¿Qué es un ataque de phishing?

Los ataques de phishing consisten en engañar a la víctima para que realice alguna acción que beneficie al atacante. Estos ataques pueden ser simples o complejos, y se pueden detectar con la vigilancia adecuada.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Definir un ataque de phishing
  • Explorar los ataques de phishing más comunes
  • Aprender maneras de protegerte contra el phishing

Copiar enlace del artículo

¿Qué es un ataque de phishing?

El "phishing" hace referencia a un intento de robar información confidencial, normalmente en forma de nombres de usuario, contraseñas, números de tarjetas de crédito, información de cuentas bancarias u otros datos importantes para utilizar o vender la información robada. Al hacerse pasar por una fuente de confianza con una solicitud atractiva, el atacante tienta a la víctima para engañarla, de forma similar a como un pescador utiliza el cebo para pescar.

¿Cómo se lleva a cabo el phishing?

Los ejemplos más habituales de phishing se utilizan como apoyo para otras acciones maliciosas, como los ataques en ruta y el scripting entre sitios. Estos ataques se suelen producir mediante correo electrónico o mensajería instantánea, y pueden dividirse en algunas categorías generales. Es útil familiarizarse con algunos de estos diferentes vectores de ataques de phishing para poder detectarlos.

Estafa nigeriana

Este ataque de phishing por correo electrónico se ha hecho famoso por el correo electrónico del "príncipe nigeriano", en el que un supuesto príncipe nigeriano en una situación desesperada ofrece a la víctima una gran suma de dinero a cambio de un pequeño pago por adelantado. No resulta sorprendente que, cuando se realiza el pago, nunca llega la gran suma de dinero. Lo interesante de todo esto es que este tipo de estafa lleva produciéndose desde hace más de cien años de diferentes formas; originalmente, a finales del siglo XIX, se conocía como la estafa del prisionero español, en la que un estafador se ponía en contacto con la víctima para intentar despertar su codicia y simpatía. Supuestamente, el estafador intentaba sacar a un rico preso español, que recompensaría a la víctima generosamente a cambio del dinero para sobornar a algunos guardias de la prisión.

Este ataque (en todas sus formas) se mitiga simplemente no respondiendo a peticiones de desconocidos en las que se pida dinero para recibir algo a cambio. Si parece demasiado bueno para ser real, probablemente lo sea. Con una simple búsqueda en Google sobre el tema de la solicitud o una parte del propio texto será suficiente para sacar a relucir los detalles de la estafa.

Estafa de desactivación de cuenta

Al jugar con la urgencia generada en la víctima, que cree que le van a desactivar una cuenta importante, los atacantes son capaces de engañar a algunas personas para que entreguen información importante, como las credenciales de acceso. Este es un ejemplo: el atacante envía un correo electrónico que parece que viene de una institución importante, como un banco, y afirma que la cuenta bancaria de la víctima será desactivada si no actúa con demora. El atacante solicitará entonces el nombre de usuario y la contraseña de la cuenta bancaria de la víctima para detener la desactivación. En una versión más refinada del ataque, una vez se ha introducido la información, se dirigirá a la víctima al sitio web legítimo del banco para que todo parezca correcto.

Este tipo de ataque se puede contrarrestar si se va directamente al sitio web del servicio en cuestión y viendo si el proveedor legítimo notifica al usuario que hay problemas con la cuenta. También es recomendable comprobar la barra de URL y asegurarse de que el sitio web sea seguro. Cualquier sitio web que solicite un nombre de usuario y una contraseña que no sean seguros debe ponerse en duda seriamente y, casi sin excepción, no debe usarse.

Estafa de falsificación de sitio web

Este tipo de estafa suele ir en conjunto con otras, como la de desactivación de cuentas. En este ataque, el atacante crea un sitio web que es prácticamente idéntico al sitio web legítimo de una empresa que la víctima utiliza, como un banco. Cuando el usuario visita la página por cualquier medio, ya sea un intento de phishing por correo electrónico, un hipervínculo en un foro o a través de un motor de búsqueda, la víctima llega a un sitio web que cree que es el legítimo, y no una copia fraudulenta. Se recopila toda la información introducida por la víctima para su venta u otro uso malicioso.

En los inicios de Internet, este tipo de páginas duplicadas eran bastante fáciles de detectar, ya que estaban muy mal hechas. En la actualidad, los sitios fraudulentos pueden parecer una copia perfecta del original. Al comprobar la URL en el navegador web, suele ser bastante fácil detectar un fraude. Si la URL tiene un aspecto diferente al habitual, se debe considerar como sospechosa. Si las páginas aparecen como inseguras y el HTTPS no está activado, esto se debe considerar como una señal de alarma, y que el sitio o está roto o es un ataque de phishing.

¿Qué es el spear phishing?

Este tipo de phishing se dirige a personas o empresas concretas. Mediante la recopilación de datos o la compra de información sobre un objetivo concreto, un atacante es capaz de montar una estafa personalizada. Actualmente es el tipo de phishing más eficaz, y representa más del 90 % de los ataques.

¿Qué es el clone phishing?

El clone phishing consiste en imitar un correo electrónico legítimo previamente entregado, y modificar sus enlaces o archivos adjuntos con el fin de engañar a la víctima para que abra un sitio web o un archivo malicioso. Por ejemplo, al coger un correo electrónico y adjuntar un archivo malicioso con el mismo nombre que el archivo original adjunto, y luego reenviar el correo electrónico con una dirección de correo electrónico falsa que parece provenir del remitente original, los atacantes son capaces de aprovecharse de la confianza de la comunicación inicial para que la víctima tome medidas.

¿Qué es el whaling?

Para los ataques dirigidos específicamente a altos ejecutivos u otros usuarios con privilegios en las empresas, se suele utilizar el término whaling. Este tipo de ataques suelen tener contenido que probablemente requiera la atención de la víctima, como citaciones legales u otros asuntos ejecutivos.

Otro vector común de este estilo de ataque son los correos electrónicos de estafa de whaling, que parece que vienen de un ejecutivo. Un ejemplo habitual sería una solicitud por correo electrónico de un Director general en el que se solicita a alguien del departamento de finanzas ayuda inmediata para transferir dinero. En ocasiones, se engaña a los empleados de categoría inferior haciéndoles creer que la solicitud y el remitente son tan importantes que no es necesario comprobar la autenticidad de la solicitud, lo que hace que el empleado transfiera grandes sumas de dinero a un atacante.

Ventas