Uno de los peligros más comunes y latentes con los que tiene que lidiar la ciberseguridad empresarial es el phishing, en especial porque es un método de ciberataque difícil de detectar.
Te invitamos a conocer cómo funciona esta táctica para que aprendas a detectarla y prevengas el riesgo.
Antes de entrar de lleno en el cómo funciona el phishing, inicialmente debemos brindar una introducción de la técnica.
El phishing consiste en suplantar la identidad de instituciones legítimas, y usando ingeniería social, simular ser un contacto de confianza, conectar con un usuario y ganar su confianza.
Gracias a su disfraz, los phishers pueden consumar su estafa y obtener información privada, como datos de identificación o credenciales, de sus víctimas.
La palabra phishing viene de fishing (pescar) y al igual que en esta actividad se utilizan cebos para atrapar a la víctima.
El phishing funciona gracias a una serie de pasos que conduce el atacante para que su víctima le permita lograr su cometido.
Lo primero que sucede es la falsificación de identidad, en la que se toma como base una empresa o institución real. Para esto, el phisher investiga a la organización y emula su imagen corporativa para parecer legítimo en las comunicaciones que entable con los usuarios.
Después procede a elegir a sus víctimas para realizar el engaño. Este paso precisa de una investigación a través de fuentes de información pública (como redes sociales o sitios web), donde observa sus interacciones en línea, y pueden seleccionarlas basándose en sus características demográficas.
Una vez seleccionadas, se comienzan a emitir mensajes convincentes que generan confianza o crean sentido de urgencia. Estos mensajes suelen incluir enlaces o documentos que sirven como herramientas para el robo de información.
Los enlaces, al ser presionados, dirigen a los usuarios hacia páginas falsificadas que utilizan la apariencia y URLs similares a las de los sitios web legítimos. Estas páginas contienen formularios para que los usuarios proporcionen sus datos personales.
Puede incluso haber un paso de seguimiento, donde el phisher se comunique nuevamente con la víctima y, a través de la información robada, la inste a proporcionar aún más información sensible.
En el caso de los documentos, cuando se descargan pueden infectar a los equipos, ya que albergan malwares ocultos para causar daño y que incluso tienen la capacidad de propagarse por la red.
Los phishers utilizan técnicas de ingeniería social para manipular emocionalmente a las víctimas, haciendo que se sientan culpables o amenazadas para que actúen rápidamente sin pensar.
Cuando el phishing es efectivo y se ejecuta el cometido, es decir, la obtención de la información personal, se procede a darle uso a estos datos: desde acceder a las cuentas de las víctimas, robar su identidad para hacerse pasar por ellas y ejecutar movimientos financieros, o incluso vender la información en el mercado negro.
Existen diferentes tipos de phishing, y aunque su fórmula general es la que acabamos de revisar, todos tienen sus propias facultades.
La palabra spear en español significa arpón y los arpones van dirigidos a presas más concretas, como es en el caso de spear phishing, que se enfoca específicamente en una empresa o usuario y actúa en su contra para causarle daños
El spear phishing es un tipo de ataque que requiere preparación en donde el estafador investiga datos de entidades confiables para suplantar su identidad y conseguir engañar a su víctima, asegurando así un ciberataque con más probabilidades de éxito.
Este tipo de phishing funciona por medio del correo electrónico y busca recopilar información y comprometer las operaciones y activos por medio del siguiente proceso:
Inicialmente se realiza un reconocimiento en línea de los intereses de un usuario o empresa.
Los phishers recopilan información sustancial sobre su víctima, incluyendo nombres, cargos, intereses y contactos. Con estos datos los atacantes pueden personalizar los mensajes y hacerlos relevantes para su usuario objetivo.
Los correos se crean para persuadir a la víctima a que interactúe, ya sea abriendo un enlace o descargando un archivo malicioso, lo cual puede poner en riesgo la privacidad de sus datos y la seguridad de los sistemas internos.
El funcionamiento de esta forma de phishing es especialmente peligroso pues puede evadir las defensas de seguridad básicas y aprovechar las vulnerabilidades del software.
Incluso las herramientas de seguridad que analizan el comportamiento de los correos electrónicos pueden ser incapaces de detectar las tácticas de Spear Phishing, ya que los mensajes pueden no contener los elementos típicos de un ataque de phishing.
Pero definitivamente la vulnerabilidad más explotada por los atacantes es la falta de conocimiento que tiene su víctima sobre cómo identificar correos electrónicos sospechosos o amenazas en línea.
Al poner mayor esfuerzo en la búsqueda de información del usuario o empresa seleccionada, se hace sencillo para los phishers crear mensajes y páginas web más convincentes, lo cual eleva su índice de efectividad.
Los ataques de spear phishing no solo buscan un beneficio inmediato, sino que pueden tener consecuencias a largo plazo, como la pérdida de datos, daños a la reputación de la empresa y costos financieros significativos.
El whaling es una variante del phishing que persigue a personas con altos cargos en las empresas, conocidas también como “peces gordos”.
Estos sujetos, al estar en un nivel alto dentro de la jerarquía organizacional, tienen un amplio número de llaves y cuentan con autoridad para acceder a los fondos de la empresa.
Al igual que en el spear phishing, el whaling funciona mediante el diseño de mensajes específicos para los perfiles de los peces gordos, y de la misma forma pretenden dirigirlos a sitios web maliciosos que insertarán malware en sus equipos para robar información personal o los convencerán de compartirla por si mismos.
Cuando se tienen los datos de un alto cargo, el ataque puede agrandarse, pues se hace posible la suplantación de identidad desde la cual se puede ordenar a los subordinados compartir más datos y recursos, hacer que ingresen en el enlace del ataque o propagar un malware, lo que puede comprometer aún más la seguridad de la organización.
Los ataques de whaling pueden resultar en pérdidas financieras significativas, daños a la reputación de la empresa y la exposición de datos sensibles de los clientes de la empresa, lo que trae consigo repercusiones legales y regulatorias.
El vishing es una estafa telefónica en donde, el visher se hace pasar por una persona perteneciente a una organización o institución de confianza para su víctima, con la finalidad de ganarse su confianza y engañarla.
La palabra vishing proviene de Phishing de Voz y es un ataque que se realiza por medio de una llamada.
Previamente el delincuente recopila información para fingir legitimidad, y aprovechándose de la confiabilidad de este medio de comunicación, las víctimas son fácilmente convencidas de compartir sus datos personales.
A veces, incluso, se utilizan voces computarizadas que consiguen emular voces conocidas por los usuarios.
Este tipo de estafas se dan de manera frecuente mediante la suplantación de identidad de instituciones financieras.
En el caso de las estafas telefónicas, el atacante llama a la víctima para aclarar una supuesta situación de identificación de cargos, bloqueo o aprobación de una tarjeta y se solicitan datos personales para poder atender la situación. En ocasiones hasta se proporciona una URL por SMS para que el mismo usuario rellene un formulario.
La desventaja de este tipo de técnica es que es aún más difícil de detectar y detener pues resulta más sencillo para los delincuentes transmitir emociones y generar confianza por medio del habla.
Estas llamadas, normalmente, tienen la finalidad de obtener OTPs (contraseñas de uso único) o un código de verificación de 2FA (doble factor de autenticación), así que buscarán convencer a su víctima de compartirles dicha información.
El smishing y el vishing son realmente muy similares, solo que el primero se realiza por medio de SMS.
El medio de funcionamiento del Smishing son mensajes de texto alarmantes que tienen como propósito obtener información personal o financiera.
Llaman la atención de su víctima con mensajes que indican que ha sido registrada en un servicio y que puede cancelar su suscripción a través de un enlace (trampa), el cual redirige al usuario a un sitio web donde se le solicita que ingrese sus datos personales, información bancaria y credenciales.
También, algunas veces, se le incita a la víctima a descargar aplicaciones maliciosas que pueden sustraer información valiosa de su dispositivo.
Los atacantes envían mensajes de texto en masa a un gran número de personas, esperando que algunos de ellos caigan en la trampa.
Cuando el phishing logra su cometido es probable que a la información recabada se le dé un mal uso y termine siendo aprovechada para otros fraudes, robo de cuentas bancarias o una nueva suplantación de identidad.
También, los datos pueden ser utilizados para acceder a sistemas corporativos y comprometer la seguridad de la empresa con el fin de facilitar ciberataques aún más sofisticados.
El phishing trae a las empresas un impacto negativo tanto a nivel económico como social.
En el aspecto económico representa pérdidas de capital peores que cualquier otro tipo de fraude debido a los costos asociados con la recuperación de datos y la inversión en medidas de seguridad adicionales.
Su impacto social, en cambio, consiste en la disminución de la fiabilidad de la organización y por ende la pérdida de confianza por parte de los clientes que pueden optar por cambiarse a competidores que perciben como más seguros.
Esto puede llevar también a afectar la moral de los empleados, quienes pueden sentirse inseguros en su lugar de trabajo si la seguridad de la empresa es cuestionada.
Y, a largo plazo, puede resultar en un daño a la reputación difícil de remediar.
El phishing es sin duda una de las técnicas más peligrosas del ciberespacio, y deben tenerse cuidados para prevenirlos, especialmente en la capacitación para detectarlos pero también en herramientas que puedan proteger la información y privacidad empresarial.
Y ahí es donde entra Servnet, contamos con soluciones de ciberseguridad especializadas en organizaciones en crecimiento, como la tuya:
Pregunta por la que más se adapte a tus necesidades y nosotros te asesoramos en tu combate contra el phishing.