El regreso a los fundamentos básicos de la seguridad: phishing

El phishing es la causa de la mayoría de los ciberataques, que afectan financiera y personalmente a usuarios y organizaciones. En este blog, volvemos a lo básico sobre lo que es el phishing, qué aspecto tiene un ataque y qué medidas se pueden tomar para evitar ser víctima de ataques de phishing.

Octubre 13 2023 por

Threat actor using a rod to phish macOS and iOS/iPadOS users.

Lo más probable es que su dispositivo móvil no tenga las mismas defensas de seguridad que su computadora portátil o las de escritorio del trabajo. Por eso es importante que usted, el usuario final, haga todo lo que pueda para protegerse de las amenazas cibernéticas. Este artículo se centrará en el phishing (o suplantación de identidad): cómo reconocer si lo han suplantado, cómo ocurre y qué hacer al respecto.

¿Cómo funciona el phishing?

El phishing es un tipo de ataque de ingeniería social que los hackers utilizan para robar datos de los usuarios, incluidos los datos de inicio de sesión y los números de las tarjetas de crédito. Se produce cuando un atacante se hace pasar por una entidad de confianza para engañar a una víctima y provocar que abra un mensaje y haga clic en un enlace. Una vez que el enlace ha dirigido a la víctima a un sitio web fraudulento, se le engaña para que introduzca sus datos de inicio de sesión o información financiera, que se canaliza hacia el hácker.

El phishing es una técnica de ataque sencilla pero eficaz, que puede proporcionar a sus perpetradores una gran cantidad de información personal, financiera y corporativa. El objetivo y la mecánica precisa del ataque pueden variar, pero suelen centrarse en solicitar datos personales de la víctima o conseguir que instale software malicioso que pueda infligir daños en su dispositivo.

El phishing no solo es muy común, sino que también es una de las amenazas de ciberseguridad más dañinas y de mayor repercusión a las que se enfrentan las empresas hoy en día. Según el informe de IBM sobre el Costo de una Transgresión de Datos de 2023, el phishing encabeza la lista con el 15% de todas las transgresiones de datos, costando a las organizaciones 4.76 millones de dólares en promedio.

El phishing suele comenzar con una forma de comunicación a una víctima desprevenida: un mensaje de texto, un correo electrónico o una comunicación dentro de una app y más. El mensaje está diseñado para propiciar la interacción con el usuario mediante una atractiva llamada a la acción. Quizá la posibilidad de ganar un nuevo iPhone, un vale para unas vacaciones gratis o, más sencillamente, la oportunidad de acceder a un servicio como las redes sociales, las cuentas bancarias o el correo electrónico del trabajo.

Para solicitar información personal a la víctima, el atacante a menudo le infunde una falsa sensación de seguridad enviándola a una página web de aspecto legítimo para que escriba sus datos. Esta información podría utilizarse inmediatamente para acceder al servicio a través del sitio oficial, o bien los datos podrían recopilarse y venderse a otros en la Dark Web.

Tipos principales de ataques de phishing

Si ha sido víctima de phishing, lo más probable es que el ataque se haya realizado de una de estas formas:

  • Mensajes de texto: También conocido como "smishing", los actores maliciosos envían a los usuarios un mensaje SMS que contiene un enlace a un sitio de phishing, a menudo con la intención de robar las credenciales del usuario.
  • Whatsapp: También conocido como "whishing" y similar al smishing, los actores maliciosos envían mensajes maliciosos en Whatsapp.
  • Correo electrónico: El phishing a través del correo electrónico puede dirigirse a correos personales o corporativos, y puede tratarse de una organización o un sitio web con los que el usuario esté familiarizado. Estos correos electrónicos pueden pedir al usuario que inicie sesión en un software que utiliza y, en última instancia, enviarlo a un sitio malicioso pero de aspecto legítimo.
  • Phishing de voz: El phishing de voz, o "vishing", puede consistir en números falsos que aparecen como instituciones legítimas. Estos ataques pueden utilizar un programa de texto a voz o una voz real, y suelen emplearse para obtener información financiera de sus víctimas.
  • Spear phishing: Estos ataques se envían a un objetivo específico y pueden ser a través de correo electrónico, texto u otros medios. Los actores maliciosos pueden hacerse pasar por una persona que el usuario conoce, posiblemente pidiéndole ayuda o su información personal.
  • Whaling: Los ataques de whaling (a grandes cetáceos) se dirigen a objetivos de alto perfil, como directores generales u otros ejecutivos. Los actores maliciosos pueden suplantar la identidad de otros ejecutivos para parecer legítimos y, finalmente, enviar a sus víctimas a un sitio falsificado para obtener sus credenciales.
  • Publicaciones en redes sociales y mensajes directos: los actores maliciosos pueden utilizar las redes sociales para llegar a sus víctimas. Al igual que otros métodos, estas publicaciones suelen consistir en enviar al usuario a un sitio falso para recabar su información.

Cómo reconocer un ataque de phishing

Con suerte, usted detectará algunas señales de que está siendo objeto de phishing antes de llegar al punto de entregar su valiosa información. Lo que se debe buscar:

  • Mensajes no solicitados y sospechosos, correos electrónicos y publicaciones sociales que contengan enlaces acortados
  • Páginas web que solicitan credenciales de acceso u otra información sensible
  • Correos electrónicos sospechosos con lenguaje poco característico
  • Páginas web con URL sospechosas o copiadas
  • Faltas de ortografía, caracteres especiales o errores gramaticales (aunque tenga en cuenta que la IA está ayudando a los actores maliciosos a mejorar en este aspecto y algunos sitios y mensajes pueden parecer totalmente legítimos).

En el ejemplo de intento de suplantación de identidad que aparece a continuación, el mensaje incluye un enlace acortado y una exigencia de acción (ya que los usuarios desearían impugnar una compra que no han realizado). El enlace acortado dificulta la comprobación de su legitimidad, al mismo tiempo que la falta de errores evidentes hace que el ataque sea menos evidente. Lo mejor sería ignorar el enlace e iniciar sesión manualmente en cualquier cuenta bancaria o de tarjeta de pago, comprobando si la compra se ha producido realmente.

Smishing attempt on iPhone

Si ha sido víctima de phishing y ha proporcionado sus datos, hay algunos signos reveladores que pueden ayudarle a averiguar si ha mordido el anzuelo. Los ataques de suplantación de identidad varían y, como a menudo van empaquetados con otras amenazas, como una forma de distribuir malware, por ejemplo, los síntomas pueden ser muy amplios. He aquí algunas señales de que un ataque básico de phishing ha tenido éxito:

  • Robo de identidad
  • Transacciones desconocidas
  • Cuentas bloqueadas
  • Solicitudes de restablecimiento de contraseñas no solicitadas
  • Correo electrónico no deseado procedente de su cuenta

Qué hacer si usted cree que ha sido víctima de phishing

Le han hecho phishing, ¿y ahora qué?

  1. Cambie todas sus contraseñas de las cuentas que hayan sido comprometidas, así como las cuentas que utilicen contraseñas iguales o similares a las que fueron capturadas por el pirata informático.
  2. Si ha introducido los datos de su tarjeta de crédito en la página de phishing, cancele su tarjeta.
  3. Desconecte su computadora o elimine su cuenta de correo electrónico para evitar la propagación de enlaces de phishing a sus listas de contactos.
  4. Comuníquese con la empresa o la persona por la que se hizo pasar el ataque de phishing, si la hay: puede ser su director ejecutivo, puede ser un amigo o puede ser una empresa importante o un banco.
  5. Analice su dispositivo en busca de virus; hacer clic en enlaces maliciosos puede incitar descargas silenciosas de malware que corrompen los dispositivos sin que se dé cuenta.
  6. Esté atento a advertencias de robo de identidad y ponga una alerta de fraude en su cuenta de crédito.

Medidas proactivas que puede tomar para protegerse

Los dispositivos móviles son especialmente vulnerables a los ataques de phishing. Su pantalla más pequeña y su uso sobre la marcha hacen más difícil inspeccionar de cerca los enlaces para comprobar su legitimidad, y además los usuarios suelen tener demasiada prisa para hacerlo sin reparar en ello. Asimismo, mientras muchos usuarios descargan protecciones frente a amenazas en sus computadoras, son menos los que lo hacen en sus teléfonos. Por eso es necesario un examen minucioso.

El mejor remedio es la prevención. Manténgase a salvo del malware siguiendo esta guía:

  • No haga clic en enlaces sospechosos
  • No introduzca los datos de su tarjeta de crédito en servicios desconocidos o no confiables
  • Si un enlace le dirige a su sitio web bancario, abra su sitio bancario en una ventana diferente escribiendo el nombre manualmente
  • No caiga en estafas más obvias que afirman que ganó un premio
  • En la barra de direcciones busque URL sospechosas o copiadas como my.apple.pay.com

Las organizaciones pueden tomar medidas para evitar el phishing en sus dispositivos corporativos o BYOD, incluyendo:

  • Capacitación de los empleados sobre los ataques de phishing y cómo evitarlos
  • Instalación de filtros antispam para que los ataques no lleguen a las bandejas de entrada de los empleados
  • Utilizar MFA para evitar que se utilicen credenciales robadas
  • Implementación de software de prevención de amenazas para bloquear el acceso a sitios de phishing aunque se haga clic en ellos
  • Utilizar administradores de contraseñas que se rellenan automáticamente con base en el dominio del sitio (por lo tanto, no funcionan en sitios ilegítimos).
  • Mantener actualizados los dispositivos y el software

Suscribirse al Blog de Jamf

Haz que las tendencias del mercado, las actualizaciones de Apple y las noticias de Jamf se envíen directamente a tu bandeja de entrada.

Para saber más sobre cómo recopilamos, usamos, compartimos, transferimos y almacenamos su información, consulte nuestra Política de privacidad.

Etiquetas: