El phishing es un tipo de ataque de ingeniería social que a menudo se usa para robar datos de usuarios, incluidas las credenciales de inicio de sesión y los números de tarjetas de crédito. Ocurre cuando un atacante, haciéndose pasar por una entidad de confianza, engaña a la víctima para que abra un correo electrónico, un mensaje instantáneo o un mensaje de texto.
¿Qué es el phising?
El phishing es un tipo de ataque de ingeniería social que a menudo se usa para robar datos de usuarios, incluidas las credenciales de inicio de sesión y los números de tarjetas de crédito. Ocurre cuando un atacante, haciéndose pasar por una entidad de confianza, engaña a la víctima para que abra un correo electrónico, un mensaje instantáneo o un mensaje de texto. Luego, se engaña al destinatario para que haga clic en un enlace malicioso , lo que puede provocar la instalación de malware, la congelación del sistema como parte de un ataque de ransomware o la revelación de información confidencial .
Un ataque puede tener resultados devastadores. Para las personas, esto incluye compras no autorizadas, el robo de fondos o el robo de identidad.
Además, el phishing se usa a menudo para afianzarse en las redes corporativas o gubernamentales como parte de un ataque mayor, como un evento de amenaza persistente avanzada (APT). En este último escenario, los empleados se ven comprometidos para eludir los perímetros de seguridad, distribuir malware dentro de un entorno cerrado u obtener acceso privilegiado a datos protegidos.
Una organización que sucumbe a un ataque de este tipo suele sufrir graves pérdidas financieras además de una disminución de la cuota de mercado, la reputación y la confianza del consumidor. Según el alcance, un intento de phishing puede convertirse en un incidente de seguridad del que la empresa tendrá dificultades para recuperarse.
Ejemplos de ataques con phising
- Un correo electrónico falsificado aparentemente de myuniversity.edu se distribuye en masa a la mayor cantidad posible de profesores.
- El correo electrónico afirma que la contraseña del usuario está a punto de caducar. Se dan instrucciones para ir a myuniversity.edu/renewal para renovar su contraseña dentro de las 24 horas.
Varias cosas pueden ocurrir haciendo clic en el enlace. Por ejemplo:
- El usuario es redirigido a myuniversity.edurenewal.com , una página falsa que aparece exactamente como la página de renovación real, donde se solicitan contraseñas nuevas y existentes. El atacante, monitoreando la página, secuestra la contraseña original para acceder a áreas seguras en la red de la universidad.
- El usuario es enviado a la página de renovación de contraseña real. Sin embargo, mientras se le redirige, se activa un script malicioso en segundo plano para secuestrar la cookie de sesión del usuario. Esto da como resultado un ataque XSS reflejado , que otorga al perpetrador acceso privilegiado a la red de la universidad.
Técnicas de phising
Estafas de phising por correo electrónico
El phishing por correo electrónico es un juego de números. Un atacante que envía miles de mensajes fraudulentos puede obtener información importante y sumas de dinero, incluso si solo un pequeño porcentaje de los destinatarios cae en la estafa. Como se vio anteriormente, existen algunas técnicas que los atacantes utilizan para aumentar sus tasas de éxito.
Por un lado, harán todo lo posible para diseñar mensajes de phishing para imitar correos electrónicos reales de una organización falsificada. El uso de las mismas frases, tipos de letra, logotipos y firmas hace que los mensajes parezcan legítimos.
Además, los atacantes generalmente intentarán empujar a los usuarios a la acción creando un sentido de urgencia. Por ejemplo, como se mostró anteriormente, un correo electrónico podría amenazar con el vencimiento de la cuenta y colocar al destinatario en un temporizador. Aplicar tal presión hace que el usuario sea menos diligente y más propenso a cometer errores.
Por último, los enlaces dentro de los mensajes se parecen a sus contrapartes legítimas, pero generalmente tienen un nombre de dominio mal escrito o subdominios adicionales. En el ejemplo anterior, la URL myuniversity.edu/renewal se cambió a myuniversity.edurenewal.com . Las similitudes entre las dos direcciones dan la impresión de un enlace seguro, lo que hace que el destinatario sea menos consciente de que se está produciendo un ataque.
Suplantación de identidad
Spear phishing se dirige a una persona o empresa específica, a diferencia de usuarios de aplicaciones aleatorios. Es una versión más profunda del phishing que requiere un conocimiento especial sobre una organización, incluida su estructura de poder.
Un ataque podría desarrollarse de la siguiente manera:
- Un perpetrador investiga los nombres de los empleados dentro del departamento de marketing de una organización y obtiene acceso a las últimas facturas del proyecto.
- Haciéndose pasar por el director de marketing, el atacante envía un correo electrónico a un gerente departamental de proyectos (PM) usando una línea de asunto que dice Factura actualizada para las campañas del tercer trimestre. El texto, el estilo y el logotipo incluido duplican la plantilla de correo electrónico estándar de la organización.
- Un enlace en el correo electrónico redirige a un documento interno protegido por contraseña, que en realidad es una versión falsificada de una factura robada.
- Se solicita al PM que inicie sesión para ver el documento. El atacante roba sus credenciales y obtiene acceso completo a áreas confidenciales dentro de la red de la organización.
Como prevenir el phising
La protección contra ataques de phishing requiere que tanto los usuarios como las empresas tomen medidas.
Para los usuarios, la vigilancia es clave. Un mensaje falsificado a menudo contiene errores sutiles que exponen su verdadera identidad. Estos pueden incluir errores ortográficos o cambios en los nombres de dominio, como se vio en el ejemplo de URL anterior. Los usuarios también deben detenerse y pensar por qué están recibiendo ese correo electrónico.
Para las empresas, se pueden tomar una serie de pasos para mitigar los ataques de phishing y de phishing selectivo:
- La autenticación de dos factores (2FA) es el método más efectivo para contrarrestar los ataques de phishing, ya que agrega una capa de verificación adicional al iniciar sesión en aplicaciones confidenciales. 2FA se basa en que los usuarios tengan dos cosas: algo que saben, como una contraseña y un nombre de usuario, y algo que tienen, como sus teléfonos inteligentes. Incluso cuando los empleados están comprometidos, 2FA evita el uso de sus credenciales comprometidas, ya que estas por sí solas son insuficientes para ingresar.
- Además de usar 2FA, las organizaciones deben aplicar políticas estrictas de administración de contraseñas. Por ejemplo, se debe exigir a los empleados que cambien con frecuencia sus contraseñas y que no se les permita reutilizar una contraseña para múltiples aplicaciones.
- Las campañas educativas también pueden ayudar a disminuir la amenaza de ataques de phishing mediante la aplicación de prácticas seguras, como no hacer clic en enlaces de correo electrónico externos.
