Introducing G2.ai, the future of software buying.Try now
Categoría de Correo electrónico antispam

¿Qué es el phishing? Cómo reconocer ataques y prevenirlos

18 de Febrero de 2022
Mara Calvello
MC
por Mara Calvello

En esta publicación

En esta publicación

Nunca hay un punto final en la lucha contra el fraude en línea.

Los hackers maliciosos están constantemente buscando formas de explotar vulnerabilidades y llevar a cabo ataques de phishing. El phishing es un intento de engañar a una persona para que revele información sensible que los atacantes utilizan para el robo de identidad u otro tipo de fraude. Vienen en varias formas y pueden engañarte con correos electrónicos o llamadas telefónicas falsas, tratando de robar tus datos personales o financieros.

Los ciberdelincuentes utilizan principalmente el phishing para robar información: detalles bancarios, números de tarjetas de crédito, inicios de sesión de cuentas, contraseñas, etc. El peligro de que dicha información sea explotada es que puede llevar al robo de identidad y a pérdidas financieras.

Muchas organizaciones utilizan software anti-spam de correo electrónico para proteger a sus empleados de ser víctimas de campañas de phishing.

¿Qué es el phishing?

El phishing es un método para obtener información de los usuarios a través de comunicaciones fraudulentas dirigidas directamente a las personas. Esto generalmente se hace a través de correos electrónicos fraudulentos disfrazados de legítimos que engañan a las personas para que revelen información sensible.

Esencialmente, el objetivo de un ciberdelincuente que realiza una estafa de phishing es engañarte, generalmente usando el correo electrónico como su arma, para que les des la información que desean. Los atacantes engañan a los destinatarios para que abran enlaces maliciosos, lo que resulta en infecciones de malware o ransomware .

Los ataques de phishing pueden ser parte de una violación de datos más significativa, como una amenaza persistente avanzada (APT). Los hackers maliciosos engañan a los usuarios con intentos de phishing para acceder a la red cerrada de una organización y a información sensible. Las empresas deben capacitar a su personal periódicamente para asegurarse de que los empleados y contratistas conozcan las técnicas modernas de phishing.

Por ejemplo, un correo electrónico de phishing puede alentar a un destinatario a hacer clic en un enlace malicioso, abrir un archivo adjunto de imagen o descargar un archivo. Por lo general, tiene un elemento de urgencia, miedo o, a veces, codicia. Debes tener cuidado con los correos electrónicos o mensajes de phishing que llegan a través de un servicio de mensajes cortos (SMS) que estimulan cualquiera de estas emociones en ti.

Cómo funciona el phishing

Típicamente, los ataques de phishing dependen de varios métodos de redes sociales aplicados al correo electrónico u otros métodos de comunicación, como mensajes de texto o plataformas de mensajería instantánea. Los phishers también pueden usar ingeniería social para averiguar información sobre la víctima, incluyendo dónde trabajan, su título laboral, pasatiempos, intereses, actividades, etc.

Los atacantes utilizan esta información para redactar un mensaje de correo electrónico creíble. Estos correos electrónicos maliciosos generalmente comienzan con un enlace o un archivo adjunto para que el destinatario haga clic o abra. Además, el contenido suele estar mal escrito con gramática incorrecta.

Funciona así: te envían un mensaje que parece ser de una persona que conoces o de una organización que reconoces. Los atacantes arman este mensaje con un archivo adjunto o enlace malicioso que contiene software de phishing. 

Te incita a instalar malware en tu dispositivo o te redirige a un sitio web falso que te engaña para que ingreses tu información personal, como contraseñas o información de tarjetas de crédito.

O, recibirás un correo electrónico del CEO de tu empresa, con la dirección de correo electrónico ligeramente mal escrita. El mensaje dice: "Dame tu número, necesito que completes una tarea para mí". Como este es el CEO de tu empresa (o eso crees), respondes con tu número de teléfono, solo para recibir un mensaje de texto pidiéndote que completes una tarea que no tiene sentido, como ordenar un montón de tarjetas de regalo de Amazon. No estoy hablando por experiencia ni nada.

¿Quieres aprender más sobre Software antispam de correo electrónico? Explora los productos de Correo electrónico antispam.

Tipos de ataques de phishing

Así como hay muchos peces en el mar, hay múltiples tipos de intentos de phishing de los que podrías ser víctima.

  • Spear phishing: Spear phishing es una estafa de correo electrónico dirigida a un individuo, una empresa o una organización para robar datos personales como información financiera o credenciales de cuenta para engañar a la persona haciéndole creer que tiene una conexión real con el remitente.
  • Ataque de ballena: El ataque de ballena es similar al spear phishing, excepto que en una escala mucho mayor. Estos correos electrónicos generalmente tienen una línea de asunto sobre un asunto "crítico" de negocios y se envían a alguien de alto rango dentro de una empresa u organización específica. El objetivo de los ataques de ballena es infectar una computadora con malware y obtener las credenciales de correo electrónico de los ejecutivos para realizar transferencias bancarias fraudulentas.
  • Fraude del CEO: Cuando un ataque de ballena tiene éxito, ocurre el fraude del CEO. Los atacantes logran hacerse pasar por el CEO y abusar del correo electrónico del CEO para aprobar transferencias bancarias a una institución financiera de su elección.
  • Pharming: Este método se origina en una manipulación del caché del sistema de nombres de dominio (DNS). Internet utiliza servidores DNS para convertir nombres de sitios web en direcciones IP numéricas. El atacante luego apunta al servidor DNS y cambia la dirección IP, permitiendo al atacante redirigir a los usuarios a un sitio web malicioso, incluso si escriben la URL correcta.
  • Phishing por voz: También conocido como vishing, esta es una forma de phishing a través de medios de comunicación de voz. Usando software de síntesis de voz, un atacante dejará un mensaje de voz notificando a la víctima de actividad sospechosa en su cuenta bancaria o de crédito y urge a la víctima a responder para verificar su identidad. Esto lleva al robo de identidad, después de lo cual los estafadores utilizan números de tarjetas de crédito comprometidos para sus propósitos maliciosos.

Cómo detectar un intento de phishing

Puede ser más difícil de lo que piensas reconocer un correo electrónico de phishing, ya que generalmente son enviados desde una empresa conocida o alguien (que crees) que conoces. Principalmente si incluye el logotipo correcto de la empresa, haciéndolo parecer legítimo. Los atacantes estructuran los enlaces para que parezcan lo más genuinos posible, con solo uno o dos caracteres diferentes. Estas son las señales de advertencia que debes tener en cuenta para no ser víctima de un ataque de phishing.

  • El enlace incluye un subdominio o una URL mal escrita.
  • Se envía desde una cuenta de Gmail en lugar de una cuenta de correo corporativa o empresarial.
  • El mensaje posee un sentido de urgencia o miedo.
  • El mensaje pide que verifiques información personal, como una contraseña.
  • Está mal escrito con errores de ortografía y gramática.
  • El mensaje no está dirigido a ti personalmente y en su lugar dice "Estimado Cliente".
  • El contenido es demasiado bueno para ser verdad, como decir que has ganado un iPhone o un premio lujoso.
  • El mensaje contiene amenazas, implicando que surgirán circunstancias graves si no sigues adelante.

Además de saber qué señales de alerta debes observar, también puedes ir un paso más allá utilizando filtros de spam para escanear mensajes de correo electrónico, contenido y archivos adjuntos en busca de posibles amenazas.

A continuación se presentan los principales software anti-spam de correo electrónico que las organizaciones pueden usar para protegerse contra ataques de phishing por correo electrónico. 

 

  1. Proofpoint Email Security and Protection

  2. Avanan Cloud Email Security

  3. SaneBox

  4. SpamTitan Email Security

  5. Everest (anteriormente 250ok y Return Path)

*Estos son cinco de los principales software anti-spam de correo electrónico del Informe de G2 Winter 2022 Grid.

Ejemplos de ataques de phishing

Los atacantes modernos entienden cómo las organizaciones protegen sus activos. Los hackers idean nuevas formas de acceder a los sistemas engañando a estas defensas, y posiblemente la forma más fácil es engañando a los humanos. Los humanos son el eslabón más débil en la ciberseguridad de cualquier organización. 

A continuación se presentan algunos ejemplos de ataques de phishing que los hackers maliciosos realizan para acceder a información sensible.

  • Los atacantes se hacen pasar por el CEO de una empresa o el equipo de liderazgo senior exigiendo atención urgente a un informe o un archivo adjunto. Los empleados reaccionan rápidamente a correos electrónicos sospechosos por miedo o un sentido de responsabilidad hacia la empresa y su liderazgo.
  • Correos electrónicos de restablecimiento de contraseña caen en tu bandeja de entrada para recordarte sobre una contraseña que está por expirar. 
  • Los hackers maliciosos se hacen pasar por tu compañero y envían correos electrónicos sobre un documento sensible con tu nombre en la bandeja de la impresora. Pueden adjuntar una imagen ficticia que puede desplegar malware si se descarga.
  • A veces, los atacantes pueden redirigirte a una página maliciosa que se ve exactamente como la genuina y obligarte a ingresar credenciales de usuario. Por otro lado, los atacantes pueden explotar vulnerabilidades y secuestrar cookies de sesión a través de scripts maliciosos activados, lo que resulta en un ataque de scripting entre sitios reflejado (XSS).

Aunque el phishing ocurre a personas comunes, ha habido algunos ataques que han causado un gran revuelo en los medios de comunicación.

Por ejemplo, el Buró Federal de Investigaciones (FBI) emitió una advertencia el 16 de febrero de 2022 sobre redes de contratistas de EE. UU. siendo atacadas para acceder a datos de defensa sensibles. La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) observó que los actores de amenazas utilizaron spear phishing, recolección de credenciales y ataques de fuerza bruta contra redes y cuentas débiles. El FBI agregó: "los actores maliciosos aprovechan de manera poco ética a empleados desprevenidos, sistemas sin parches y contraseñas simples para obtener acceso inicial antes de moverse lateralmente a través de la red para establecer persistencia y exfiltrar datos."

Cómo prevenir ataques de phishing

En los últimos años, el phishing se ha convertido en un problema significativo para las empresas. A medida que los correos electrónicos de phishing se vuelven más difíciles de identificar, es probable que se escapen por las grietas cuando se envían a las bandejas de entrada de los empleados. 

Aunque los intentos de spam y phishing pueden ser difíciles de identificar, algunas diferencias clave pueden ayudarte a separar lo real de lo falso. Los correos electrónicos de spam pueden parecer correos electrónicos legítimos de la empresa con logotipos oficiales o redacción que los hace parecer confiables, pero a menudo tendrán errores ortográficos en los encabezados o líneas de asunto. Los correos electrónicos de phishing son más formales en su lenguaje pero incluyen irregularidades que parecen sospechosas.

Por ejemplo, un correo electrónico que solicita una transferencia bancaria urgente sería bastante inusual si se envía desde el departamento de finanzas de una empresa. La dirección de correo electrónico utilizada también puede ser muy diferente.

Es un error pensar que el phishing generalmente ocurre a personas que usan demasiado internet. Este no es el caso. Cualquiera puede ser víctima de phishing, incluso si solo usas internet en raras ocasiones. La mejor manera de protegerte del fraude en línea es mantener tu computadora segura y seguir algunos pasos básicos cuando estés en línea.

Ten cuidado con los enlaces en los que haces clic

Asegúrate de que el enlace en el que estás a punto de hacer clic vaya directamente al sitio web al que dice ir. Ten cuidado con los enlaces que se parecen a otros, pero tienen un nombre de dominio extraño en la URL (el nombre de dominio es la dirección del sitio web). Esto puede indicar una estafa de phishing.

Evita dar detalles personales

Si alguien te llama o te envía un correo electrónico y te pide información personal, asegúrate de que prueben su identidad. Es fácil para un impostor o hacker hacerse pasar por otra persona, así que nunca confíes en alguien a menos que lo conozcas personalmente o te hayas asegurado de que son legítimos.

Usa sitios web seguros

Cuando compres en línea, asegúrate de estar utilizando un sitio web con características de seguridad como una barra verde en la parte inferior de la pantalla o https:// al frente. HTTPS se refiere a Hypertext Transfer Protocol Secure que facilita la comunicación segura a través de una red informática. 

Nadie quiere ser el cebo

Especialmente cuando se trata de un ataque de phishing, puede sucederle a cualquiera, así que asegúrate de ser extra cauteloso antes de abrir un correo electrónico misterioso y hacer clic en un enlace. Con la cantidad de información personal a la que puedes acceder en línea, es más importante que nunca que tomes el paso adicional para asegurarte de no convertirte en el cebo de un ataque cibernético.

Aprende más sobre los diferentes tipos de ataques cibernéticos y cómo proteger tu negocio contra ellos.

Mara Calvello
MC

Mara Calvello

Mara Calvello is a Content and Communications Manager at G2. She received her Bachelor of Arts degree from Elmhurst College (now Elmhurst University). Mara writes content highlighting G2 newsroom events and customer marketing case studies, while also focusing on social media and communications for G2. She previously wrote content to support our G2 Tea newsletter, as well as categories on artificial intelligence, natural language understanding (NLU), AI code generation, synthetic data, and more. In her spare time, she's out exploring with her rescue dog Zeke or enjoying a good book.

Explora más artículos de G2

Principales plataformas RO-I para startups
El mejor software de contabilidad para pequeñas empresas
Cómo elegir la mejor herramienta de gestión de redes sociales
¿Cuál es la plataforma de éxito del cliente más recomendada para empresas SaaS?