarjetas de crédito u otros detalles confidenciales.
• Phishing Angler: haciéndose pasar por organizaciones legítimas en las redes sociales, los atacantes solicitan información personal de las víctimas y suelen hacerlo ofreciendo tarjetas de regalo, descuentos, etc.
• Phishing Pop-up: es un ataque común a los teléfonos inteligentes en los que aparece una oferta o un mensaje de advertencia en una ventana emergente, que generalmente contiene un enlace malicioso para engañar a las víctimas para que divulguen datos personales.
• Spear phishing: si bien muchas estafas de phishing buscan víctimas al azar, los ataques de spear phishing se dirigen a personas específicas cuyos detalles personales el atacante ya conoce hasta cierto punto. Esos detalles adicionales pueden aumentar en gran medida las probabilidades de éxito del phishing.
• Whaling: los atacantes se dirigen a ejecutivos u otros miembros importantes de una organización en un intento de obtener información que les dé acceso privilegiado al entorno de destino.
• Clone phishing: los atacantes envían correos electrónicos a las víctimas que parecen proceder de remitentes en los que la víctima confía, como instituciones financieras o servicios comerciales. Esto está estrechamente relacionado con el spear phishing y es una táctica común de los ataques de compromiso de correo electrónico empresarial (BEC).
• Phishing Evil Twin: los atacantes atraen a las víctimas con un punto de acceso wifi de aspecto confiable y luego llevan a cabo ataques de intermediario, interceptando la transferencia de datos de las víctimas a través de la conexión.
• Pharming: los atacantes secuestran la funcionalidad de un servidor del sistema de nombres de dominio (DNS) para que redirija a los usuarios a un sitio web falso malicioso incluso si escriben una URL benigna.

¿Hasta qué punto son peligrosos los ataques de phishing?

Los ataques de phishing pueden ser extremadamente peligrosos. Las grandes campañas de phishing pueden afectar a millones de personas, robar datos confidenciales, plantar ransomware y otro malware, así como obtener acceso a las áreas más confidenciales de los sistemas de una empresa.

La pérdida de datos confidenciales, el daño a la reputación y los problemas normativos se encuentran entre las muchas posibles consecuencias de un ataque de phishing exitoso a nivel organizacional. Los riesgos para cualquier víctima de phishing pueden incluir la pérdida o el compromiso de datos confidenciales, y las organizaciones también se enfrentan a posibles daños a la reputación y problemas regulatorios.

¿Cómo afecta el phishing a las empresas?

A nivel organizacional, las consecuencias de un ataque de phishing exitoso pueden ser graves y de largo alcance. Una cuenta bancaria corporativa comprometida puede dar lugar a pérdidas financieras. El phishing que conduce a un ataque de ransomware puede originar pérdida de datos. Una organización puede sufrir un gran daño a la reputación como consecuencia de cualquier infracción de datos confidenciales que requiera divulgación pública.

Además, cualquiera de estas cosas puede tener consecuencias aún más graves a su vez. Los ciberdelincuentes pueden vender datos robados en la web oscura, incluso a competidores sin escrúpulos. Además de eso, será necesario informar de muchas de las infracciones a los organismos reguladores del sector o del gobierno que pueden imponer multas u otras sanciones. Incluso puede involucrar a la organización en investigaciones de delitos cibernéticos, lo que puede llevar mucho tiempo y atraer una atención negativa.

¿Cómo protejo a mi organización de los ataques de phishing?

Afortunadamente, la mayoría de los tipos de phishing se pueden detener si se toman las precauciones adecuadas. Eso significa:

• Usar contramedidas efectivas de ciberseguridad. Las modernas soluciones antivirus y antiphishing, junto con filtros de spam efectivos, descartarán muchos intentos de phishing.
• Mantener actualizados los sistemas operativos y navegadores. Los proveedores de software abordan periódicamente vulnerabilidades recién descubiertas en sus productos, con las cuales su sistema quedará expuesto.
• Proteger los datos con copias de seguridad automáticas. Implemente un proceso regular de copia de seguridad de los datos del sistema para poder recuperarlos en caso de una infracción.
• Usar autenticación multifactor (MFA) avanzada. Las estrategias de confianza cero como MFA crean capas adicionales de defensa entre los atacantes y sus sistemas internos.
• Asegurarse de que sus usuarios tengan la formación adecuada. Los ciberdelincuentes constantemente inventan nuevas estrategias y la seguridad del correo electrónico no lo detectará todo. Sus usuarios y su organización en general estarán más seguros si todos los usuarios entienden cómo identificar mensajes de correo electrónico sospechosos y denunciar el phishing.

¿Cuáles son los signos de phishing?

Cuando se trata de phishing, los usuarios más seguros son aquellos que saben cómo evitar verse atrapados. Si bien un breve resumen no reemplaza a una formación centrada en la concientización sobre seguridad, aquí hay algunos signos clave que advierten de un intento de phishing:

• Discrepancias en los nombres de dominio: las direcciones de correo electrónico y los dominios web pueden tener incoherencias. Por ejemplo, si recibe un correo electrónico que afirma ser de una marca conocida, es posible que la dirección de correo electrónico no coincida.
• Errores ortográficos: aunque los ataques de phishing se han vuelto mucho más efectivos, los mensajes aún contienen errores ortográficos o gramaticales.
• Saludos desconocidos: a veces, el estilo de un saludo o despedida puede ser una pista de que algo no está bien. Preste atención cuando alguien que siempre empieza los mensajes con "¡Hola!" de repente dice "Querido amigo".
• Breve y conciso: los correos electrónicos de phishing a menudo dan una información escasa y confían en la ambigüedad para alterar el juicio de las víctimas. Si faltan demasiados detalles importantes, puede ser una señal de un intento de phishing.
• Solicitudes inusuales: un correo electrónico que le pide que haga algo inusual, especialmente sin una explicación, es una gran señal de alerta. Por ejemplo, un intento de phishing podría pasarse por su equipo de TI y pedirle que descargue un archivo sin especificar un motivo.

Phishing y trabajo remoto

En una encuesta de 2021 a líderes de seguridad de TI empresarial, el 80 % cree que los trabajadores remotos corren un mayor riesgo de ser víctimas de ataques de phishing. Aun así, muchas organizaciones siguen confiando en protocolos de seguridad débiles. Dado que se espera que la mayoría continúe facilitando el trabajo remoto o híbrido para al menos parte de su personal después de que disminuya la pandemia de COVID-19, esto podría exponerlos a vulnerabilidades.

Los trabajadores remotos a menudo confían en un software de seguridad menos sofisticado en el hogar que en la oficina. También pueden estar utilizando correos electrónicos personales u otras cuentas que no estén bajo el control del equipo de TI de su organización. Además, debido a que están alejados de los controles comerciales internos, los empleados remotos no siempre están obligados a ejercer buenas prácticas de seguridad, y puede ser difícil, si no prácticamente imposible, que los administradores de TI controlen o hagan cumplir dicha disciplina.

Para mantenerse seguro en la era del trabajo remoto, necesita una seguridad que pueda satisfacer las necesidades de su personal más móvil y distribuido.

Protección frente al phishing con Zscaler

Debido a que se basa en explotar la naturaleza humana para tener éxito, el compromiso del usuario es uno de los desafíos de seguridad más difíciles de superar. Para detectar infracciones activas y minimizar el daño que pueden causar las infracciones exitosas, debe implementar controles efectivos de prevención de phishing como parte de una estrategia de confianza cero más amplia.

La plataforma Zscaler Zero Trust Exchange™, construida sobre una arquitectura holística de confianza cero para minimizar la superficie de ataque, evitar compromisos, eliminar el movimiento lateral y detener la pérdida de datos, ayuda a detener el phishing al:

• Prevenir ataques: funciones como la inspección completa de TLS/SSL, el aislamiento del navegador y el control de acceso basado en políticas evitan el acceso a sitios web maliciosos.
• Prevenir el movimiento lateral: una vez en su sistema, el malware puede propagarse y causar aún más daño. Con Zero Trust Exchange, los usuarios se conectan directamente a las aplicaciones, no a su red, por lo que el malware no puede propagarse desde ellas.
• Detener las amenazas internas: nuestra arquitectura de proxy en la nube detiene los intentos de explotación de aplicaciones privadas y detecta incluso las técnicas de ataque más sofisticadas con una inspección en línea completa.
• Detener la pérdida de datos: Zero Trust Exchange inspecciona los datos en movimiento y en reposo para evitar el posible robo de datos por parte de un atacante activo.