Actualizado: 17 de mayo de 2024
Colaborador: Mateo Kosinski
Los ataques de phishing utilizan correos electrónicos, mensajes de texto, llamadas telefónicas o sitios web fraudulentos para engañar a las personas y hacer que compartan datos confidenciales, descarguen malware o se expongan de otro modo a la ciberdelincuencia.
Las estafas de phishing son una forma de ingeniería social. A diferencia de otros ciberataques que se dirigen directamente a redes y recursos, los ataques de ingeniería social utilizan errores humanos, supuestos falsosy y tácticas de presión para manipular a las víctimas para que se perjudiquen involuntariamente a sí mismas o a sus organizaciones.
En un intento típico de phishing, un hacker se hace pasar por alguien en quien la víctima confía, como un colega, jefe, figura de autoridad o representante de una marca conocida. El hacker envía un mensaje a la víctima para que pague una factura, abra un archivo adjunto, haga clic en un enlace o realice cualquier otra acción.
Al confiar en la supuesta fuente del mensaje, el usuario sigue las instrucciones y cae de lleno en la trampa del estafador. Esa "factura" puede llevar directamente a la cuenta de un hacker. Ese archivo adjunto podría instalar ransomware en el dispositivo del usuario. Ese enlace podría llevar al usuario a un sitio web que roba números de tarjetas de crédito, números de cuentas bancarias, credenciales de inicio de sesión u otros datos personales.
El phishing es muy popular entre los ciberdelincuentes y muy eficaz. Según el informe "Coste de una filtración de datos de IBM, el phishing es el vector de vulneración de datos más común y representa el 16 % de todas las vulneraciones. Las filtraciones causadas por phishing cuestan a las organizaciones una media de 4,76 millones de dólares, cifra superior al coste medio global de las filtraciones, que es de 4,45 millones de dólares.
El phishing es una amenaza importante porque se aprovecha de las personas más que de las vulnerabilidades tecnológicas. Los atacantes no necesitan violar los sistemas directamente ni burlar las herramientas de ciberseguridad . Pueden engañar a personas que tienen acceso autorizado a su objetivo —ya sea dinero, información confidencial o cualquier otra cosa— para que hagan el trabajo sucio.
Los ciberdelincuentes pueden ser estafadores solitarios o bandas criminales sofisticadas. Pueden utilizar el phishing para muchos fines maliciosos, como el robo de identidad, el fraude con tarjetas de crédito, el robo de dinero, la extorsión, la apropiación de cuentas, el espionaje y mucho más.
Los objetivos del phishing van desde personas corrientes hasta grandes empresas y organismos públicos. En uno de los ataques de phishing más conocidos, hackers rusos utilizaron un falso correo electrónico de restablecimiento de contraseña para robar miles de correos electrónicos de la campaña presidencial estadounidense de Hillary Clinton en 2016.1
Dado que las estafas de phishing manipulan a seres humanos, las herramientas y técnicas estándar de supervisión de redes no siempre pueden detectar estos ataques en curso. De hecho, en el ataque a la campaña de Clinton, incluso el servicio de asistencia informática de la campaña pensó que los correos electrónicos fraudulentos de restablecimiento de contraseña eran auténticos.
Para combatir el phishing, las organizaciones deben combinar herramientas avanzadas de detección de amenazas con una sólida formación de los empleados para garantizar que los usuarios puedan identificar con precisión y responder con seguridad a los intentos de estafa.
Nuestro equipo X-Force de hackers, respondedores, investigadores y analistas de inteligencia está a su disposición para hablar de los retos de seguridad específicos de su organización y de cómo podemos ayudarle.
Regístrese para obtener el X-Force Threat Intelligence Index
La palabra "phishing" juega con el hecho de que los estafadores utilizan "señuelos" atractivos para engañar a sus víctimas, del mismo modo que los pescadores utilizan cebos para enganchar a los peces. En el phishing, los señuelos son mensajes fraudulentos que parecen creíbles y evocan emociones fuertes como el miedo, la codicia y la curiosidad.
Los tipos de señuelos que utilizan los estafadores de phishing dependen de a quién y qué persiguen. Algunos ejemplos comunes de ataques de phishing incluyen:
n el phishing masivo por correo electrónico, los estafadores envían indiscriminadamente mensajes de spam al mayor número posible de personas, con la esperanza de que una fracción de los objetivos caiga en el ataque.
Los estafadores suelen crear correos electrónicos que parecen proceder de grandes empresas legítimas, como bancos, minoristas en línea o fabricantes de aplicaciones populares. Al hacerse pasar por marcas conocidas, los estafadores aumentan las posibilidades de que sus objetivos sean clientes de esas marcas. Si un objetivo interactúa habitualmente con una marca, es más probable que abra un correo electrónico de phishing que pretenda proceder de esa marca.
Los ciberdelincuentes hacen todo lo posible para que los correos electrónicos de phishing parezcan auténticos. Es posible que usen el logotipo y la marca del remitente suplantado. Pueden utilizar el logotipo y la marca del remitente suplantado. Incluso pueden copiar un correo electrónico auténtico del remitente suplantado y modificarlo con fines maliciosos.
Los estafadores escriben líneas de asunto de correo electrónico para apelar a emociones fuertes o crear una sensación de urgencia. Los estafadores astutos utilizan asuntos a los que el remitente suplantado podría dirigirse realmente, como "Problema con su pedido" o "Se adjunta su factura".
El cuerpo del correo electrónico ordena al destinatario que realice una acción aparentemente razonable que tiene como resultado la divulgación de información confidencial o la descarga de malware. Por ejemplo, un enlace de phishing podría decir: "Haga clic aquí para actualizar su perfil". Cuando la víctima hace clic en ese enlace malicioso, le lleva a un sitio web falso que roba sus credenciales de inicio de sesión.
Algunos estafadores programan sus campañas de phishing para que coincidan con días festivos y otros acontecimientos en los que la gente es más susceptible a la presión. Por ejemplo, los ataques de phishing a clientes de Amazon suelen dispararse en torno al Prime Day, el evento anual de ventas del minorista online.2 Los estafadores envían correos electrónicos sobre ofertas falsas y problemas de pago para aprovecharse de la guardia baja de la gente.
Spear phishing es un ataque de phishing dirigido a un individuo específico. El objetivo suele ser alguien con acceso privilegiado a datos confidenciales o con autoridad especial que el estafador puede explotar, como un director financiero que puede mover dinero de las cuentas de la empresa.
Un ciberdelincuente que utiliza el spear phishing estudia al objetivo con el fin de reunir la información necesaria para suplantar o hacerse pasar por una persona o entidad en la que realmente confía (un amigo, un jefe, un colega, un proveedor o una institución financiera de confianza). Las redes sociales y los sitios de contactos profesionales —donde la gente felicita públicamente a sus compañeros de trabajo, promociona a sus proveedores y tiende a compartir demasiado— son ricas fuentes de información para la investigación del spear phishing.
Estos ciberdelincuentes utilizan su investigación para elaborar mensajes que contienen detalles personales específicos, haciéndolos parecer muy creíbles para el objetivo. Por ejemplo, pueden hacerse pasar por el jefe del objetivo y enviar un correo electrónico que diga: "Sé que esta noche te vas de vacaciones, pero ¿podrías pagar esta factura antes del cierre de hoy?".
Un ataque de spear phishing dirigido a un alto directivo, una persona adinerada u otro objetivo de alto valor se denomina whale phishing o whaling, o caza de ballenas en español.
BEC es una clase de ataque de spear phishing que intenta robar dinero o información valiosa —por ejemplo, secretos comerciales, datos de clientes o información financiera— de una empresa u otra organización.
Los ataques BEC pueden adoptar varias formas. Dos de las más comunes son las siguientes:
- Fraude al director general: El estafador se hace pasar por un ejecutivo de nivel C, a menudo secuestrando la cuenta de correo electrónico del ejecutivo. El estafador envía un mensaje a un empleado de nivel inferior indicándole que transfiera fondos a una cuenta fraudulenta, realice una compra a un proveedor fraudulento o envíe archivos a una parte no autorizada.
- Compromiso de la cuenta de correo electrónico (EAC): El estafador compromete la cuenta de correo electrónico de un empleado de nivel inferior, como la de un directivo de finanzas, ventas o investigación y desarrollo. El estafador utiliza la cuenta para enviar facturas fraudulentas a proveedores, dar instrucciones a otros empleados para que realicen pagos fraudulentos o solicitar acceso a datos confidenciales.
Los ataques BEC pueden figurar entre los ciberataques más costosos, ya que los estafadores suelen robar millones de dólares cada vez. En un ejemplo destacable, un grupo de estafadores robó más de 100 millones de dólares a Facebook y Google haciéndose pasar por un proveedor legítimo de software.3
Algunos estafadores que utilizan los ataques BEC están abandonando estas tácticas de alto perfil en favor de lanzar pequeños ataques contra más objetivos. Según el Anti-Phishing Working Group (APWG), los ataques BEC fueron más frecuentes en 2023, pero los estafadores pedían menos dinero de media en cada ataque.4
El phishing por SMS, o smishing, utiliza mensajes de texto falsos para engañar a los objetivos. Los estafadores suelen hacerse pasar por el proveedor de servicios inalámbricos de la víctima y envían un mensaje de texto en el que ofrecen un "regalo gratuito" o piden al usuario que actualice los datos de su tarjeta de crédito.
Algunos estafadores se hacen pasar por el Servicio Postal de EE. UU. u otra empresa de transporte. Envían mensajes de texto en los que dicen a las víctimas que deben pagar una cuota para recibir un paquete que han pedido.
El phishing por voz, o vishing, es el phishing mediante una llamada telefónica. Los incidentes de vishing se han disparado en los últimos años, aumentando un 260% entre 2022 y 2023 según el APWG.5 El aumento del vishing se debe en parte a la disponibilidad de la tecnología de voz sobre IP (VoIP), que los estafadores pueden utilizar para realizar millones de llamadas de vishing automatizadas al día.
Los estafadores suelen utilizar la suplantación del identificador de llamadas para que sus llamadas parezcan proceder de organizaciones legítimas o números de teléfono locales. Las llamadas violentas suelen asustar a los destinatarios con advertencias de problemas de procesamiento de tarjetas de crédito, pagos atrasados o problemas con la ley. Los destinatarios acaban proporcionando datos confidenciales o dinero a los ciberdelincuentes para "resolver" sus problemas.
El phishing en redes sociales utiliza las plataformas de las redes sociales para engañar a la gente. Los estafadores utilizan las funciones de mensajería integradas en las plataformas —por ejemplo, mensajes directos de Facebook Messenger, LinkedIn InMail y X (antes Twitter)— del mismo modo que utilizan el correo electrónico y los mensajes de texto.
Los estafadores suelen hacerse pasar por usuarios que necesitan la ayuda del objetivo para iniciar sesión en su cuenta o ganar un concurso. Utilizan esta artimaña para robar las credenciales de inicio de sesión del objetivo y hacerse con el control de su cuenta en la plataforma. Estos ataques pueden ser especialmente costosos para las víctimas que utilizan las mismas contraseñas en varias cuentas, una práctica demasiado común.
Los estafadores idean constantemente nuevas técnicas de phishing para evitar ser detectados. Algunos desarrollos recientes incluyen:
El phishing con IA utiliza herramientas de inteligencia artificial (IA) generativa para crear mensajes de phishing. Estas herramientas pueden generar correos electrónicos y mensajes de texto personalizados que no contengan errores ortográficos, incoherencias gramaticales y otras señales de alarma habituales en los intentos de suplantación de identidad.
La IA generativa también puede ayudar a los estafadores a ampliar sus operaciones. Según el índice X-Force Threat Intelligencede IBM, un estafador tarda 16 horas en crear un correo electrónico de suplantación de identidad de forma manual. Con la IA, los estafadores pueden crear mensajes aún más convincentes en solo cinco minutos.
Los estafadores también utilizan generadores de imágenes y sintetizadores de voz para dar más credibilidad a sus estafas. Por ejemplo, en 2019, unos atacantes utilizaron la IA para clonar la voz del director general de una empresa energética y estafar 243 000 dólares a un director de banco.7
El quishing utiliza códigos QR falsos incrustados en correos electrónicos y mensajes de texto o publicados en el mundo real. Permite a los hackers ocultar sitios web y software maliciosos a plena vista.
Por ejemplo, la Comisión Federal de Comercio de Estados Unidos (FTC) alertó el año pasado de una estafa en la que los delincuentes sustituyen los códigos QR de los parquímetros públicos por códigos propios que roban los datos de pago.6.
Los ataques de vishing híbridos combinan el phishing de voz con otros métodos para eludir los filtros de spam y ganarse la confianza de las víctimas.
Por ejemplo, un estafador puede enviar un correo electrónico que diga proceder de Hacienda. En él se informa al destinatario de que hay un problema con su declaración de la renta. Para resolver el problema, el destinatario debe llamar a un número de teléfono proporcionado en el correo electrónico, que le conecta directamente con el estafador.
Los detalles pueden variar de una estafa a otra, pero hay algunos signos comunes que indican que un mensaje podría ser un intento de phishing. Estas señales incluyen:
Las estafas de phishing intentan hacer que las víctimas tengan una sensación de urgencia para que actúen rápidamente sin pensar. Los estafadores suelen hacerlo invocando emociones fuertes como el miedo, la codicia y la curiosidad. Pueden imponer plazos y amenazar con consecuencias poco realistas, como la cárcel.
Las artimañas de phishing más comunes incluyen:
- "Hay un problema con su cuenta o información financiera. Debe actualizarla inmediatamente para evitar perder el acceso".
- "Hemos detectado actividad ilegal. Pague esta multa ahora o será arrestado".
- "Ha ganado un regalo, pero debe reclamarlo ahora mismo".
- "Esta factura ha vencido. Debe pagarla inmediatamente o le cortaremos el servicio".
- "Tenemos una interesante oportunidad de inversión para usted. Deposite dinero ahora y podremos garantizarle rendimientos increíbles".
Las estafas de phishing suelen pedir una de estas dos cosas: dinero o datos. Las solicitudes de pago o de información personal no solicitadas o inesperadas pueden ser indicios de ataques de phishing.
Los estafadores disfrazan sus peticiones de dinero de facturas vencidas, multas o cuotas por servicios. Disfrazan las solicitudes de información como avisos para actualizar los datos de pago o de la cuenta o para restablecer una contraseña.
Muchas bandas de phishing operan a escala internacional, lo que significa que a menudo escriben los mensajes de phishing en idiomas que no hablan con fluidez. Por lo tanto, muchos intentos de phishing contienen errores gramaticales e incoherencias.
Los mensajes de marcas legítimas suelen contener detalles específicos. Pueden dirigirse a los clientes por su nombre, hacer referencia a números de pedido concretos o explicar con precisión cuál es el problema. Un mensaje vago como "Hay un problema con su cuenta" sin más detalles, es una señal de alarma.
Los estafadores suelen utilizar URL y direcciones de correo electrónico que a primera vista parecen legítimas. Por ejemplo, un correo electrónico de "admin@rnicrosoft.com" puede parecer seguro, pero mire de nuevo. La "m" en "Microsoft" es en realidad una "r" y una "n".
Otra táctica común es usar una URL como "bankingapp.scamsite.com". Un usuario podría pensar que esto enlaza a bankingapp.com, pero en realidad apunta a un subdominio de scamsite.com. Los piratas informáticos también pueden utilizar servicios de acortamiento de enlaces para camuflar URL maliciosas.
Los estafadores pueden enviar archivos y adjuntos que la víctima no ha solicitado ni espera. Pueden usar imágenes de texto en lugar de texto real en mensajes y páginas web para evitar los filtros de spam.
Algunos estafadores hacen referencia a temas candentes para irritar a las víctimas. Por ejemplo, IBM X-Force descubrió que los estafadores suelen utilizar el conflicto en Ucrania para avivar las emociones de sus objetivos.
Dado que las estafas de phishing van dirigidas a las personas, los empleados suelen ser la primera y la última línea de defensa de una organización contra estos ataques. Las organizaciones pueden enseñar a los usuarios a reconocer las señales de los intentos de phishing y a responder a los correos electrónicos y mensajes de texto sospechosos. Esto puede incluir dar a los empleados formas fáciles de informar de intentos de phishing al equipo de TI o de seguridad.
Las organizaciones también pueden establecer políticas y prácticas que dificulten el éxito de los phishers.
Por ejemplo, las organizaciones pueden prohibir que se inicien transferencias monetarias por correo electrónico. Pueden exigir a los empleados que verifiquen las solicitudes de dinero o información poniéndose en contacto con el solicitante por medios distintos a los facilitados en el mensaje. Por ejemplo, los empleados pueden escribir una URL directamente en su navegador en lugar de hacer clic en un enlace o llamar al teléfono de la oficina de un colega en lugar de responder a un mensaje de texto de un número desconocido.
Las organizaciones pueden complementar la formación de los empleados y las políticas de la empresa con herramientas de seguridad que ayuden a detectar los mensajes de phishing y frustrar a los piratas informáticos que lo utilizan para entrar en las redes.
- Los filtros de spam y el software de seguridad del correo electrónico utilizan datos sobre estafas de phishing existentes y algoritmos de machine learning para identificar correos electrónicos de phishing y otros mensajes de spam. Las estafas y el spam se mueven a una carpeta separada, donde se erradican los enlaces y códigos maliciosos.
- El software antivirus y antimalware puede detectar y neutralizar archivos o códigos maliciosos que transportan los correos electrónicos de phishing.
- La autenticación multifactor puede evitar que los piratas informáticos se apoderen de las cuentas de los usuarios. Los ciberdelincuentes que utilizan el phishing pueden robar contraseñas, pero les resulta mucho más difícil robar un segundo factor como el escaneo de una huella dactilar o un código de acceso de un solo uso.
- Las herramientas de seguridad de endpoints , como las soluciones de detección y respuesta de endpoints (EDR) y gestión unificada de endpoints (UEM), pueden utilizar la inteligencia artificial (IA) y la analítica avanzada para interceptar los intentos de phishing y bloquear el malware.
- Los filtros web impiden que los usuarios visiten sitios web maliciosos conocidos y muestran alertas cada vez que los usuarios visitan páginas sospechosas. Estas herramientas pueden ayudar a mitigar los daños si un usuario hace clic en un enlace de phishing.
- Las soluciones de ciberseguridad empresarial, como las plataformas de orquestación, automatización y respuesta de seguridad (SOAR) y la gestión de eventos e información de seguridad (SIEM), utilizan la inteligencia artificial y la automatización para detectar actividades anómalas y responder a ellas. Estas soluciones pueden ayudar a detener a los phishers que intentan instalar programas maliciosos o apoderarse de cuentas.
Realice evaluaciones de riesgos casi en tiempo real impulsadas por IA y proteja aplicaciones y datos cruciales con las soluciones de seguridad móvil de IBM.
Ofrezca experiencias del cliente fluidas y fomente la confianza en la identidad digital con detección del fraude en tiempo real basada en IA.
IBM Security Trusteer Rapport ayuda a las instituciones financieras a detectar y prevenir infecciones de malware y ataques de phishing protegiendo a sus clientes minoristas y empresariales.
Manténgase al día de las noticias, tendencias y técnicas de prevención del phishing en Security Intelligence, el blog de liderazgo intelectual de IBM Security.
Descubra por qué y cómo las organizaciones utilizan simulaciones de phishing para reforzar las defensas contra los ataques de ingeniería social.
Prepárese mejor para las violaciones de datos comprendiendo las causas y los factores que aumentan o reducen los costes de dichas violaciones. Basado en las experiencias de más de 550 organizaciones que se enfrentaron a violaciones de datos en el mundo real.
Notas a pie de página
Todos los vínculos residen fuera de ibm.com
1 Cómo los hackers rusos se colaron en los correos electrónicos de la campaña de Clinton. Associated Press. 4 de noviembre de 2017.
2 Cómo los ciberdelincuentes se dirigen a los compradores de Amazon Prime Day. TechRepublic. 6 de julio de 2022.
3 Cómo este estafador utilizó correos electrónicos de phishing para robar más de 100 millones de dólares a Google y Facebook. CNBC. 27 de marzo de 2019.
4, 5 Informe de tendencias de la actividad de phishing (PDF, 3,6 MB). Grupo de trabajo antiphishing. 13 de febrero de 2024.
6 Quishing es el nuevo phishing. ZDNET. 11 de diciembre de 2023.
7 ¿Esa llamada de pánico de un familiar? Podría ser un ladrón que utiliza un clon de voz, advierte la FTC. NPR. 22 de marzo de 2023.