Aprenda a identificar los principales tipos de ataques de phishing


Imagen: Zdzisław Beksiński


Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker y líder del Capítulo Querétaro de la Fundación OWASP.

Las violaciones de datos y los ciberataques a menudo involucran intentos de phishing para obtener credenciales, realizar transacciones fraudulentas o inducir a las personas a descargar software malicioso. De hecho, el phishing sigue siendo una de las tácticas más comunes asociadas con estas amenazas.

Aunque las empresas advierten regularmente a sus usuarios sobre los peligros del phishing, muchos no saben cómo identificar estos ataques con precisión. Además, las personas suelen tener dificultades para detectar este tipo de estafas.

Según un análisis de la unidad de investigación de SILIKN, el 85.5% de los empleados admiten tener comportamientos riesgosos que los hacen vulnerables a ataques. Esto refleja no solo la sofisticación de los atacantes, sino también la necesidad de contar con programas de concientización en seguridad igualmente avanzados, algo que muchas empresas no ofrecen de manera adecuada. Además, al considerar que no todos los ataques de phishing funcionan de la misma forma — algunos son correos electrónicos genéricos enviados en masa, mientras que otros son cuidadosamente diseñados para un perfil específico — , se vuelve más complejo capacitar a los usuarios para que identifiquen cuándo un mensaje es sospechoso.

En este sentido, ¿cuáles son los principales tipos de ataques de phishing y cómo podemos reconocerlos?

Phishing: La forma más común de phishing es a través de correos masivos, en los que el atacante se hace pasar por otra persona y trata de engañar al destinatario para que realice una acción, como iniciar sesión en un sitio web falso o descargar malware. Estos ataques suelen aprovechar la falsificación del encabezado del correo electrónico para que parezca que proviene de una fuente confiable.

Sin embargo, los ataques de phishing no siempre se presentan como correos de notificación de entrega de FedEx, alertas de Amazon sobre contraseñas que están por vencer o mensajes de Office 365 sobre el límite de almacenamiento. Algunos ataques se diseñan específicamente para dirigirse a organizaciones o personas concretas, y otros utilizan métodos distintos al correo electrónico. Con el avance de la inteligencia artificial generativa, estos intentos de phishing se están volviendo más sofisticados y se pueden crear con mayor rapidez, lo que sugiere que las tácticas antiguas están resurgiendo con renovada efectividad.

Spear phishing: Este tipo de ataque de phishing se diferencia en que los estafadores no buscan víctimas al azar, sino que dirigen sus esfuerzos hacia individuos u organizaciones de alto valor. En lugar de intentar robar las credenciales bancarias de miles de personas, los atacantes encuentran más rentable centrarse en un grupo selecto de empresas. Por ejemplo, un atacante patrocinado por un estado puede dirigirse a un empleado de una agencia gubernamental o a un funcionario para robar información sensible o secretos de estado.

Los ataques de spear phishing suelen ser muy efectivos, ya que los atacantes invierten tiempo en personalizar los mensajes para que sean relevantes para el destinatario. Pueden, por ejemplo, hacer referencia a una conferencia a la que la persona asistió recientemente o incluir un archivo adjunto malicioso con un nombre relacionado con sus intereses específicos.

Whaling: Un ataque de phishing que se dirige específicamente a los altos ejecutivos de una empresa se conoce como whaling, ya que se considera que estos objetivos tienen un valor significativo y la información que se puede obtener de ellos es mucho más valiosa que la de un empleado común. Las credenciales de un director ejecutivo, por ejemplo, permiten un acceso más amplio que las de un empleado de nivel básico. El propósito de estos ataques es obtener datos sensibles, información sobre empleados o incluso dinero.

El whaling requiere una investigación minuciosa, ya que el atacante necesita conocer con quién se comunica la víctima y el tipo de temas que trata en sus conversaciones. Los mensajes pueden incluir referencias a quejas de clientes, citaciones legales o problemas relacionados con la alta dirección. Generalmente, los atacantes comienzan con técnicas de ingeniería social para recopilar información sobre la víctima y la empresa, y así poder elaborar un mensaje de phishing específico que sea creíble y efectivo.

Compromiso de correo electrónico empresarial (BEC): Además de las campañas masivas de phishing, los delincuentes también se enfocan en personas clave de los departamentos de finanzas y contabilidad a través de estafas de BEC y fraudes dirigidos a directores ejecutivos. Haciéndose pasar por directores financieros o ejecutivos de alto nivel, intentan convencer a sus víctimas de que realicen transferencias de dinero a cuentas no autorizadas.

Los atacantes generalmente logran comprometer la cuenta de correo electrónico de un alto ejecutivo o director financiero mediante la explotación de una infección existente o a través de un ataque de phishing dirigido. Luego, monitorean la actividad de correo electrónico del ejecutivo durante un tiempo para comprender los procedimientos y procesos internos de la empresa. El ataque se lleva a cabo mediante un correo falso que parece provenir de la cuenta comprometida del ejecutivo y se envía a un destinatario frecuente. Este correo suele parecer urgente y legítimo, solicitando una transferencia bancaria a una cuenta externa o desconocida, que en realidad pertenece al atacante.

Clone phishing: Este tipo de phishing implica que el atacante cree una copia casi exacta de un mensaje legítimo para hacer que la víctima crea que es auténtico. El correo se envía desde una dirección que imita al remitente original y el contenido parece idéntico a un mensaje anterior. Sin embargo, la diferencia está en que el archivo adjunto o el enlace del correo ha sido reemplazado por uno malicioso. El atacante puede justificar el reenvío diciendo que es una versión actualizada o que está volviendo a enviar el mensaje original para que la víctima no sospeche.

Este ataque se aprovecha de un mensaje legítimo previamente visto, lo que aumenta la probabilidad de que los usuarios caigan en la trampa. Un atacante que ya ha comprometido a un usuario podría utilizar esta técnica para engañar a otra persona que también haya recibido el mensaje original. En otra variante, el atacante podría crear un sitio web clonado con un dominio falso para engañar a la víctima y hacerle creer que está accediendo al sitio legítimo.

Vishing: El vishing, o “phishing de voz”, se lleva a cabo a través de llamadas telefónicas. En estos casos, la víctima recibe una llamada que aparenta ser de una institución financiera, en la que se le solicita que llame a un número y proporcione información de su cuenta o su PIN, supuestamente por razones de seguridad u otros motivos oficiales. Sin embargo, el número al que llama la víctima en realidad está conectado directamente con el atacante mediante un servicio de voz sobre IP.

Con los avances en inteligencia artificial, el vishing se está volviendo aún más peligroso, ya que la IA permite replicar voces con precisión mediante el uso de deepfakes de audio, haciendo que estos ataques sean más convincentes y difíciles de detectar.

Smishing: El smishing combina “phishing” y “SMS”, el protocolo utilizado por la mayoría de los servicios de mensajería de texto en teléfonos. Este ciberataque se basa en el envío de mensajes de texto fraudulentos que buscan engañar a las víctimas haciéndoles creer que provienen de una fuente confiable, como una persona u organización conocida. El objetivo es persuadir a la víctima para que realice una acción que permita al atacante obtener información sensible, como credenciales bancarias, o acceder a su dispositivo móvil.

El smishing está en aumento, ya que las personas tienden a leer y responder mensajes de texto con mayor frecuencia que correos electrónicos. De hecho, el 98.5% de los mensajes de texto son leídos, y el 55.3% recibe respuesta, en comparación con solo el 18.8% de los correos electrónicos que se leen y el 4.9% que se responden. Además, los usuarios suelen estar menos atentos a posibles fraudes en sus teléfonos que en sus computadoras, y sus dispositivos móviles personales suelen carecer del nivel de seguridad que se encuentra en las PC corporativas.

Snowshoeing: Este tipo de spam implica que los atacantes envían mensajes utilizando múltiples dominios y direcciones IP. Cada dirección IP envía un bajo volumen de mensajes, lo que dificulta que las tecnologías de filtrado de spam, que se basan en la reputación o el volumen, puedan detectar y bloquear los mensajes maliciosos de inmediato. Como resultado, algunos de estos mensajes logran llegar a las bandejas de entrada antes de que los filtros tengan la oportunidad de aprender a identificarlos y bloquearlos.

Las campañas de hailstorm operan de manera similar a las de snowshoeing, pero en este caso, los mensajes se envían en un período de tiempo extremadamente corto. En algunos ataques de hailstorm, los mensajes se envían justo antes de que las herramientas antispam se den cuenta y actualicen sus filtros para bloquear futuros envíos, lo que permite a los atacantes cambiar rápidamente a la siguiente campaña antes de que sean detectados.

Hailstorm: Hailstorm es una técnica de envío de spam que consiste en la distribución masiva de mensajes en un corto período de tiempo, utilizando varios dominios y direcciones IP para eludir los filtros antispam. A diferencia del snowshoeing, que se basa en el envío de un bajo volumen de mensajes desde diversas direcciones IP para evitar la detección, el hailstorm se distingue por su velocidad en el envío, lo que permite que los mensajes lleguen a las bandejas de entrada antes de que los sistemas antispam puedan actualizarse para bloquearlos. Esta estrategia hace que las campañas de hailstorm sean especialmente efectivas y difíciles de prevenir, ya que los atacantes pueden adaptarse rápidamente y cambiar a nuevas campañas en cuanto los filtros se ajustan a sus métodos.

Deepfakes: Los delincuentes han comenzado a utilizar deepfakes para llevar a cabo ataques de phishing más efectivos. Mediante el uso de inteligencia artificial, los estafadores pueden alterar rostros en videos o suplantar voces, lo que les permite engañar a las víctimas potenciales para que realicen transferencias fraudulentas en el ámbito corporativo, similar a las estafas de compromiso de correo electrónico empresarial.

Los atacantes pueden emplear diversas herramientas de inteligencia artificial generativa, que en otros contextos serían legítimas, para crear deepfakes a partir de grabaciones de voz o fotografías de sus objetivos. Por ejemplo, FaceSwap permite superponer la cara de una persona en un video creado por el atacante. Asimismo, el marco VASA-1 de Microsoft puede ser mal utilizado para generar un video deepfake utilizando solo una foto de retrato y una muestra de audio de la voz del objetivo.

Los usuarios a menudo tienen dificultades para entender las repercusiones de caer en un ataque de phishing. Mientras que un usuario observador puede evaluar el riesgo de hacer clic en un enlace de un correo electrónico — que podría resultar en la descarga de malware o en recibir mensajes fraudulentos solicitando dinero — , aquellos más ingenuos o distraídos pueden pensar que no les ocurrirá nada, enfrentándose únicamente a anuncios de spam y ventanas emergentes. Sólo los usuarios más experimentados pueden calcular el daño potencial que puede provocar el robo de credenciales y la vulneración de cuentas. Esta falta de comprensión sobre los riesgos hace que sea complicado para los usuarios reconocer la gravedad de los mensajes maliciosos.

Por lo tanto, las organizaciones deben revisar sus campañas de concientización interna y asegurarse de que los empleados cuenten con las herramientas necesarias para identificar los diferentes tipos de ataques. Además, es crucial fortalecer las defensas de seguridad, ya que algunas herramientas tradicionales de filtrado de correo electrónico, como los filtros de spam, no son suficientes para protegerse contra ciertos tipos de phishing.

Para más información, visite: https://www.silikn.com/