¿Cuál es el objetivo de un ataque de phishing?

Sin ir muy lejos, el objetivo de un ataque phishing es conseguir información confidencial, como contraseñas, credenciales o información bancaria, que luego los atacantes pueden utilizar para hacer lo que les venga en gana. Las intenciones son maliciosas y son acciones que pueden generar grandes pérdidas económicas o afectar la imagen corporativa y la reputación de una empresa.

Por esta razón, el phishing es considerado como uno de los ciberataques más sencillos y peligrosos al mismo tiempo. Son ataques que no requieren de muchos conocimientos y que van direccionados al elemento más débil: el humano. Ya que, independientemente de la seguridad del sistema, los atacantes no buscan vulnerabilidades técnicas, sino que se aprovechan de la ingeniería social.

¿Qué es la ingeniería social?

Aunque en ciencias sociales la ingeniería social se refiere al esfuerzo de influir en los comportamientos y actitudes de las personas a gran escala, como, por ejemplo, hacer que la población tire los residuos en el lugar debido o que use el transporte público correctamente, hoy en día es un término que se utiliza, sobre todo, para hacer referencia a una gran variedad de vectores de ciberataques en los que el objetivo es aprovecharse del arte del engaño.

Los atacantes suelen emplear métodos como phishing, smishing, BEC (Business Email Compromise), perfiles falsos en redes sociales y otras técnicas que involucran engañar y manipular a los usuarios.

Todos estos métodos funcionan de maneras distintas, pero casi siempre siguen una misma idea: manipular las acciones de una persona. Por lo general, los atacantes presentan contenido “genuino y digno de confianza” delante de sus víctimas, atrayéndolas a hacer clic en un sitio web o a descargar un archivo, lo que les permite robar credenciales o instalar malware en los dispositivos.

¿Qué se conoce como phishing?

Si te fijas un poco, la palabra “phishing” es bastante similar al término en inglés “fishing”, que en español significa “pesca”. Son términos que se pronuncian igual y que tienen el mismo concepto: tirar una carnada y esperar a que un pez muerda el anzuelo. La diferencia es, que en el phishing quien muerde el anzuelo no es un pez, sino una persona.

Así como en la pesca, hay distintas variantes del phishing. Una técnica muy popular, y más peligrosa aún, es el spear phishing. Imagina que, al momento de pescar, en lugar de usar una carnada con anzuelo, utilizas una lanza para atrapar directamente a un pez que tienes a la vista.

En el spear phishing la persona objetivo es muy específica. El target suele ser algún ejecutivo en puestos importantes de la empresa, por lo que obtener sus credenciales puede ser muy beneficioso para el atacante y bastante perjudicial para la organización.

Ahora bien, ¿cómo funciona el phishing? Básicamente, los ciberdelincuentes envían correos electrónicos fraudulentos a sus víctimas. Por ejemplo, los atacantes pueden hacerse pasar por una entidad bancaria o una persona conocida por ti, y solicitarte ejecutar una acción. Muchas personas son sorprendidas porque no se esperan el engaño y actúan como si fuese una situación normal.

Por eso, el phishing fue el segundo tipo de ciberataque más común a nivel mundial durante 2021, en donde un 41% de empresas experimentaron algún ataque de este estilo, tan solo por detrás del malware, que fue experimentado por un 44% de las empresas.

Phishing: objetivo del ataque

El objetivo de un ataque phishing, principalmente, es suplantar la identidad de alguien de confianza y estafar a las personas en cuestión. Recuerda que en un ataque de ingeniería social se busca engañar a los usuarios con el propósito de obtener credenciales, contraseñas, datos financieros u otra información sensible, que luego pueden usarse a placer por los atacantes.

Si bien el objetivo del ataque puede ser una persona en específico, no necesariamente es quien sufrirá las consecuencias. Por ejemplo, si el ataque va dirigido a un director corporativo, este suele tener acceso a cualquier área del sistema, por lo que estas víctimas son solo un puente para un objetivo mayor, que es ingresar al sistema de la empresa y provocar daños a toda la organización.

Es decir, el objetivo puede ser personal, pero podría alcanzar a toda la empresa.

¡No caigas! Aprende a evitar el phishing

Usualmente, con solo prestar atención al remitente y a los datos dentro del email, ya podrás darte cuenta de si se trata de phishing o no. Sin embargo, a medida que el ataque sea más avanzado, será más complicado notar la diferencia entre un correo electrónico real y uno falso.

Algunas cosas que puedes hacer son:

  • Instala y mantén actualizado un antivirus con protección anti-phishing.
  • Verifica el remitente. Ante la duda, mejor cerciórate de la veracidad del mismo.
  • No respondas correos electrónicos o envíes información sensible sin antes tener certeza de que estás hablando con alguien de confianza.
  • No descargues ficheros ni ejecutables de dudosa procedencia. Tampoco ejecutes URL acortadas si el remitente no te brinda la suficiente confianza.
  • Verifica la veracidad de la web antes de realizar pagos si te ha redireccionado un email.

Más allá de esto, lo más importante es generar conciencia entre todos los miembros de la organización. Por eso, en iDric dictamos cursos de concientización en ciberseguridad a empresas, gerentes y colaboradores para que puedan trabajar con mayor tranquilidad y con menos riesgos de ser víctimas de un ataque.

También tienes la oportunidad de simular ataques a los correos electrónicos dentro de la organización, tal y como si se tratase de un ataque de phishing real. Así podrás descubrir si la organización está preparada para un ataque y qué necesitas para fortalecer tu ciberseguridad.


Si estás interesado en conocer más acerca de nuestra oferta de valor y cómo podemos ayudarte a resolver los retos de gestión de servicios de TI en tu organización, te invitamos a conocer todo un nuevo mundo de posibilidades.

En iDric estamos comprometidos con ofrecerte soluciones integrales, de calidad y respaldadas por fabricantes reconocidos en la industria. ¡Contáctanos y descubre lo que podemos hacer por ti!