geekflare
Geekflare cuenta con el apoyo de nuestra audiencia. Podemos ganar comisiones de afiliados comprando enlaces en este sitio.
In Privacidad  |  Última actualización: 5 de septiembre de 2023
Comparte en:
Escáner de seguridad de aplicaciones web Invicti – la única solución que ofrece verificación automática de vulnerabilidades con Proof-Based Scanning™.

Ataque de phishing 101: cómo proteger su empresa

By
Ataque de phishing 101

El phishing es una técnica que utilizan los delincuentes para engañar a los usuarios para que revelen las credenciales de inicio de sesión, los detalles de la tarjeta de crédito y otros datos privados.

Por lo general, los atacantes parecen pertenecer a organizaciones conocidas y de confianza. Esto les permite engañar a los usuarios para que abran un enlace de sitio web comprometido, correos electrónicos maliciosos, archivos adjuntos o mensajes genuinos.

Video de Youtube

Un enlace podría ser un servidor que instala el malware que roba información confidencial, como credenciales de inicio de sesión y otros datos privados, de la víctima. Por lo general, los atacantes presentan comunicaciones maliciosas como si vinieran de una entidad confiable como una compañía telefónica u otro proveedor de servicios. 

How Dangerous are Phishing Attacks?

Un ataque de phishing es un gran riesgo para la seguridad, ya sea que se dirija a un individuo o una organización. Una vez que componen una red, pueden instalar malware, infectar todas las computadoras y luego usar esto para lanzar ataques internos y externos. Además, los atacantes pueden acceder a datos privados confidenciales de la empresa, que podrían usar para chantajear a la organización o vender a la competencia.

phishing-ataque-cloudflare
Fuente: cloudflare.com

Una vez que tienen éxito, los estafadores a menudo usan credenciales robadas, detalles de tarjetas de crédito u otra información privada para acceder a otros servicios en la red de la víctima, realizar compras no autorizadas y más.

En general, un ataque de phishing puede provocar pérdidas financieras y de reputación para una empresa o individuo. Además, los atacantes podrían deshabilitar la red, lo que provocaría interrupciones y enormes pérdidas financieras. Otro peligro es perder la credibilidad y la confianza de los clientes, que luego pueden pasarse a un competidor.

Examples of Recent Phishing Attacks

A continuación se muestran algunos de los ataques de phishing recientes:

#1. Pagos de facturas falsas de Google y Facebook

Entre 2013 y 2015, un estafador lituano obtuvo más de 100 millones de dólares de Google y Facebook a través de una serie de facturas falsas disfrazadas de un gran fabricante con sede en Asia. En dos años, el estafador envió varias facturas multimillonarias falsas que se parecían a las del proveedor.

Estos incluían contratos y cartas falsos supuestamente firmados por representantes de Google y Facebook. Cuando descubrieron la estafa, los dos habían pagado más de $100 millones. 

#2. Ataque de phishing al oleoducto colonial

A ransomware El ataque casi paralizó todas las operaciones del Oleoducto Colonial en los Estados Unidos. El ataque de 2021 comprometió los sistemas de facturación y la red comercial, lo que obligó a la empresa a detener la mayoría de sus operaciones. 

Después de obtener la contraseña de un empleado a través de phishing, los atacantes instalaron software de ransomware malicioso en la red de la empresa. Esto les permitió comprometer los sistemas y exigir un rescate, que la empresa pagó para evitar más daños e interrupciones de los servicios.

Inicialmente, el oleoducto pagó 4.4 millones de dólares por la clave de descifrado. Sin embargo, la compañía perdió más debido al cierre de una semana que condujo a la falta de entrega de petróleo por valor de 2.86 millones de dólares. 

#3. Ataque de phishing de Sony Picture Spear

En el caso de Sony Picture, los atacantes enviaron correos electrónicos de phishing selectivo a los empleados después de obtener su información, como nombres y cargos, de LinkedIn.

Luego, haciéndose pasar por colegas, los atacantes enviaron mensajes de correo electrónico maliciosos que contenían malware a los empleados desprevenidos. El ataque condujo a una brecha que afectó a más de 100 TB de datos, lo que le costó a la empresa más de 100 millones de dólares para solucionarlo.

Types of Phishing Attacks

Los malos actores usan una variedad de técnicas para engañar a los usuarios objetivo. El enfoque varía según el objetivo y, a continuación, se muestran algunos tipos comunes de phishing.

Spear Phishing 

Spear phishing es un ataque que se dirige a una organización o persona específica en lugar de usuarios aleatorios. Como tal, requiere cierto conocimiento de la organización o el usuario de destino. El atacante debe profundizar más y obtener información privilegiada, como la estructura de poder de un individuo, su vida personal, sus pasatiempos o cualquier cosa que pueda usar para personalizar el mensaje de phishing.

Spear Phishing

Luego, el atacante personaliza el mensaje y lo envía a la víctima haciéndose pasar por un cliente, proveedor o jefe que requiere un cambio en los detalles de la factura o la transferencia de algo de dinero a una cuenta específica. En la mayoría de los casos, es difícil reconocer un ataque con lanza porque los atacantes engañan a la víctima utilizando información precisa sobre el usuario o la organización.

Suplantación de identidad ballenera

Phishing ballenero es un ataque similar al spear phishing pero dirigido a los ejecutivos de la empresa. Estos correos electrónicos de phishing, a veces seguidos de una llamada telefónica, a menudo conducen a engañar a los ejecutivos para que autoricen pagos a las cuentas controladas por los estafadores.

Alternativamente, los phishers balleneros pueden engañar a los ejecutivos para que revelen sus credenciales de inicio de sesión. Una vez que tienen éxito, los perpetradores pueden realizar un fraude de CEO en el que utilizan la cuenta comprometida de un ejecutivo para autorizar de manera fraudulenta el pago a sus cuentas. 

Vishing

Vishing es una técnica en la que los perpetradores usan teléfonos para estafar a usuarios desprevenidos. Los atacantes se hacen pasar por representantes de organizaciones acreditadas como bancos, compañías telefónicas, etc.

Vishing

Durante la llamada, pueden engañarlo para que proporcione información confidencial, como el PIN de la línea del teléfono móvil. También podrían solicitar que envíe algo de dinero a una cuenta específica. 

Algunos delincuentes pueden utilizar un enfoque híbrido. En este caso, primero enviarán un correo electrónico fraudulento y lo seguirán con una llamada telefónica o vishing, para que parezca más genuino.

correo electrónico de phishing

El phishing por correo electrónico es cuando un estafador envía miles de mensajes genéricos a diferentes usuarios, con la esperanza de que algunos caigan en la trampa y realicen pagos al atacante. En la mayoría de los casos, diseñan mensajes de phishing que imitan correos electrónicos legítimos de una empresa de confianza.

Suplantación de identidad por correo electrónico

Estos mensajes tendrán las mismas plantillas, logotipos, firmas, redacción y otras características que los hacen parecer legítimos. Además de los mensajes, crean un dominio que se parece mucho al de una empresa legítima, lo que hace que sea difícil sospechar algo a menos que se realice un escrutinio.

Los estafadores también crearán una sensación de urgencia y amenazas, como una cuenta a punto de caducar, a menos que el usuario tome medidas, como restablecer la contraseña o pagar algo de dinero. 

Phishing engañoso

El phishing engañoso involucra a los perpetradores que se hacen pasar por un remitente de correo electrónico conocido y familiar. Los estafadores suelen incluir algunos enlaces y contactos legítimos en correos electrónicos maliciosos. Como tal, los filtros de correo electrónico no pueden bloquear ni marcar los mensajes como spam.

Dado que el correo electrónico parece genuino, el atacante puede hacer que el usuario revele información confidencial, como información bancaria, credenciales de inicio de sesión o algunos datos confidenciales de la empresa.

Los delincuentes engañan a los usuarios pidiéndoles que cambien contraseñas, verifiquen una cuenta, realicen pagos, etc.

Clonar ataques de phishing

In clonar phishing, los estafadores crean una dirección de correo electrónico similar a la legítima. Luego envían un correo electrónico a un usuario, quien puede compartir información confidencial con los delincuentes si no tiene cuidado.

Clonar ataques de phishing
Fuente: norton.com

Por ejemplo, un atacante puede enviar un mensaje que parece provenir de su jefe y solicitarle que comparta las credenciales de inicio de sesión para una cuenta determinada. También pueden hacerse pasar por un proveedor y solicitar algunos detalles de pago.

Phishing de pescador

El phishing Angler es un ataque que se dirige a los usuarios a través de sitios web clonados, mensajes privados falsos o redes sociales. En este phishing, el perpetrador busca a sus víctimas objetivo a través de las redes sociales. Luego identifican a las personas que se quejan mucho de un banco, proveedor de servicios u otra organización conocida de buena reputación.

El estafador luego se hace pasar por un funcionario de atención al cliente de la organización y se ofrece a ayudar al denunciante. En este punto, el atacante engaña a la víctima para que comparta las credenciales de inicio de sesión u otros datos confidenciales. 

How to Identify Phishing Attempts

Uno de los métodos efectivos para identificar los intentos de phishing y otros intentos de phishing es el SPEARcomo se explica a continuación.

  • Senviar el correo electrónico o el remitente del mensaje
  • Peruse el tema y asegúrese de que sea relevante para lo que hace y que no suene extraño o inusual para lo que normalmente recibe
  • EExamine los archivos adjuntos y los enlaces del mensaje. Pase el cursor sobre los enlaces para ver si son relevantes y coinciden con el tema o la acción solicitada
  • AEvalúe el mensaje para ver si es relevante y no contiene un tono desconocido, urgencia, inconsistencias, errores gramaticales o errores ortográficos.
  • RSolicite la confirmación del propietario de la cuenta de correo electrónico genuina. Considere verificar con dicho remitente si le han enviado ese mensaje.

Además de lo anterior, aquí hay consejos adicionales.

  • El correo electrónico tiene nombres de dominio, URL, enlaces y direcciones de correo electrónico inconsistentes
  • Un saludo, salutación y lenguaje genérico o inusual.
  • Mensajes de correo electrónico que solicitan datos personales o privados, como detalles de la tarjeta de crédito, información de pago, credenciales de inicio de sesión, etc.
  • Un mensaje de correo electrónico con una demanda de acción urgente, como un requisito para cambiar la contraseña, pagar algo de dinero y otras acciones

Ahora, exploremos cómo podemos prevenir los ataques de phishing.

Preventing Phishing Attacks

Las organizaciones y los usuarios pueden tomar varias medidas para prevenir los ataques de phishing. Echémosle un vistazo.

#1. Aplicación de una política estricta de administración de contraseñas

Los administradores podrían establecer y hacer cumplir fuertes gestión de contraseñas políticas En tales casos, deberían exigir contraseñas seguras que los usuarios deben cambiar periódicamente. Además, los usuarios no deben usar una sola contraseña para varias aplicaciones y se les debe impedir que reutilicen contraseñas anteriores.

#2. Utilice la autenticación multifactor

Autenticación multifactorial asegura que un usuario pase varios niveles de verificación antes de acceder a un servicio, como una transacción financiera. Incluso si un atacante obtiene las credenciales, como un nombre de usuario y una contraseña, aún requerirá otra forma de autenticación, como proporcionar un código enviado al dispositivo registrado del usuario genuino, como un teléfono móvil.

Otros métodos multifactoriales incluyen biometría, insignias, OTP, pines y más. Dado que es imposible que el atacante pase la segunda autenticación, incluso cuando tiene la contraseña, es imposible acceder y comprometer los sistemas.

#3. Crear conciencia de los empleados

Realizar campañas de concientización para empleados y ejecutivos es una forma de reducir los riesgos de ataques de phishing. Su objetivo debe ser promover actividades en línea seguras y capacitar al personal, incluido el ejecutivo, para identificar y actuar sobre correos electrónicos maliciosos.

Los usuarios deben conocer los riesgos de hacer clic en enlaces o abrir documentos que parezcan sospechosos, así como revelar información confidencial a extraños. Además, se les debe disuadir de publicar información confidencial personal y de la empresa en las redes sociales.

#4. Instalar software y herramientas de seguridad de correo electrónico

Instalar fiable y eficaz software de seguridad de correo electrónico para detectar y detener estafas de phishing y otras amenazas. Las soluciones típicas incluyen software antivirus, cortafuegos, filtros de spam y más. Además, la organización puede instalar filtros web para detectar sitios web maliciosos y evitar que los empleados accedan a ellos. 

Los usuarios deben evitar hacer clic en enlaces o archivos adjuntos de remitentes desconocidos. Es importante tomar precauciones al actuar sobre dichos correos electrónicos, incluidos aquellos que parecen provenir de fuentes confiables.

En caso de que parezca sospechoso, verifique los enlaces pasando el cursor sobre ellos o copiándolos en una nueva ventana del navegador para ver si coincide con el contenido del correo electrónico.

#6. Asegurarse de que el correo electrónico proviene de un dominio confiable

Los usuarios deben evitar abrir o actuar sobre correos electrónicos de dominios sospechosos. Por ejemplo, si alguien le envía un correo electrónico que pretende ser de Microsoft, está utilizando una dirección de correo electrónico con un dominio diferente. En caso de duda, copie el nombre de dominio y búsquelo en Internet.

Si su contenido no se corresponde con el mensaje, debe tratarlo con sospecha. Aunque la mayoría de los correos electrónicos de phishing están marcados como SPAM, algunos pueden pasar el filtro de spam y parecer genuinos. 

#7. Evite dar información en un sitio no seguro

Si un enlace lo lleva a un sitio desconocido, no debe proporcionar ninguna información confidencial o privada. Nunca debe divulgar los datos personales o de su empresa a extraños; de lo contrario, los estafadores pueden robar esta información y realizar actividades no autorizadas.

Palabras finales

Los ataques de phishing han ido en aumento y no parecen disminuir ya que los estafadores continúan adoptando nuevos trucos. Si bien la organización puede mejorar su postura de seguridad, el comportamiento arriesgado de los usuarios es uno de los principales contribuyentes a los ataques de phishing.

Como tal, el uso de herramientas de seguridad confiables y un comportamiento seguro de los usuarios en línea es una de las formas más efectivas de detener los ataques y garantizar la seguridad de sus datos comerciales confidenciales.

A continuación, puedes ver los mejores Escáneres de URL para comprobar si un enlace es seguro.

  • Amos Kingatúa
    Autor
    Amos Kingatua es un consultor de TIC y redactor técnico que ayuda a las empresas a configurar, asegurar y ejecutar de manera eficiente una amplia gama de centros de datos, sistemas de TI y redes internos y virtuales.
Gracias a nuestros patrocinadores
Más lecturas excelentes sobre la privacidad
Impulse su negocio
Algunas de las herramientas y servicios para ayudar a que su negocio crezca.
  • invicti
    Invicti utiliza Proof-Based Scanning™ para verificar automáticamente las vulnerabilidades identificadas y generar resultados procesables en cuestión de horas.
    Prueba Invicti
  • Datos brillantes
    Web scraping, proxy residencial, administrador de proxy, desbloqueador web, rastreador de motores de búsqueda y todo lo que necesita para recopilar datos web.
    Prueba Brightdata
  • Monday
    Monday.com es un sistema operativo de trabajo todo en uno para ayudarlo a administrar proyectos, tareas, trabajo, ventas, CRM, operaciones, workflows, y más.
    Intente Monday
  • Intruder
    Intruder es un escáner de vulnerabilidades en línea que encuentra debilidades de ciberseguridad en su infraestructura, para evitar costosas filtraciones de datos.
    Intente Intruder