Tipos de phishing: cómo reconocerlos y mantenerte a salvo

El phishing es el ciberataque más peligroso de la actualidad. Google notó un aumento de más del 600% en los ataques de phishing en 2020 en comparación con 2019 con un total de 2.145.013 páginas phishing registradas el 17 de enero de 2021, frente a los 1.690.000 del 19 de enero de 2020.

El phishing es la puerta de entrada a muchos tipos de ciberataques dañinos incluidos ransomware, malware, suplantación de correo electrónico empresarial, suplantación de identidad, robo de identidad, suplantación de marca y compromiso de credenciales.

El phishing no discrimina. Afecta a empresas de todos los tamaños en todas las industrias. Los ataques de phishing representan más del 80% de los incidentes de seguridad notificados. Es una espina constante y maliciosa en el costado de todas las organizaciones, independientemente de su tamaño o industria.

¿Cuál es la forma más común de phishing?

En esencia, el phishing es un fraude. Un mensaje típico de phishing llega por correo electrónico. Los ciberdelincuentes que crean mensajes de phishing a veces se conocen como phishermen. Un mensaje de phishing intentará crear contenido o un «señuelo» que sea lo suficientemente convincente como para convencer al objetivo de interactuar con el mensaje y realizar una acción, como hacer clic en un enlace o abrir un archivo adjunto.

¿Cuáles son los diferentes tipos de phishing?

El phishing fluye y refluye según la oportunidad. Los ciberdelincuentes aprovechan rápidamente las oportunidades para explotar el estrés, el miedo, la emoción o el caos para llevar a cabo esquemas de phishing. Al comienzo de la pandemia de la Covid-19, los ciberdelincuentes acudieron en masa para inundar a los nuevos trabajadores remotos con mensajes de phishing, especialmente ransomware. Los ataques contra los trabajadores remotos se multiplicaron por cinco en las primeras seis semanas del cierre generalizado en las naciones occidentales.

Las tendencias en el phishing durante la pandemia de la Covid-19 son un buen ejemplo de por qué el phishing es tan peligroso para las empresas y tan rentable para los ciberdelincuentes. Al principio de la pandemia, los mensajes de phishing se dirigían a los trabajadores remotos nuevos en un intento de defraudar a los empleados ansiosos que estaban fuera de su zona de confort y lejos de las fuertes defensas de ciberseguridad de las oficinas. Luego, la atención se centró en los hospitales a medida que aumentaba el valor de los datos sobre el virus. Después, los laboratorios y las instituciones de investigación estuvieron en el punto caliente durante la etapa de desarrollo de la vacuna. Finalmente, los malos actores se dirigieron a empresas de logística como las empresas de almacenamiento en frío necesarias para llevar la vacuna a los consumidores.

Con mucho, la mayor pesadilla que puede resultar de un ataque de phishing exitoso es contraer ransomware. Más del 90%  del ransomware y el malware llega a las empresas a través de un correo electrónico de phishing. Estos ataques son especialmente devastadores porque el ransomware no solo se usa para robar datos y retenerlos para pedir un rescate; también se utiliza para bloquear sistemas de TI, cerrar líneas de producción, detener el transporte y realizar otros ciberataques de gran impacto. Por eso es el arma favorita de los ciberdelincuentes. Dos de cada cinco pequeñas y medianas empresas se vieron afectadas por ransomware en 2020.

• Spear Phishing: El subtipo más común de phishing es el spear phishing. En este estilo de ataque, los ciberdelincuentes utilizan la información recopilada sobre el objetivo para crear un mensaje convincente. Esta información a menudo se obtiene de la Dark Web. Aproximadamente el 95% de todos los ataques dirigidos a las redes empresariales son causados por un spear phishing exitoso.
• Whaling o Whale Phishing: El whaling o whale phishing es una variante del spear phishing en el que el hacker busca presas más grandes: los ejecutivos. El objetivo es obtener una contraseña ejecutiva que les proporcione una entrada fácil en los sistemas y datos comerciales: el 72% de los ataques de caza de ballenas se hacen pasar por una fuente confiable. Estos ataques también se montan contra cuentas con muchos privilegios, como administradores y personal de seguridad.
• Smishing: El Smishing es phishing realizado a través de mensajes de texto SMS. Este tipo de ataque tuvo un aumento en popularidad a mediados de 2020 con un aumento del 328% en abril de 2020, ya que los ciberdelincuentes buscaban llegar a las personas confinadas. En la misma encuesta, el 44% de los encuestados dijeron que habían visto un aumento en los mensajes de texto fraudulentos durante las dos primeras semanas del período de cuarentena.
• Vishing: Otro ataque frecuentemente basado en teléfonos, el vishing es el phishing con mensajes de voz. Un aumento en los ataques de phishing basados en teléfonos a principios de 2020 fue lo suficientemente grave como para provocar una advertencia de las autoridades. Ese aumento se puede atribuir en parte a la pandemia de la Covid-19 y al cambio repentino al teletrabajo, lo que provocó un aumento masivo en el uso de redes privadas virtuales (VPN) y la eliminación de la verificación en persona.
• Compromiso del correo electrónico empresarial: El compromiso del correo electrónico empresarial es un delito cibernético complejo y multifacético que casi inevitablemente comienza con un ataque de phishing. Los ciberdelincuentes utilizan el phishing para obtener una contraseña para una cuenta de correo electrónico corporativa. Luego, se hacen pasar por el propietario real de la cuenta para defraudar a otras empresas de dinero en efectivo o datos confidenciales. El 65% de las organizaciones se enfrentaron a este tipo de ataques en 2020.
• Angler Phishing: El Angler phishing, o phishing en las redes sociales, es un vector de ataque cada vez más popular. Los malos actores utilizan el sistema de imitación y los correos electrónicos de notificación para atraer a los objetivos a proporcionarles información y credenciales. Algunas estafas de redes sociales obtienen información utilizando anuncios de trabajo falsos para recopilar datos de la empresa o localizar nuevos objetivos. Las estafas de redes sociales particularmente audaces implican que los ciberdelincuentes creen una cuenta ficticia, a veces llamada cuenta sock, y luego busquen conexiones con cuentas reales para agregar legitimidad a sus perfiles con el fin de aumentar el factor de autenticidad de sus mensajes de phishing. Las cuentas de redes sociales asociadas con el phishing de pescadores aumentaron aproximadamente un 40% en 2020. Los correos electrónicos con «LinkedIn» en la línea de asunto encabezaron la lista de los correos electrónicos de phishing en redes sociales más abiertos nuevamente para 2020, marcando su tercer año en la cima con una tasa de apertura del 47%. Twitter registró una tasa de apertura del 15%, Facebook ocupó el tercer lugar con el 12% e Instagram y WhatsApp se ubicaron en un distante cuarto lugar con el 5%.
• Suplantación de marca: Esta es una categoría de phishing que se dispara. La suplantación de marca representa el 81% de todos los ataques de spear phishing. En este tipo de estafa de phishing, los ciberdelincuentes imitan cuidadosamente las marcas en las que es probable que el objetivo confíe. Para las empresas, estos mensajes pueden pretender ser de empresas de tecnología, proveedores de servicios, distribuidores, vendedores, empresas de transporte, aseguradoras y otras empresas que se comunicarían regularmente con otras empresas. Las marcas más imitadas de 2020 ilustran claramente el esfuerzo de ingeniería social que se dedica al ciberdelito. El campeón indiscutible de los pesos pesados es Microsoft, con el 45% de las estafas de suplantación de identidad de marca dirigidas a empresas. DHL está en un distante segundo lugar con un 18%, y otras fuentes como Amazon, Google, Chase, Yahoo y Rakuten están cada una por debajo del 10% del total.

A continuación, te mostramos algunas formas de proteger a tu empresa de estos ataques y por qué debes hacer de la seguridad digital de tu empresa una prioridad.

• Comunícate con tu equipo: Comunicarte regularmente con tu equipo sobre los ataques de phishing es fundamental. La mayoría de las personas en una organización aprenden de estos errores, pero se necesita un incidente comprometido para ponerlos en alerta máxima. Tener reuniones periódicas sobre cómo sería un ataque de phishing ayuda a preparar a tu equipo antes de que suceda. Puedes reforzar estas reuniones destacando las consecuencias de estos ataques no solo para la reputación de la empresa, sino también para la seguridad de la información del cliente. Los sitios de suplantación de identidad utilizan regularmente dominios de apariencia similar que imitan los sitios online populares que tu empresa puede estar usando. Fomenta el uso de programas de administradores de contraseñas, que pueden almacenar contraseñas complejas y solo funcionan cuando la URL coincide con la URL almacenada.
• Cambia tus contraseñas con regularidad: Cada cierto tiempo, debes cambiar las contraseñas de la empresa. Cambiar regularmente tus contraseñas es una de las mejores líneas de defensa contra los ciberdelincuentes que buscan robar tu información.
• Actualiza tu software, e instala software legal: Un método básico y simple que muchas empresas descuidan es simplemente actualizar su software. Las empresas de software y tecnología siempre agregan protocolos de seguridad a sus productos, pero no funcionarán si no actualizas tus aplicaciones y herramientas. Puedes elegir una función de actualización automática en la configuración de tus herramientas que actualizará automáticamente las soluciones que utilizas. También puedes crear actualizaciones manuales.  Sea como sea, la clave es estar al tanto de estos cambios y actualizar todo tu conjunto de herramientas para mantener tus datos a salvo de los piratas informáticos. Por otro lado, instala siempre software legal.
• Usa diferentes contraseñas para todas las cuentas: No se puede evitar a un pirata informático o un ataque de ciberseguridad. Te sucederá inevitablemente en algún momento. Solo puedes defenderte de los daños estando un paso por delante de los atacantes. Una forma sencilla es no utilizar nunca la misma contraseña para todos tus puntos de acceso digitales. Desde la contraseña de tu ordenador hasta la contraseña de tu correo electrónico y el panel de tu sitio web y alojamiento, que todas sean diferentes. De esa manera, si alguien se apodera de una contraseña, no tendrá acceso a todos los datos de tus clientes. Luego, almacena esas contraseñas en un administrador de contraseñas para que la probabilidad de una violación sea lo más reducida posible.
• Utiliza la autenticación multifactor: La mejor manera de mantener a tu empresa a salvo de los ciberataques es hacer que tus empleados utilicen la autenticación multifactor. Los inicios de sesión deben requerir una verificación por teléfono, correo electrónico o código antes de que se proporcione la información de la cuenta. Utiliza esta estrategia para detener a los piratas informáticos, ya que es poco probable que tengan acceso al dispositivo secundario.
• Limita el acceso de los empleados a información confidencial: Con demasiada frecuencia, los sistemas y la información vulnerables quedan expuestos a la posibilidad de errores humanos. Para reducir tus posibilidades de una violación del sistema, debes asegurarte de que solo los miembros del equipo de más confianza tengan credenciales de inicio de sesión para acceder a los datos confidenciales y de que todas las cuentas de la empresa para los empleados salientes se eliminen después de que se hayan ido. Lo peor que puedes hacer es olvidarte de cambiar los códigos de acceso de un empleado saliente descontento que podría poner en peligro documentos confidenciales.
• Utiliza una barra de herramientas anti-phishing: Las empresas que quieran protegerse de los ataques de phishing y los piratas informáticos pueden utilizar una barra de herramientas anti-phishing. Se trata de una extensión del navegador web que protege contra estos ataques cuando visitas un sitio web malicioso. Las barras de herramientas anti-phishing verifican todo en lo que haces clic en tiempo real y bloquean cualquier posible amenaza o ataque. Son especialmente útiles para las personas que no tienen conocimientos sobre ciberseguridad y desean asegurarse de que su información y datos estén protegidos sin importar el sitio que visiten.

Me interesa

• Los 10 ciberataques de phishing en los que más suelen «picar» los empleados
• Ciberseguridad: La vacuna contra la Covid-19 como reclamo para campañas de malware, phishing y BEC
• 10 consejos para evitar ataques de Phishing
• 7 formas prácticas de proteger a tu empresa de los piratas informáticos y los ataques de phishing