¿Qué es phishing? Una de las estafas más comunes y costosas para las organizaciones

En 2020, 61% de las empresas mexicanas notaron un aumento en los correos de phishing, según la encuesta Phishing Insights 2021. Y de acuerdo con la Secretaría de Seguridad Ciudadana, este tipo de fraude electrónico es el más frecuente en México, cometido a través de medios digitales, SMS, emails o páginas web.


El phishing es uno de los ciberataques más exitosos porque suele pasar desapercibido, y podemos definirlo como cualquier estafa cibernética donde un pirata informático engaña a una persona para que ofrezca información sensible o exponga datos confidenciales. El delincuente suele utilizar un archivo con malware oculto o un correo electrónico falso para que la víctima revele contraseñas, información transaccional u otros datos de identificación personal.


Por lo general, las personas detrás de los ataques de phishing no intentan robar dinero, sino algo mucho más valioso: información. Y cuando ocurre una violación de datos, las consecuencias para las empresas e individuos pueden ser graves.


En el día a día, tus colaboradores pueden caer víctimas a través de:


  • Sitios web falsos que solicitan datos personales o institucionales. Van desde comercios electrónicos hasta páginas fraudulentas como las que prometen solucionar trámites, las que ofrecen préstamos exprés inexistentes, aquellas que se hacen pasar por sitios oficiales de entidades gubernamentales o hasta portales que son look-alikes de marcas conocidas, con dominios web casi idénticos a los oficiales.
  • Enlaces de descarga para plataformas y herramientas de comunicación de trabajo remoto como Zoom o Slack.
  • Emails que se hacen pasar por descargas de “actualizaciones críticas” para soluciones de colaboración empresarial.
  • Archivos que vienen en formatos normales como .zip o .pdf, o en formatos sospechosos con extensiones como .vbs, .vbe, .wsh, .bat, .js o .jse.
  • Correos electrónicos de falsos proveedores de servicios de TI que solicitan un pago para brindar soporte técnico.
  • Emails fraudulentos que se hacen pasar por organizaciones gubernamentales para ingresar a una cuenta o proporcionar datos personales para resolver un problema o trámite.



Identificar las variedades de phishing para prevenirlas

Si estás preparando o reforzando la estrategia de ciberseguridad para tu organización, es importante que todos sus integrantes conozcan las formas más comunes de phishing. Esto les permitirá ser más críticos cuando reciban emails, links o archivos adjuntos.


1. Correo electrónico de suplantación de identidad (phishing)

La mayoría de los ataques de phishing son enviados por correo electrónico.


La táctica más común es la de registrar un dominio falso que imita al de una organización real para enviar miles de solicitudes. El dominio falso puede tener el nombre de la marca real, pero con variaciones en algunos caracteres; por ejemplo, utilizan “r” y “n” una al lado de la otra para que “rn” luzca como una “m”.


Alternativamente, usan el nombre en la dirección de correo electrónico (por ejemplo, mastercard@dominio.com), esperando que el nombre del remitente aparezca como “Mastercard” en la bandeja de entrada del destinatario, quien creerá que el email proviene de una marca conocida.


Hay varias formas de detectar un email de suplantación de identidad, pero como regla general siempre debes verificar la dirección electrónica de cualquier mensaje que te pida hacer clic en un enlace o descargar un archivo adjunto.


2. Spear phishing

También se realiza a través de correo electrónico, pero a un nivel más sofisticado porque se dirige a personas u organizaciones específicas. Quienes realizan este tipo de ataque suelen tener información particular sobre la víctima: nombre, lugar de trabajo, ocupación, dirección de correo electrónico, funciones laborales o usuario de acceso.


Uno de los casos más sonados fue el de Sony Pictures Entertainment en 2015, cuando la compañía recibió una serie de emails dirigidos a ingenieros de sistemas, administradores de redes y otros colaboradores a quienes se les pidió verificar sus IDs de Apple. Al verificar su cuenta de Apple, de forma involuntaria otorgaron acceso a la red de Sony, que los ciberdelincuentes aprovecharon para robar gigabytes de datos que incluían desde correos electrónicos e informes financieros, hasta copias digitales de películas que apenas se habían estrenado.


3. Ataque de whaling

Los ataques de whaling suelen apuntar a los ejecutivos de alto nivel. Aunque el objetivo final es el mismo que cualquier otro ataque de phishing, la técnica es mucho más sutil.


Se utilizan links falsos y URLs maliciosas haciéndose pasar por personas que tienen cargos superiores en la organización, para que los ejecutivos caigan y otorguen datos de pago, información confidencial o acceso a la red empresarial.


4. Smishing y vishing

Tanto en smishing como en vishing, los celulares reemplazan al email como método de comunicación. Smishing es cuando los delincuentes envían mensajes de texto (cuyo contenido es muy similar al del phishing por correo electrónico) y el vishing es a través de una conversación telefónica.


La estafa más común de vishing es cuando el criminal se hace pasar por un investigador de fraudes (por ejemplo, como empleado de un banco o institución financiera reconocida) y le dice a la víctima que su cuenta fue vulnerada. Luego, el delincuente pide a la víctima que le proporcione los datos de su tarjeta de pago para verificar su identidad o para transferir dinero a una cuenta “segura”, que en realidad es la del estafador.


En el smishing, la táctica más popular es cuando la víctima recibe un mensaje de texto que supuestamente proviene de su banco, avisándole que alguien intentó realizar una compra sospechosa con su cuenta. El sms le pide comunicarse a un número telefónico para cancelar la compra, ya sea otorgando un número de confirmación o algún dato que permita al delincuente acceder a una compra importante o a la cuenta del usuario.


5. Phishing en redes sociales

Las redes sociales permiten a los delincuentes engañar a las personas de múltiples formas: URLs falsas, sitios web, publicaciones, tuits y mensajería instantánea (que es básicamente lo mismo que el smishing) se pueden usar para persuadir a la gente de divulgar información confidencial o descargar un malware sin darse cuenta.


En julio de 2020, Twitter causó revuelo cuando algunos errores de sus empleados permitieron que un ataque de phishing hackeara las cuentas de personajes como Kim Kardashian, Bill Gates o Joe Biden. A través de mensajes y tuits fraudulentos que provenían de cuentas oficiales, los hackers lograron difundir una estafa de Bitcoin que les permitió recaudar más de 100 mil dólares.


Protege a tu organización de los fraudes cibernéticos


Para resguardar a tu empresa es fundamental adoptar prácticas avanzadas de ciberseguridad:

  • Instalar soluciones para detectar actividades o intentos de login sospechosos.
  • Usar tecnología de autenticación multifactor para acceder a los recursos de la organización.
  • Usar filtros antispam en el correo electrónico.
  • Actualizar todo el software de forma regular para prevenir que estén trabajando con vulnerabilidades.
  • Monitorear de forma proactiva las redes y los puntos finales de comunicación.


También piensa que tus colaboradores son la última línea de defensa ante los ataques de phishing (y otros). Haz que estos consejos se vuelvan sus mantras de trabajo:


  • Tengan reglas claras sobre lo que pueden y no pueden compartir, incluso dentro de la propia compañía.
  • Verifiquen los dominios de los correos electrónicos que reciben, para detectar si alguno luce sospechoso.
  • Cuando reciban correos de instituciones “oficiales”, busquen inconsistencias en la fuente, el logotipo, el color y la redacción del mensaje.
  • Cambien las contraseñas de inmediato si sospechan que fueron víctimas de un email de suplantación de identidad.
  • Evalúen periódicamente su conocimiento sobre seguridad informática, para detectar cuáles son las áreas de oportunidad de aprendizaje entre tus empleados.


El impacto del phishing no solo es económico, sino también puede derivar en pérdida de propiedad intelectual y daños a la reputación. Ahora que conoces más sobre las circunstancias donde se presentan los ataques de phishing, no dudes en reforzar las medidas de seguridad de tu compañía.


Recientes

Evaluación de la Ciberseguridad en Fusiones y Adquisiciones

7 de enero de 2025
Descubre la importancia de evaluar la ciberseguridad en fusiones y adquisiciones. Aprende sobre las mejores prácticas, herramientas y estrategias para proteger los activos digitales y minimizar riesgos durante el proceso de M&A.

La Importancia de la Gestión de Parches en la Seguridad

31 de diciembre de 2024
Descubre la importancia de la gestión de parches en la seguridad de tu organización. Aprende sobre las mejores prácticas, herramientas y estrategias para mantener tus sistemas protegidos y en funcionamiento óptimo.
A man is sitting at a desk using a laptop and a calculator.

Cómo Proteger tu Empresa Contra el Fraude Interno

24 de diciembre de 2024
Descubre cómo proteger tu empresa contra el fraude interno con estrategias efectivas, tecnologías avanzadas y mejores prácticas. Aprende a prevenir y detectar fraudes para mantener la integridad y confianza en tu organización.
A group of people are sitting at a table using laptops.

Ciberseguridad en el Sector Educativo: Principales Desafíos

17 de diciembre de 2024
Descubre los principales desafíos de ciberseguridad en el sector educativo y aprende cómo mitigarlos con estrategias efectivas y tecnologías avanzadas. Protege los datos sensibles y garantiza la continuidad educativa en tu institución.

Ciberseguridad

¡Hola! :)


Somos bloggers fascinados por la tecnología y la ciberseguridad.


Te traemos semanalmente la información más relevante del sector y algunos consejos prácticos por parte de nuestros expertos.

Evaluación de la Ciberseguridad en Fusiones y Adquisiciones

7 de enero de 2025
Descubre la importancia de evaluar la ciberseguridad en fusiones y adquisiciones. Aprende sobre las mejores prácticas, herramientas y estrategias para proteger los activos digitales y minimizar riesgos durante el proceso de M&A.

La Importancia de la Gestión de Parches en la Seguridad

31 de diciembre de 2024
Descubre la importancia de la gestión de parches en la seguridad de tu organización. Aprende sobre las mejores prácticas, herramientas y estrategias para mantener tus sistemas protegidos y en funcionamiento óptimo.
A man is sitting at a desk using a laptop and a calculator.

Cómo Proteger tu Empresa Contra el Fraude Interno

24 de diciembre de 2024
Descubre cómo proteger tu empresa contra el fraude interno con estrategias efectivas, tecnologías avanzadas y mejores prácticas. Aprende a prevenir y detectar fraudes para mantener la integridad y confianza en tu organización.
A group of people are sitting at a table using laptops.

Ciberseguridad en el Sector Educativo: Principales Desafíos

17 de diciembre de 2024
Descubre los principales desafíos de ciberseguridad en el sector educativo y aprende cómo mitigarlos con estrategias efectivas y tecnologías avanzadas. Protege los datos sensibles y garantiza la continuidad educativa en tu institución.
A person is pressing a button on a screen to enter their username and password.

Cómo Gestionar el Acceso Privilegiado para Minimizar Riesgos

10 de diciembre de 2024
Descubre cómo gestionar el acceso privilegiado para minimizar riesgos en tu organización. Aprende sobre mejores prácticas, herramientas y estrategias efectivas para proteger sistemas y datos críticos en la seguridad de la información.
A computer monitor with a lot of data on it.

El Papel del Análisis Predictivo en la Ciberseguridad

3 de diciembre de 2024
Descubre cómo el análisis predictivo puede mejorar la ciberseguridad en tu organización. Aprende sobre sus beneficios, desafíos y mejores prácticas para implementar esta herramienta esencial en la protección de tus sistemas y datos.
A computer generated image of a neural network on a blue background.

Ciberseguridad en la Gestión de Big Data

26 de noviembre de 2024
Descubre cómo proteger los datos en entornos de Big Data con estrategias de ciberseguridad efectivas. Aprende sobre amenazas, soluciones y mejores prácticas para garantizar la seguridad de tus datos y cumplir con las normativas.
A close up of a 5g chip on a motherboard.

El Impacto del 5G en la Ciberseguridad

19 de noviembre de 2024
Descubre el impacto del 5G en la ciberseguridad y aprende cómo mitigar los riesgos asociados. Explora soluciones, herramientas y mejores prácticas para proteger tu infraestructura 5G y garantizar la seguridad de tu organización.
A blurred image of a warehouse with a padlock on a screen.

Desafíos y Soluciones en la Ciberseguridad de Dispositivos IoT Industriales

12 de noviembre de 2024
Descubre los desafíos y soluciones en la ciberseguridad de dispositivos IoT industriales. Aprende sobre estrategias efectivas, herramientas clave y mejores prácticas para proteger tus infraestructuras críticas y garantizar la seguridad operativa.
A person is holding a tablet with a graph on it.

Cómo Medir el Retorno de Inversión en Ciberseguridad

5 de noviembre de 2024
Descubre cómo medir el retorno de inversión (ROI) en ciberseguridad con estrategias efectivas y herramientas clave. Aprende a justificar inversiones, optimizar recursos y mejorar la seguridad de tu organización.
Más entradas