search

Introducción al phishing

hashtag
Definición

El phishing es una técnica fraudulenta en la que un ciberdelincuente envía un correo electrónico suplantando a un tercero conocido, como Google, Amazon o Microsoft. Su objetivo es engañar al destinatario para que haga clic en un enlace o descargue un archivo con el fin de robar información, dinero o instalar malware.

hashtag
Los tipos más comunes de phishing

hashtag
Fraude al CEO

El fraude al CEO (también llamado estafa al CEO o suplantación del CEO) es una técnica de estafa dirigida en la que un atacante se hace pasar por un ejecutivo de la empresa (a menudo el CEO o el CFO) para engañar a un empleado y que realice una transferencia bancaria fraudulenta.

¿Cómo funciona el fraude al CEO?

  • Robo de identidad: El estafador envía un correo electrónico (o llama) haciéndose pasar por un empleado de alto rango dentro de la empresa.

  • Escenario de emergencia: Esto suele implicar una situación urgente, confidencial y sensible (por ejemplo, una adquisición, un pago a un proveedor estratégico, una emergencia legal, etc.).

  • Presión psicológica: Implica presionar al empleado, generalmente del departamento de contabilidad o finanzas, para que actúe rápidamente sin seguir los procedimientos estándar.

  • Transferencia fraudulenta: El objetivo es engañar a la víctima para que transfiera dinero a una cuenta controlada por los estafadores, a menudo ubicada en el extranjero.

¿Por qué funciona?

  • El correo electrónico parece creíble (lenguaje profesional, una dirección de correo falso muy parecida, la firma del CEO, etc.).

  • El empleado objetivo suele estar aislado, bajo presión o intimidado por la dirección.

  • El ataque está muy dirigido (los estafadores investigan la empresa, sus ejecutivos y sus prácticas internas).

¿Cuáles son las consecuencias? Pérdidas financieras significativas; daño reputacional; responsabilidad legal si no existen protecciones

¿Cómo protegerse?

  • Concienciar a todos los empleados, especialmente a los de departamentos sensibles (finanzas, RR. HH., etc.)

  • Implementar un procedimiento interno de validación estricto para las transferencias

  • Activar protecciones técnicas: SPF, DKIM, DMARC, filtros anti-suplantación

  • Verificar sistemáticamente cualquier solicitud inusual mediante un canal secundario (teléfono, videoconferencia, en persona)

hashtag
Phishing para el robo de credenciales

  • Recibes un correo electrónico que crea una sensación de urgencia: un gasto inesperado, una cuenta suspendida, un cambio de contraseña. Al suplantar a un tercero conocido, el atacante intenta engañarte para que hagas clic lo más rápido posible en un enlace que te redirige a un sitio web fraudulento.

  • Introduces tus credenciales en el sitio web y el atacante las obtiene: este sitio web parece legítimo, pero en realidad pertenece al atacante. De hecho, cuando introduces tus credenciales, no inicias sesión realmente, sino que las entregas al atacante.

  • No te das cuenta de que has sido atacado: por lo general, ni siquiera te das cuenta de que está ocurriendo. Verás una pantalla que dice "Credenciales incorrectas" y serás redirigido al sitio web legítimo para que el siguiente inicio de sesión tenga éxito.

hashtag
Phishing con archivos adjuntos

Este tipo de ataque, más sofisticado y por tanto menos frecuente, permite al hacker tomar el control del puesto de trabajo de un empleado, el punto de entrada al sistema informático de la empresa.

Para ello, deben engañarte para que descargues un documento de PowerPoint, Excel o Word y habilites macros. Hay dos estrategias principales para esto:

  • Enviarte un documento atractivo directamente por correo electrónico

  • Enviarte un documento malicioso a través de una plataforma de transferencia de archivos. Si las macros del documento están habilitadas, el atacante tendrá entonces el control del puesto de trabajo.

hashtag
Mejores prácticas

En cuanto recibas un correo electrónico que te pida descargar un archivo adjunto, realizar una transferencia o introducir una contraseña: mantente alerta.

  • Comprueba el nombre de dominio del remitente La dirección de correo del remitente puede parecer familiar, pero podría estar suplantada. Si es así, encontrarás errores ortográficos u otras anomalías. Presta atención en particular al nombre de dominio (la parte después de @): si no coincide letra por letra con el nombre del remitente real, es un intento de phishing.

  • Si te redirigen a un sitio web, comprueba el nombre de dominio. El problema es similar: si el atacante te redirige a un sitio falso que controla, significa que ese sitio no es el real y por lo tanto no tiene la misma dirección (URL) cuando lo miras en la barra de direcciones de tu navegador.

  • Verifica la información a través de un canal alternativo. Solicita confirmación al remitente por otro método: por SMS, contactando con el servicio de atención al cliente o accediendo directamente al sitio web en tu navegador. Esto puede parecer tedioso, pero muchos ataques ocurren por negligencia y falta de comunicación.

hashtag
¿Cómo mitigar este riesgo?

Unos pocos pasos sencillos pueden reducir drásticamente el riesgo de phishing y las consecuencias de un ataque de phishing exitoso.

hashtag
Anticipar y limitar el riesgo de phishing:

  • Concienciación del equipo: el 73% de los ciberataques se originan en el phishing a un empleado (CESIN). Por tanto, concienciar es clave para mantener un buen nivel de ciberseguridad.

  • Implementar la autenticación de dos factores (2FA): La mayoría de los ataques de phishing tienen como objetivo robar las credenciales de un usuario. Pero si disponen de un segundo factor de autenticación, robar sus credenciales no será suficiente para suplantarlos.

  • Implementar un gestor de contraseñas: Los gestores de contraseñas verifican los nombres de dominio de los sitios web que solicitan credenciales. Si sus credenciales están comprometidas, ninguna contraseña se completará automáticamente y el usuario será alertado de inmediato de que está ocurriendo un evento anómalo.

hashtag
¿Y si ocurre phishing?

Si el usuario ha facilitado credenciales:

  • Cambia la contraseña de la cuenta de correo comprometida o del servicio, así como las contraseñas de todos los demás servicios en los que se use la misma contraseña (o una versión más débil);

  • Implementa la autenticación de dos factores para la cuenta de correo o el servicio comprometido

  • Notifica a Stoik para que podamos verificar que el atacante no se haya dejado otros medios para volver.

Si el usuario ha descargado un archivo adjunto malicioso:

  • Apaga el dispositivo para limitar la propagación del virus; Notifica a Stoik para que podamos eliminar el virus del dispositivo y verificar que no se haya propagado.

Anterior¿Qué es el módulo de phishing?SiguienteConfiguración del módulo de phishing

Última actualización

¿Te fue útil?