¿Cómo se utiliza el correo electrónico para llevar a cabo un ataque de phishing?
El phishing es un ciberataque en el que un atacante oculta su verdadera identidad con el fin de engañar a la víctima para que realice una acción determinada. A menudo, un ataque de phishing utiliza el correo electrónico para convencer a los objetivos de que un mensaje procede de una fuente de confianza, como una institución financiera de buena reputación o una empresa. Como el mensaje parece legítimo, es más probable que el usuario comparta datos valiosos de su cuenta o interactúe con malware, que se presenta normalmente como un archivo adjunto o un enlace, oculto en el correo electrónico.
Algunas tácticas de phishing intentan recopilar información directamente del destinatario al afirmar que una cuenta ha sido violada de alguna manera (por ejemplo, solicitudes fraudulentas de restablecimiento de contraseña) o al ofrecer una recompensa monetaria (por ejemplo, tarjetas de regalo falsas). Otros correos electrónicos de phishing contienen malware dentro de los archivos adjuntos o enlaces que aparecen en el cuerpo del correo electrónico, que pueden infectar otros dispositivos o redes una vez que el usuario interactúa con estos.
Si resulta exitoso, un intento de phishing permite a los atacantes robar las credenciales del usuario, infiltrarse en una red, robar datos o llevar a cabo medidas más extremas contra la víctima (por ejemplo: un ataque de ransomware).
Para saber más sobre las técnicas de phishing, consulta ¿Qué es un ataque de phishing?
Cómo identificar un ataque de phishing
Dado que los correos electrónicos de phishing están diseñados para imitar a personas y organizaciones legítimas, pueden ser difíciles de identificar a primera vista. A continuación, enumeramos algunas señales de advertencia comunes a las que hay que prestar atención:
- El correo electrónico no pasa las comprobaciones SPF, DKIM o DMARC. Para autenticar el origen de un correo electrónico se utilizan tres registros DNS: marco de políticas del remitente (SPF), DomainKeys Identified Mail (DKIM) y autenticación de mensajes, informes y conformidad basada en dominios (DMARC). Cuando un mensaje de correo electrónico no pasa una o varias de estas comprobaciones, se suele marcar como no deseado o no se entrega a su destinatario. Por esta razón, no es común encontrar correos electrónicos legítimos en las carpetas de correo no deseado.
- La dirección de correo electrónico del remitente no está asociada a un nombre de dominio legítimo. El dominio debe coincidir con el nombre de la organización de la que el correo electrónico dice proceder. Por ejemplo, si todas las direcciones de correo electrónico de Legitimate Internet Company tienen el formato "empleado@legitinternetcompany.com", se podría enviar un correo electrónico falso desde una dirección que suene similar, como "empleado@legitinternetco.com".
- Uso de un saludo genérico en lugar de un nombre. Palabras como "cliente", "titular de la cuenta" o "querido" pueden ser una señal de que el correo electrónico es parte de un intento de phishing masivo, en lugar de un mensaje personal de un remitente legítimo.
- Hay un límite de tiempo o un carácter de urgencia inusual. Los correos electrónicos de phishing suelen generar una falsa sensación de urgencia para convencer a los usuarios de que actúen. Por ejemplo, pueden prometer una tarjeta de regalo si el usuario responde en un plazo de 24 horas, o alegar una fuga de datos para conseguir que el usuario actualice su contraseña. Es raro que estas tácticas estén vinculadas a plazos o consecuencias reales, ya que su objetivo es abrumar al usuario para que actúe antes de que sospeche.
- El cuerpo del mensaje está lleno de errores. Los errores de gramática, ortografía y una incorrecta estructura de las frases pueden indicar que el correo electrónico procede de una fuente que no es fiable.
- Los enlaces en el cuerpo del mensaje no coinciden con el dominio del remitente. La mayoría de las solicitudes legítimas no dirigirán a los usuarios a un sitio web diferente del dominio del remitente. Por el contrario, los intentos de phishing suelen redirigir a los usuarios a un sitio malintencionado u ocultar enlaces maliciosos en el cuerpo del mensaje.
- El CTA (llamada a la acción) incluye un enlace al sitio web del remitente. Incluso cuando los enlaces parecen apuntar a sitios web legítimos, pueden redirigir a las víctimas a un sitio malintencionado o activar una descarga de malware. La mayoría de las organizaciones fiables no piden a los usuarios que revelen información confidencial (p. ej. números de tarjetas de crédito) al hacer clic en un enlace.*
En general, cuanto más sofisticado es un intento de phishing, menos probable es que estos elementos aparezcan en un correo electrónico. Por ejemplo, algunos correos electrónicos de phishing utilizan los logotipos e imágenes de empresas conocidas para que su mensaje parezca legítimo, mientras que otros atacantes pueden codificar todo el campo del cuerpo como un hipervínculo malicioso.
*Las excepciones a esta regla pueden ser las solicitudes de restablecimiento de contraseñas y verificación de cuentas. Sin embargo, los intentos de phishing también pueden falsificar este tipo de solicitudes, por lo que es aconsejable comprobar la dirección de correo electrónico del remitente antes de hacer clic en cualquier cosa.*
¿Estás siendo blanco de ataque?
Protección completa contra los ciberataques
Cómo prevenir los ataques de phishing
Como ocurre con cualquier tipo de correo electrónico no solicitado (a menudo denominado "correo no deseado"), ninguna herramienta de seguridad o servicio de filtrado puede eliminar completamente los correos electrónicos de phishing. Sin embargo, hay varias acciones que los usuarios pueden llevar a cabo para disminuir las posibilidades de que un ataque tenga éxito:
- Evaluar los correos electrónicos en busca de elementos sospechosos. Los encabezados de los correos electrónicos pueden revelar nombres de remitentes o direcciones de correo electrónico redactados de forma engañosa, mientras que el cuerpo puede incluir archivos adjuntos y enlaces que oculten código malicioso. Los usuarios deben pecar de precavidos al abrir un mensaje de un remitente desconocido.
- No compartir información personal. Incluso cuando te comuniques con una persona de confianza, nunca debes intercambiar información personal, p. ej. números de la Seguridad Social, información bancaria, contraseñas, etc., en el cuerpo de un correo electrónico.
- Bloquear el correo no deseado. La mayoría de los clientes de correo electrónico incorporan filtros de correo no deseado, pero los servicios de filtrado de terceros pueden dar a los usuarios un control más granular sobre su correo electrónico. Otras recomendaciones para evitar el correo no deseado son darse de baja de las listas de correo, no abrir los correos electrónicos no deseados y no revelar las direcciones de correo electrónico (es decir, no incluirlas en el sitio web externo de la organización).
- Utilizar los protocolos de seguridad del correo electrónico. Los métodos de autenticación del correo electrónico como los registros SPF, DKIM y DMARC, ayudan a verificar el origen de un correo electrónico. Los propietarios de dominios pueden configurar estos registros para dificultar que los atacantes suplanten sus dominios en un ataque de suplantación de dominio.
- Ejecutar un servicio de aislamiento del navegador. Los servicios de aislamiento del navegador aíslan y ejecutan el código del navegador en la nube, protegiendo a los usuarios de la activación de archivos adjuntos y enlaces de malware que se pueden entregar a través de un cliente de correo electrónico en la web.
- Filtrar el tráfico peligroso con una puerta de enlace web segura. Una puerta de enlace web segura (SWG) inspecciona los datos y el tráfico de red en busca de malware conocido, y luego bloquea las solicitudes entrantes en función de políticas de seguridad predeterminadas. También se puede configurar para evitar que los usuarios descarguen archivos (como los que pueden estar adjuntos a un correo electrónico de phishing) o compartan datos confidenciales.
- Verificar el mensaje con el remitente. Si un mensaje de correo electrónico sigue pareciendo sospechoso, puede ser necesario confirmar de forma independiente que el mensaje ha sido enviado por una persona u organización legítima. Hay varios métodos de verificación que se pueden utilizar para este fin, como una llamada telefónica o un mensaje de texto. En caso de duda, pregunta al remitente si hay una forma más segura de transmitir cualquier información confidencial que pueda haber solicitado.
¿Cómo protege Cloudflare contra ataques de phishing?
Cloudflare Email Security detecta y bloquea los intentos de phishing en tiempo real. Rastrea Internet de forma preventiva en busca de infraestructuras y campañas de ataque, detecta los intentos de fraude por correo electrónico y proporciona visibilidad de las cuentas y dominios en riesgo.
Descubre cómo protegerte contra los ataques de phishing con Cloudflare Email Security.