¿Qué tipo de ataque es el phishing y cómo puedes prevenirlo?

¿Qué tipo de ataque es el phishing y cómo puedes prevenirlo?

En un mundo hiperconectado como el que tenemos hoy en día, es imprescindible que toda persona y organización conozca qué tipo de ataque es el phishing y lo que debería hacer para evitar caer en él. Estamos ante uno de los ataques más populares y que ha venido creciendo incluso en las grandes corporaciones.
 
Además, cuidar la ciberseguridad y tener conciencia cibernética es sobre todo importante en México, que durante el 2020 ocupaba el noveno lugar como uno de los países con mayor densidad de ciber víctimas. 

¿Qué tipo de ataque es el phishing?

El phishing, también conocido como ataque de suplantación de identidad, es un tipo de ataque de ingeniería social en el que personas malintencionadas engañan a sus víctimas para que entreguen información sensible o instalen malware.
 
Para que entres en contexto, la ingeniería social consiste en explotar las debilidades humanas para obtener acceso a información personal y a sistemas protegidos. Básicamente, se trata de manipular a las personas, en lugar de hackear los sistemas informáticos, para penetrar en una cuenta privada.
 
Ahora bien, lo más habitual es que un ataque de phishing ocurra a través de correos electrónicos maliciosos, en donde los remitentes parecen ser de confianza o conocidos para el destinatario… pero todo es un engaño. No obstante, también puede ocurrir a través de redes sociales, aplicaciones de mensajería o vía telefónica, por nombrar algunos ejemplos. 

Por lo general, las campañas de phishing suelen emplear uno de estos dos métodos básicos: 

  • Se adjunta un archivo malicioso con un nombre tentador, como "FACTURA", que al descargarlo y ejecutarlo termina por instalar un malware en el dispositivo de la víctima.
  • Se enlaza a una web maliciosa bajo la máscara de ser un sitio legítimo, pudiendo ser un clon de una web de uso frecuente. Al entrar en ella, la víctima puede terminar por descargar un malware o ingresar sus credenciales (que serán enviadas directamente al criminal).

Tipos de ataques phishing

En vista de que los cibercriminales pueden usar distintos vectores de ataque, existen diversos tipos de ataques phishing que suelen afectar a empresas de todo el mundo. Algunos de los más comunes son los siguientes: 

Ataque spear phishing (ataque dirigido)

En el spear phishing los atacantes se dirigen a personas específicas en lugar de hacerlo a un amplio grupo de personas. El propósito es personalizar las comunicaciones y parecer mucho más auténticos. 

Este tipo de ataque suele ser el primer paso que siguen los cibercriminales para penetrar en las defensas de una empresa y llevar a cabo un ataque dirigido. De hecho, el 95% de los ataques a redes empresariales son el resultado de un ataque spear phishing exitoso. 

Ataques BEC (Business Email Compromise)

Esta es una forma de ataque dirigido en la que los delincuentes intentan engañar a miembros de una empresa para que transfieran fondos o revelen información sensible. 

Los ataques BEC están muy bien diseñados, ya que el atacante hace un estudio previo y se hace pasar por un pasar por un directivo de la empresa, un vendedor o un proveedor, por lo que a veces son difíciles de detectar. El ataque BEC es una amenaza para todas las organizaciones, independientemente de su tamaño o del sector al que pertenezcan. 

Ataque de Whaling

El whaling es un ataque de phishing mucho más selectivo que los anteriores, pues el correo electrónico está dirigido directamente a los altos ejecutivos de una empresa. 

Al igual que en el ataque BEC, está diseñado para animar a las víctimas a realizar una acción secundaria, como iniciar una transferencia de fondos, aunque en este caso la situación puede ser mucho más grave. 

Smishing y vishing

Tanto en el smishing como en el vishing, el teléfono sustituye al correo electrónico como método de comunicación. En el smishing (SMS phishing), los ciberdelincuentes envían mensajes de texto para engañar a sus víctimas y, en el vishing (voice phishing), lo hacen a través de una conversación telefónica. 

Formas de evitar el phishing en una empresa

No diremos que las siguientes son reglas para evitar el phishing, pero sí son prácticas que debería seguir cualquier organización que quiera evitar ser víctima de un ataque de ingeniería social.
 

  • Primero. Adopta estrategias y soluciones de ciberseguridad sólidas para evitar que los ataques de phishing traspasen tus defensas. Y, si llegasen a tener éxito, que no lleguen muy lejos.
  • Segundo. Capacita a tus colaboradores, ya que cualquier miembro de la empresa puede ser víctima de un ataque por el simple hecho de desconocer cómo sus acciones pueden repercutir en la empresa. La concientización de los usuarios en temas de ciberseguridad ayudará a las personas a comprender los signos de un ataque de phishing y las posibles consecuencias.
  • Tercero. Evalúa la eficacia de la capacitación a través de ataques de phishing simulado, ya que te ayudarán a descubrir cuán eficaz ha sido la formación del personal o qué necesitas corregir.

Aplica pruebas de suplantación de identidad y descubre las vulnerabilidades de tu organización

Las pruebas de phishing consisten en realizar ataques controlados desde varios vectores con el objetivo de determinar las vulnerabilidades que tiene la organización ante este tipo de ataques y de brindar un aprendizaje significativo a los miembros de la organización. 

Durante las pruebas se hacen ataques de phishing tradicionales (dirigidos y no dirigidos) y ataques de phishing y vishing para cubrir todas las posibilidades. 

Luego de aplicar las pruebas, obtendrás un informe con los resultados. Este te será muy útil para conocer la situación actual de la empresa con respecto a los ataques de suplantación de identidad y para determinar cuáles serán los siguientes pasos a seguir.

Marisol Viveros

Marisol Viveros

Ingeniera en Sistemas Computacionales con Maestría en Admnistración de TI en el Tec de Monterrey. Directora Comercial de iDric con más de 10 años de experiencia en las soluciones de la marca de ManageEngine. Certificada en ITIL Foundations y con diplomado en Business Case Development