HACKING SNACKS

¿Qué es el phishing? Ejemplos y técnicas de detección

Que es el phising en la ciberseguridad

Índice

El phishing es un ciberataque que consiste en engañar a las víctimas para que revelen o cedan información personal, profesional, financiera o para que realicen acciones que comprometan su datos.

En este artículo, te explicaré qué es el phishing, qué técnicas utilizan los hackers y cómo puedes protegerte y detectar un ataque de phishing.

Introducción al phishing

El phishing es una de las amenazas más conocidas dentro de la ciberseguridad. Según un informe de la empresa de seguridad Proofpoint, el 75% de las organizaciones sufrieron algún tipo de ataque de phishing en 2022, y el 74% de ellos tuvieron éxito. El phishing puede afectar tanto a personas como a empresas, y pueden causar el robo de identidad, el fraude bancario, el secuestro de cuentas, el ransomware o el espionaje.

El phishing se basa en la ingeniería social, es decir, en la manipulación psicológica de las personas para que hagan lo que el atacante quiere. El phishing suele aprovecharse de la curiosidad, el miedo o la confianza de las víctimas para engañarlas.

Por ejemplo, un correo electrónico de phishing puede hacerse pasar por un banco, una empresa de servicios, una red social o un amigo y pedirle a la víctima que ingrese sus datos en una página web falsa prácticamente igual que la original, que abra un archivo adjunto malicioso o que haga clic en un enlace infectado.

Caso real de phishing

En mi caso he tenido varias experiencias reales con intentos de phishing que por suerte se quedaron en “intentos”. Experiencias desde el robo de una cuenta bancaria hasta la instalación de troyanos mediante entrevistas de trabajo. Actualmente, con la llegada de las herramientas de IA, la ingeniería social se ha vuelto más peligrosa, utilizan software para generar voces que reconoces y de esta manera hacer mucho más real el phishing, lo que se conoce como vishing o phishing por voz.

Os voy a contar mi experiencia con el intento de phishing en una postulación de trabajo.

Mientras navegaba un día por LinkedIn, vi una oferta de trabajo que me llamó la atención por sus increíbles condiciones salariales. Pero, la verdad sea dicha, ya me pareció sospechoso desde el principio.

Inicié una búsqueda sobre la empresa y la reclutadora. A pesar de que la empresa existía, no me daba la confianza suficiente, por eso mismo, postulé. Al cabo de varios minutos, me contestaron y me enviaron un enlace para ver más información sobre el proyecto. Un enlace que descargaba un .zip, dentro de este archivo comprimido había varias imágenes reales y dos binarios .exe, ocultándose como .docx y .pdf, donde supuestamente venían las funciones y condiciones detalladas.

¿Quieres saber qué había dentro de esos archivos?

Podrás verlo próximamente en el canal de YouTube, así que suscríbete para no perdértelo.

Por supuesto, reporté los archivos y denuncié la oferta de empleo.

¿Qué es el phishing?

El término phishing proviene de la palabra inglesa fishing (pesca), ya que el atacante lanza un anzuelo (el mensaje malicioso) para atrapar a su presa (la víctima).

El phishing se puede clasificar en diferentes tipos según el medio utilizado, el objetivo del ataque o la personalización del mensaje. Algunos de los tipos de ataques phishing más comunes son:

Phishing por correo electrónico

Es el más habitual y consiste en enviar correos electrónicos falsos que simulan ser de una empresa/persona legítima y que solicitan información privada o invitan a realizar alguna acción. Por ejemplo, un correo que dice que tu cuenta ha sido bloqueada y que debes verificar tu identidad haciendo clic en un enlace.

Phishing por teléfono

También conocido como vishing (voice phishing), consiste en realizar llamadas telefónicas falsas solicitando información privada. Imagínate que el atacante utiliza un voz similar a la de tu gestor bancario y recibes una llamada que dice que han intentado entrar en tu cuenta de banco y que por seguridad necesitan un código que llegará a tu teléfono. Ese código que llega a tu teléfono realmente es el código para iniciar sesión en tu cuenta.

Phishing por SMS:

Phishing por sms o smishing, consiste en realizar el ataque mediante mensajes de texto falsos. Por ejemplo, un mensaje que dice que tu tarjeta ha sido bloqueada y que debes iniciar sesión en este enlace para volver a activarla.

Phishing dirigido

El spear phishing, consiste en personalizar los mensajes falsos para adaptarlos al perfil de la víctima y aumentar su credibilidad. Por ejemplo, un correo electrónico que utiliza el nombre real de la víctima, su puesto de trabajo o sus intereses personales.

Phishing masivo

Consiste en enviar los mensajes o emails falsos a un gran número de destinatarios sin personalizarlos, esperando que alguno caiga en la trampa. Por ejemplo, un correo electrónico genérico que dice que hay una actualización importante para tu sistema operativo y que debes descargarla haciendo clic en un enlace.

Phishing avanzado

También conocido como whaling (ballena), consiste en dirigirse a personas con alto nivel jerárquico o responsabilidad dentro de una empresa, como directivos, gerentes o administradores. El objetivo es obtener información confidencial. Recuerdo en un antiguo trabajo, que nos hicieron una llamada haciéndose pasar por el CEO de la empresa solicitando acceso a cierta documentación. En la llamada el atacante parecía estar cabreado y claro, cómo vas a decirle al CEO que no le das acceso a esa documentación. Por suerte no consiguió acceder a dicha documentación, pero fuimos víctimas de la ingeniería social.

Técnicas comunes de phishing utilizadas por los hackers

Los hackers o cibercriminales utilizan diferentes técnicas para realizar phishing y engañar a las víctimas. Algunas de las más comunes son:

Suplantación de identidad

Consiste en hacerse pasar por una empresa real, utilizando su nombre, su logo, su dominio o su diseño. Por ejemplo, un correo electrónico que utiliza el dominio @paypa1.com en lugar de @paypal.com.

Falsificación de páginas web

Consiste en crear páginas web que imitan el aspecto y el funcionamiento de las páginas web reales, pero que en realidad son falsas y están diseñadas para robar la información que se introduce en ellas. Por ejemplo, una página web que simula ser la de tu banco, pero que tiene una dirección diferente o un certificado de seguridad inválido. También utilizan DNS spoofing en redes públicas para simular una página web real.

Falsificación de archivos adjuntos

Consiste en enviar archivos adjuntos que aparentan ser documentos legítimos y contienen código malicioso que se ejecuta al abrirlos. Por ejemplo, un archivo PDF que simula ser una factura, pero que contiene un virus que infecta el equipo.

Falsificación de enlaces

Consiste en insertar enlaces que aparentan ser legítimos, pero que en realidad dirigen a páginas web falsas o a archivos maliciosos. Por ejemplo, un enlace que dice www[.]google[.]com, pero que en realidad es www[.]gooogle[.]com (con tres oes).

Ingeniería social

Consiste en utilizar técnicas psicológicas para persuadir a las víctimas para que hagan lo que el atacante quiere. Por ejemplo, crear un sentido de urgencia, de oportunidad, de autoridad o de confianza. La ingeniería social puede aplicarse en casi cualquier ataque de phishing.

Cómo protegerse del phishing: consejos y mejores prácticas

La mejor forma de evitar caer en el phishing es prestar atención cuando navegas por Internet y seguir una serie de consejos que nos ayuden a identificar y prevenir este tipo de ataques. Algunas de estas recomendaciones son:

  • No abrir ni responder a correos electrónicos, mensajes de texto o llamadas telefónicas sospechosas o no solicitadas que nos pidan información personal o financiera, o que nos inviten a hacer clic en un enlace o descargar un archivo adjunto.
  • Verificar la identidad del remitente antes de proporcionar cualquier dato o realizar cualquier acción. Para ello, podemos comprobar la dirección de correo electrónico o el número de teléfono.
  • Revisar la URL del sitio web al que accedemos antes de introducir cualquier dato o realizar cualquier operación. Para ello, podemos fijarnos en si tiene el protocolo HTTPS (que indica que es seguro), si coincide con el nombre de la empresa que dice ser o si tiene algún error ortográfico o caracter extraño.
  • Utilizar un antivirus o una VPN, así como evitar conectarnos a redes wifi públicas o no seguras que puedan ser vulnerables al phishing.
  • Utilizar contraseñas complejas y activar la verificación en dos pasos con nuestro correo electrónico o teléfono móvil.

Y por último, denunciar cualquier intento de phishing que detectemos o suframos, tanto a la empresa suplantada como a la policía. De esta forma, podemos proteger a otras posibles víctimas.

Cómo denunciar un phishing o fraude en España

Para denunciar un intento de phishing puedes hacerlo a través de la página web de INCIBE (Instituto Nacional de Ciberseguridad). Guarda el mensaje y toda la información que tengas acerca del fraude y elige el portal web que más cómodo te parezca.

Únete a hacking snacks y recibe el mejor contenido sobre ciberseguridad y hacking ético

Al suscribirte, aceptas la política de privacidad de rinku.tech y recibir noticias, contenidos, comunicaciones relacionados con la web, gratuitos y premium.

¿Quieres escuchar nuestra lista de música ?👇

CTA

Al suscribirte, aceptas la política de privacidad de Rinku.tech y recibir noticias, contenidos, comunicaciones relacionados con la web, gratuitos y premium.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *