Phishing, cómo identificarlo y formas de evitarlo

Conozca qué es el phishing y cómo mitigar los riesgos asociados a este tipo de ataque de ingeniería social en aumento.

Hacker working with computer in dark room with digital interface around. Internet crime concept. Image with glitch effect.

En la actualidad, más del 90% de los ataques cibernéticos a organizaciones empiezan no por un ataque directo a sus sistemas, sino por ataques de ingeniería social. Estos ataques inducen a los empleados a errores y a realizar acciones que, muchas veces sin darse cuenta, terminan facilitando el acceso a los atacantes. Un fuerte, por más blindado que esté, será accesible si es que el que tiene la llave la entrega al enemigo.

¿Qué es el Phishing?

Una de las técnicas de manipulación más comunes de la ingeniería social es el phishing. Esta práctica es usada por los ciberdelincuentes para obtener información confidencial de los usuarios (contraseñas o información financiera), haciéndose pasar por una fuente conocida o confiable, interna o externa, a la organización. La palabra proviene de fishing (pesca en inglés), ya que, mediante una carnada, el estafador busca acceder de manera ilegal sus dispositivos móviles, suplantar su identidad y hasta sustraer dinero de las cuentas bancarias, de sus víctimas.

Según el estudio realizado por Marsh y Microsoft sobre El Estado del riesgo cibernético en Latinoamérica en tiempos de COVID-19, 31% de los encuestados percibió un incremento en los ciberataques, siendo la principal amenaza los eventos de phishing. De acuerdo a esta realidad es más necesario que nunca, que las empresas adopten estrategias de prevención, creando una cultura de ciberseguridad y capacitando a sus empleados en su detección temprana.

Un ataque de phishing se puede llevar acabo también a través de mensajes de texto (smishing) o llamadas telefónicas (vishing). Sin embrago, la forma más común de este tipo de ataques es vía correo electrónico, ya que es la manera más indicada de apuntar a un público mayor, y también es más difícil de detectar. 

Cuando el phishing está dirigido a personas, organizaciones o empresas específicas, se le denomina spear phishing (suplantación de identidad). Este tipo de ciberataque es mucho más orientado y es más sofisticado que el phishing tradicional. Esta práctica es engañosamente persuasiva, ya que está personalizada a la medida del receptor o víctima potencial, utilizando contenido, vínculos, archivos o información legítima de empleados o de la organización.

¿Cómo detectar y evitar un ataque de Phising?

La forma más efectiva de evitar un intento de phishing es identificándolo rápidamente. Por lo general el ciberataque tipo phishing reúne ciertas características que nos ayudan a darnos cuenta que se trata de un fraude:

  • Dominios alterados: Siempre debe revisar cuidadosamente el dominio de correo del remitente, ya que puede parecerse al de una organización conocida, haciéndole creer que es un correo legítimo. Por ejemplo: john.smith@m4rsh.com.
  • Requiere alguna acción urgente: Si el correo es enfático en que usted debe actuar con extrema rapidez, acompañado de amenazas, debe desconfiar. Aunque parezca real, debe verificar que el correo proviene de una fuente confiable, confirmando con el verdadero remitente.
  • Oportunidades inusualmente buenas: Premios por ser el visitante número un millón, loterías o bienes increíblemente baratos, suelen ser para que usted entregue su información personal. Esto le facilita a los atacantes la suplantación de identidad o el acceso a cuentas personales o empresariales. 
  • Enlaces camuflados y archivos adjuntos: Debe evitar pinchar o hacer clic en cualquier enlace o descargar archivos adjuntos de un correo sospechoso. Se recomienda escribir directamente el sitio web en el navegador, y en caso de usar el enlace en el correo, siempre verificar que no sea un dominio alterado.

Con el incremento en la frecuencia, criticidad y sofisticación de los ataques cibernéticos, ya no basta la contención a través de soluciones de ciberseguridad. Es importante capacitar a todos los miembros de la organización, enseñarles a estar alerta, a detectar a tiempo un intento de phishing, reportar posibles ataques y mantener una estructura definida de respuesta.

Otros contenidos

Autor

Image placeholder

Benjamín Pellegrini

Senior Cyber Analyst, Marsh Latin America