Phishing: definición y métodos en un vistazo

El phishing se considera uno de los métodos de fraude más antiguos desde que existe Internet. Los ciberdelincuentes intentan interceptar contraseñas sensibles, datos bancarios y de pago a través de la ingeniería social, correos electrónicos de phishing o malware. Mientras que el phishing clásico utilizaba enlaces y archivos adjuntos con redirecciones maliciosas o descargas de malware, los métodos de phishing modernos ya no se basan necesariamente en la entrega involuntaria de datos importantes.

Piensa en Caperucita Roja y el Lobo Feroz: el Lobo Feroz le pregunta a Caperucita Roja dónde vive, cómo se llama su abuela y qué lleva en su cesta. Caperucita Roja es tan inocente que comparte toda esa importante información personal con el educado lobo. Poco después, el lobo está en la casa y se hace pasar por la abuela de Caperucita. En este caso, el lobo malvado es como un correo electrónico de phishing.

Phishing se deriva de la palabra inglesa “fishing”, ya que las víctimas de phishing son atraídas como peces a un cebo. Los mensajes o correos electrónicos falsos de bancos, servicios de suscripción y pago o de supuestos amigos o compañeros de trabajo actúan como gusanos en un anzuelo. Los afectados se dan cuenta demasiado tarde de ser víctimas de phishing.

Incluso antes de la llegada de Internet, el robo de datos formaba parte del repertorio de los delincuentes. La mayoría de las veces, datos importantes como números PIN, direcciones, datos bancarios o números de teléfono eran el objetivo de quien espiaba usando el llamado método del “shoulder surfing”, simplemente mirando por encima del hombro de la víctima. El phishing se presenta como la evolución del robo de datos para la generación de Internet. Seguro que ya has recibido correos electrónicos de supuestas peticiones urgentes de tu banco, supuestas entregas de Amazon que nunca pediste o correos de desconocidos que te quieren dejar una herencia millonaria. La lista de métodos de phishing es larga y aumenta cada año.

El objetivo del phishing es siempre conseguir tus datos: datos bancarios, datos de la tarjeta de crédito, contraseñas para la banca en línea, tiendas online, cuentas de correo electrónico o backends de páginas web. Cuanto más personales y sensibles son los datos, más codiciados son. El robo de datos lo llevan a cabo estafadores que persuaden a sus víctimas para que introduzcan información personal en páginas falsas. Con los datos robados, los defraudadores que recurren al phishing pueden causarte daños financieros, suplantar tu identidad, realizar más ataques de phishing a tus contactos o corromper los datos de tu empresa.

El phishing también sirve a menudo como etapa preliminar para otros ataques con malware, ransomware, spyware y scareware. Los archivos adjuntos de correos electrónicos de phishing con macros o códigos maliciosos también se utilizan para instalar programas maliciosos en los ordenadores.

Al igual que las tecnologías y la competencia digital, los procedimientos y métodos de los defraudadores con phishing también están sujetos a cambios constantes. El phishing clásico seguía requiriendo la “ayuda” involuntaria de las víctimas del phishing, introduciendo datos personales o haciendo clic en enlaces y archivos adjuntos. Sin embargo, los nuevos métodos de phishing ya no se basan necesariamente en estas acciones.

Los tipos de phishing más comunes son:

• Phishing por correo electrónico: correos electrónicos falsos que suelen contener enlaces a páginas web dañinos, descargas o malware en archivos adjuntos.
• Phishing de páginas web: páginas web falsas que engañan para que se introduzcan datos importantes o se instalen programas maliciosos; también se conoce como spoofing.
• Vishing: el método vishing se refiere a las llamadas de estafa que utilizan el teléfono o la voz phishing.
• Smishing: smishing implica el uso de mensajes SMS o de mensajería falsos. Su objetivo es atraer a los usuarios para que hagan clic en los enlaces, descarguen malware o revelen datos.
• Suplantación de identidad en las redes sociales: en las redes sociales, la suplantación de identidad incluye el secuestro de cuentas de redes sociales o la creación de copias engañosas de perfiles de redes sociales. Estos pueden ser utilizados para robar datos sensibles de las víctimas y contactos.

Los enfoques comunes del phishing pueden dividirse en el spear phishing, ataques dirigidos a un objetivo específico con un uso intensivo de la ingeniería social, y los ataques de phishing masivo de base amplia.

En el spear phishing, los ciberdelincuentes espían a un pequeño grupo objetivo o a una sola víctima. Para ello, se utiliza la ingeniería social para recopilar información pública, como direcciones de correo electrónico, listas de amigos, trayectorias profesionales y títulos de trabajo en las redes sociales, las páginas web de las empresas o las páginas profesionales. A continuación, los delincuentes generan correos electrónicos que parecen ser auténticos recurriendo a la suplantación de la identidad de contactos, empresas, bancos o conocidos. En ellos, hay un enlace a un página web falsificada por profesionales que le pide que introduzca sus contraseñas, datos bancarios u otra información. Por otra parte, el correo falso está destinado a incitarle a hacer clic en archivos adjuntos maliciosos. Cabe señalar que el spear phishing puede preparar ataques a gran escala contra empresas o el robo de activos de la compañía mediante el espionaje de los datos de los directores generales.

Mientras que el sofisticado spear phishing se centra en la calidad de la falsificación, las campañas de phishing de base amplia se centran en la cantidad de víctimas. A menudo se puede reconocer el phishing masivo por las direcciones de correo electrónico obviamente falsas, los redireccionamientos a páginas web y URL sospechosas y sin cifrar, o la mala gramática. También pueden ser correos electrónicos de servicios de paquetería o de pedidos, aunque no hayas pedido nada, o mensajes de Amazon y PayPal, aunque no tengas ninguna cuenta. Este tipo de phishing tiene como objetivo robar la mayor cantidad posible de datos sensibles a través del mayor número de víctimas potenciales.

Las nuevas técnicas de phishing ya no dependen de la interacción de la víctima. Por lo tanto, hacer clic en enlaces peligrosos o introducir datos no es necesariamente una parte integral del phishing en las nuevas tácticas. Basta con iniciar un ataque de intermediario o ataque man-in-the-middle abriendo una página web o un correo electrónico infectado con código malicioso. En este caso, los ciberdelincuentes se interponen entre tu ordenador e Internet para interceptar tu comunicación por Internet, incluidos los datos sensibles. Lo maquiavélico es que en un ataque man-in-the-middle, a menudo es difícil detectar a los atacantes, que permanecen sin ser detectados entre tu ordenador y los servidores objetivo en Internet.

Para reconocer las tácticas de phishing y correos fraudulentos de phishing, debes prestar atención a las siguientes características típicas:

• Correos electrónicos o páginas web que utilizan una gramática evidentemente incorrecta o un español extranjerizado
• Correos electrónicos o páginas web de bancos u otros servicios que te pidan que introduzcas información personal o que verifiques tu cuenta o tus datos de pago.
• Direcciones de correo electrónico de remitentes supuestamente oficiales que no coinciden con el nombre de la empresa o del remitente
• Redirecciones a páginas web http o a URL sospechosas y uso de enlaces acortados por acortadores de URL como bit.ly
• Correos electrónicos con direcciones de remitentes sospechosos o solicitudes de acción rápida que contengan archivos adjuntos sospechosos como .exe, .docx, .xlsx o archivos ZIP y RAR.

Algunos casos de phishing a gran escala se hicieron especialmente públicos debido a su alcance:

La filtración de numerosos correos electrónicos del Partido Demócrata estadounidense en 2016 es uno de los casos de phishing más conocidos y con mayores consecuencias. Los grupos de hackers Fancy Bear y Cozy Bear enviaron mensajes de phishing a congresistas demócratas instándoles a cambiar ciertas contraseñas. A través del enlace incluido, los atacantes interceptaron los datos de acceso y obtuvieron acceso a varias cuentas de correo electrónico de políticos de alto rango. La publicación de los datos a través de Wikileaks influyó notablemente en la victoria del futuro presidente Donald Trump.

Entre finales de 2014 y mayo de 2015 se produjo probablemente uno de los mayores ataques de hackers dirigidos por Rusia contra el gobierno alemán. Comenzó con correos electrónicos de suplantación de identidad dirigidos a los diputados, a través de los cuales se introdujeron troyanos en el sistema informático interno para robar las contraseñas de los administradores. En abril de 2015, varios miembros del Bundestag, el Parlamento Federal alemán, recibieron supuestos correos electrónicos de las Naciones Unidas que instalaron más malware en el sistema informático del Bundestag.

En 2017, los estafadores lograron robar alrededor de 100 millones de dólares estadounidenses a través de correos electrónicos de phishing y una identidad empresarial falsa. El truco tuvo éxito porque la empresa falsa apenas podía distinguirse de un socio comercial real de Google y Facebook. Los empleados de las grandes empresas transfirieron, sin saberlo, enormes cantidades de dinero a las cuentas de los hackers en el extranjero.

Aunque las grandes empresas, instituciones y gobiernos son el principal objetivo de los ataques de phishing, cualquier usuario corre el riesgo de caer en el phishing online. Por ello, tanto Newtral como el Instituto Nacional de Ciberseguridad de España publican regularmente ejemplos y métodos de ataque actuales.