Los ataques cibernéticos que explotan vulnerabilidades de software son muy peligrosos, pero generalmente fáciles de corregir, a menudo requieren solo un parche. El phishing, sin embargo, utiliza ingeniería social para atacar a personas en lugar de sistemas. Los ataques de phishing pueden evolucionar y adaptarse a nuevas narrativas o plataformas según sea necesario, lo que obliga a las empresas a repensar sus estrategias.

En esta guía detallada, abordaremos las tácticas más relevantes empleadas por las campañas de phishing en la actualidad, para que pueda desarrollar el mejor enfoque para proteger su negocio contra esta amenaza.

Lo que aprenderá en esta guía

• La naturaleza en constante evolución del phishing: Descubra cómo los ataques de phishing van más allá de los simples correos electrónicos y ahora exploran varios canales, como SMS, redes sociales e incluso códigos QR.

• El impacto devastador: Comprenda las graves consecuencias del phishing, desde infecciones de ransomware y secuestro de cuentas hasta pérdidas financieras significativas para las empresas.

• Las tácticas más recientes: Conozca las técnicas sofisticadas que utilizan los atacantes para evitar la detección, incluida la ocultación de nombres de marcas y el uso de anuncios engañosos y páginas intermediarias.

• Tipos de ataques de phishing: Aprenda sobre las diferentes formas que puede adoptar el phishing, como smishing, vishing, spear phishing y whaling, y aprenda a reconocerlos.

• Estrategias eficaces de defensa: Explore un enfoque de varias capas para combatir el phishing, combinando tecnología como filtros de spam y antimalware con conciencia y vigilancia en ciberseguridad.

¿Qué es el Phishing?

El phishing es un tipo de ataque cibernético que utiliza ingeniería social para engañar a las víctimas e inducirlas a divulgar información confidencial, como contraseñas, instalar aplicaciones maliciosas en sus dispositivos o realizar otras acciones que puedan ayudar a los atacantes a lograr sus objetivos.

El término proviene de la idea de "pescar" (fishing, en inglés), ya que el hacker usa un cebo para atraer a las víctimas al golpe. El cebo tradicional del phishing es un correo electrónico que solicita la contraseña del usuario mientras finge ser de una institución confiable, generalmente un banco.

Actualmente, los golpes de phishing se distribuyen a través de diversos canales, incluidos SMS, llamadas telefónicas y anuncios pagados en redes de publicidad y plataformas de medios sociales. Además, pueden hacerse pasar por empresas de diferentes sectores, incluidas tiendas en línea, software y medios de comunicación.

El phishing no exige vulnerabilidades de software. En cambio, generalmente intenta engañar a las víctimas explotando rasgos y emociones humanas, como la curiosidad y el miedo. Dicho esto, los ciberdelincuentes pueden invadir servidores o usar pagos fraudulentos (como tarjetas de crédito robadas) para obtener la infraestructura necesaria para enviar mensajes de phishing o alojar sitios fraudulentos.

Además, las vulnerabilidades y fallas de software pueden explotarse para que el golpe sea más convincente. Por ejemplo, los hackers pueden insertar código malicioso dentro de documentos para instalar malware y falsificar encabezados de correo electrónico para falsificar su origen, especialmente cuando esto se puede hacer para eludir los filtros de spam o los sistemas de verificación de remitentes.

Lo que todas las empresas necesitan saber sobre phishing

Incidentes de ransomware generalmente comienzan con phishing

Cuando el phishing se utiliza para instalar malware o robar credenciales corporativas, puede resultar en un incidente de ransomware. Los hackers a menudo encuentran formas de explotar cualquier acceso inicial, incluso con privilegios bajos, para moverse lateralmente dentro de la red, lo que permite la exfiltración de datos y la violación de sistemas confidenciales.

Según el Índice de Inteligencia de Amenazas de IBM X-Force, el phishing está empatado en primer lugar como el vector más común para el acceso inicial, lo que puede llevar a ransomware u otras interrupciones.

Aunque el phishing no exige un alto nivel de sofisticación técnica, sería un error creer que los hackers que lo utilizan no pueden realizar operaciones sofisticadas.

Phishing está ligado al secuestro de cuentas (ATO - Account Takeover)

Las credenciales son un objetivo común para los ataques de phishing, ya sea directamente (con una página falsa que solicita la contraseña de la víctima) o indirectamente (a través de la diseminación de malware stealer, que, una vez instalado, extrae esa información del sistema tan pronto como esté disponible).

Las credenciales robadas permiten que los hackers accedan a cuentas de clientes, lo que resulta en incidentes de Account Takeover (ATO). Cuando los criminales realizan pedidos fraudulentos o efectúan pagos sin la autorización de la víctima, la empresa puede sufrir perjuicios debido a devoluciones de cargos (chargebacks) y otros procesos legales o técnicos.

ATO es uno de los principales componentes del ecosistema de fraudes digitales, generando miles de millones en pérdidas anualmente.

Existen muchos tipos de ataques de phishing

El phishing puede tener diferentes objetivos:

• Credenciales corporativas: El phishing puede intentar robar contraseñas para acceder a plataformas de Software as a Service (SaaS), infraestructura de TI o VPN corporativas.

• Malware y acceso inicial: Links y adjuntos en mensajes de phishing pueden implementar stealer malware o troyanos de acceso remoto (RATs) para obtener acceso inicial a la red de la empresa.

• Credenciales de usuarios: Los hackers pueden usar credenciales de usuarios finales de varias maneras como parte de incidentes de Account Takeover (ATO).

• Acciones específicas: Mensajes de phishing pueden engañar a usuarios para que realicen acciones que debilitan su seguridad o la de su organización, como alterar una configuración, restablecer una contraseña, instalar una aplicación web progresiva, etc.

Ciertos tipos de ataque también poseen términos específicos:

• "Fake ads" y "malvertising" se utilizan para describir anuncios maliciosos.

• Smishing se refiere a golpes de phishing recibidos como mensajes SMS. Ellas pueden contener un link o un número de teléfono para que la víctima llame.

• Vishing está relacionado al uso de redes telefónicas en ataques de phishing.

• Quishing es el término usado para describir una dirección de phishing escondida dentro de un código QR.

• Pharming es un incidente en el que los invasores combinan phishing con un nombre de dominio secuestrado, haciendo el ataque más convincente, pues la víctima accede a una dirección de la web que parece idéntica o casi idéntica al URL legítimo.

• Spear phishing describe ataques de phishing dirigidos. El spear phishing se puede enviar a solo algunas personas o incluso a una única persona, lo que permite un mensaje especialmente elaborado para ser lo más convincente posible.

• Cuando un ataque de spear phishing está dirigido a individuos clave dentro de una organización, esto puede ser llamado de "whaling", aunque ese término no sea tan común. Como los criminales frecuentemente se mueven lateralmente dentro de la red corporativa para escalar su nivel de acceso, esa distinción ni siempre es relevante. No obstante, cuando las organizaciones no toman las medidas necesarias para proteger credenciales privilegiadas, los hackers alcanzan sus objetivos con mucha más facilidad.

De modo general, esas distinciones no son tan útiles hoy como ya fueron. Ataques de phishing pueden emplear múltiples capas de engaño y ofuscación. Un mensaje SMS malicioso puede intentar engañar al usuario para que llame a un número de teléfono, o una llamada inesperada puede intentar hacer con que la víctima abra un link recibido por correo electrónico o SMS.

Además, ataques impulsados por IA pueden personalizar el mensaje de phishing para varios destinatarios, reduciendo la diferencia entre campañas estándar de phishing y spear phishing.

Cómo los ataques de phishing intentan permanecer invisibles

Empresas y especialistas en ciberseguridad vienen combatiendo el phishing hace años. Hoy, plataformas de ciberseguridad están constantemente intentando localizar páginas de phishing antes incluso de que los criminales inicien sus campañas. En respuesta, hackers cambiaron sus tácticas varias veces para evitar la detección.

Aquí están algunas de las estrategias que ellos usan:

Evitando palabras-clave y nombres de marcas

Como los ataques de phishing generalmente funcionan haciéndose pasar por una marca conocida de la víctima, hackers registran nuevos dominios que incluyen el nombre de la marca - por ejemplo, "specialcredit [marca falsificada] .com" o "blackfriday [tienda falsificada] .com".

Esos sitios falsos pueden ser detectados por medio del monitoreo de nuevos dominios y del análisis de páginas. De esa forma, sitios ilegítimos pueden ser derribados (takedown) antes incluso de que la campaña sea ampliamente diseminada.

Los criminales respondieron a esa táctica evitando mencionar nombres de marcas en sus dominios maliciosos: 70% de los dominios fraudulentos no contienen palabras-clave relacionadas a marcas. Incluso si la página es escaneada, 18% de los sitios de phishing no mencionan la marca ni en su código-fuente.

Aunque eso pueda hacer la página más sospechosa y llevar a un golpe menos eficaz, ni siempre es el caso. Muchos usuarios ahora navegan en internet por el smartphone, que posee barras de dirección cortas. Como los usuarios no consiguen verificar fácilmente el URL completo, los criminales usan subdomínios y otros trucos que funcionan bien en el ambiente móvil.

Los sitios de phishing también utilizan imágenes en lugar de texto para mencionar marcas, lo que impide las soluciones tradicionales de escaneo.

Axur utiliza una combinación de algoritmos y modelos de inteligencia artificial para inspeccionar 15 millones de sitios diariamente. Esto nos ayuda a reconocer marcas e identificar el nivel de similitud entre la página analizada y la presencia oficial de la organización en la web.

Después de identificar una marca, nuestra IA analiza colores, diseño de la página y varios otros factores, como si la página solicita información confidencial o posee un campo de contraseña.

Con ese abordaje, conseguimos encontrar páginas de phishing incluso cuando intentan al máximo evitar la detección. Cada señal es registrada en un data lake que puede ser consultado en nuestra solución de Threat Hunting.

Anuncios y páginas intermediarias ("gateway pages")

Mientras algunos anuncios maliciosos dependen de la ejecución de código dentro del navegador del usuario, lo que los clasificaría como malware, los criminales se adaptaron a formatos más estandarizados, permitidos en plataformas de medios sociales y mecanismos de búsqueda, explorando trucos de phishing: haciéndose pasar por marcas y capturando la atención del usuario.

Los criminales pueden usar funcionalidades de segmentación de anuncios para atingir víctimas potenciales. Eso hace la campaña más eficaz y oculta el anuncio malicioso de los sistemas de barrido, ya que ni todos verán la publicidad. En Axur, trabajamos constantemente para mejorar nuestra visibilidad en redes de anuncios para escanear propagandas direccionadas.

Para contornar las políticas que bloquean sus anuncios, hackers engañan las plataformas de publicidad usando páginas intermediarias ("gateway pages") que, a primera vista, no contienen contenido malicioso. Esas páginas pueden hacerse pasar por sitios de noticias u otras entidades que normalmente no están involucradas en golpes de phishing para ganar la confianza de la víctima. En algún momento, esas páginas intermediarias redireccionan para el sitio real de phishing que solicita los datos del usuario.

Filtros de acceso

Hackers adoptan activamente medidas para bloquear sistemas de escaneo de acceder a sus páginas maliciosas. Uno de los trucos más antiguos es el "bloqueo geográfico" (geo-blocking), que permite que el sitio fraudulento sea accedido solo por usuarios de países específicos. Como el blanco de un golpe de phishing no puede ser fácilmente determinado anticipadamente, esa estrategia impide que ciertos sistemas automatizados detecten el ataque.

Las campañas de phishing más recientes generalmente combinan múltiples filtros. En Axur, hemos observado varios golpes restringidos a usuarios móviles - a veces verificando las capacidades técnicas del dispositivo, como funcionalidad de toque y tamaño de la pantalla. Si el dispositivo no reporta los valores correctos, el navegador es redireccionado para una dirección diferente.

Nuestros sistemas contornan esos filtros intentando acceder páginas sospechosas de diferentes regiones y simulando diversos dispositivos, hasta incluso replicando como ellos responden al código en la página. Mantenemos un registro del HTML de la página y una captura de pantalla del golpe, que puede ser analizada por nuestra tecnología de inspección visual basada en IA o por analistas de seguridad en nuestra solución de Threat Hunting.

Un abordaje completo para combatir el phishing

Dentro de la red corporativa, filtros de spam, soluciones anti-malware y entrenamientos de concienciación en ciberseguridad son las defensas más comunes contra phishing. No obstante, muchas veces, eso no es suficiente para mitigar la amenaza.

Como campañas de phishing ocurren fuera de la red corporativa, muchas empresas no están conscientes de esos incidentes, incluso cuando involucran el uso indebido de sus marcas. Eso es un problema para organizaciones que desean proporcionar una experiencia digital segura para sus usuarios y evitar la insatisfacción de los clientes debido a golpes online.

Aunque las empresas puedan recibir relatos de usuarios sobre los golpes que reciben, eso raramente es suficiente para una respuesta eficaz.

La Plataforma Axur ofrece una solución completa, combinando detección externa, denuncia, remoción (takedown) y un data lake de señales que proporcionan a las organizaciones visibilidad sobre las amenazas y campañas conducidas por ciberdelincuentes, incluso cuando no atingen directamente su red corporativa.

• Nuestros sistemas inspeccionan 15 millones de páginas de la web todos los días.

• Esa inspección nos informa cuáles de esas páginas se están haciendo pasar por marcas.

• Modelos de IA verifican elementos comúnmente encontrados en ataques de phishing, como solicitudes de información confidencial o pagos fraudulentos.

• Incidentes que atienden a criterios predefinidos pueden ser automáticamente programados para remoción y bloqueo. Eso involucra denunciar la URL de phishing y sus activos asociados para proveedores de hospedaje y listas de sitios maliciosos, permitiendo que navegadores y soluciones de seguridad ayuden a los usuarios a evitar el golpe.

La solución de Threat Hunting permite que analistas de ciberseguridad investiguen más a fondo incidentes complejos, auxiliando las empresas a analizar casos en que usuarios fueron víctimas de golpes de phishing.

Si usted quiere ver como nuestra tecnología puede ayudar su negocio en ese escenario desafiador, hable con nuestros especialistas.

Preguntas Frecuentes (FAQ)

P: ¿Cuál es la diferencia entre phishing y malware?

R: El phishing utiliza ingeniería social para engañar a personas, mientras que el malware es un software malicioso que infecta dispositivos. El phishing puede llevar a la instalación de malware, pero son conceptos distintos.

P: ¿Cómo puedo identificar un correo electrónico de phishing?

R: Verifique remitentes sospechosos, errores gramaticales, pedidos urgentes de información y enlaces que no corresponden al sitio del supuesto remitente. Desconfíe de correos electrónicos que solicitan información personal o credenciales de inicio de sesión.

P: ¿Qué debo hacer si creo que fui víctima de phishing?

R: Cambie sus contraseñas inmediatamente, notifique a su banco u otras instituciones afectadas y reporte la tentativa de phishing a las autoridades competentes. También puede ser útil entrar en contacto con un especialista en ciberseguridad.

P: ¿Cómo las empresas pueden protegerse contra ataques de phishing?

R: Empresas deben implementar filtros de spam, softwares anti-malware y ofrecer entrenamientos regulares de ciberseguridad para funcionarios. Además, deben considerar el uso de plataformas de detección externa para identificar y remover sitios falsos que se hacen pasar por su marca.

P: ¿El phishing ocurre solo por correo electrónico?

R: No. El phishing puede acontecer por diversos canales, incluyendo mensajes SMS (smishing), llamadas telefónicas (vishing), redes sociales e incluso códigos QR (quishing).

P: ¿Cuál es la diferencia entre spear phishing y phishing común?

R: El phishing común es un ataque en larga escala, mientras que el spear phishing es altamente dirigido, muchas veces personalizado para la víctima, haciéndolo más convincente.

P: ¿Qué es whaling en el contexto de phishing?

R: Whaling es un tipo de spear phishing que atinge individuos de alto perfil, como ejecutivos o celebridades.

P: ¿Programas antivirus gratuitos son suficientes para protegerme del phishing?

R: Aunque el software antivirus pueda ayudar, él no es una solución completa. El phishing se basa en engañar a las personas, y ningún software puede evitar eso totalmente. Concienciación en ciberseguridad y cautela son esenciales.

P: ¿Con qué frecuencia nuevas técnicas de phishing son desarrolladas?

R: Tácticas de phishing evolucionan constantemente. Los ciberdelincuentes se adaptan e innovan para contornar medidas de seguridad, haciendo esa una amenaza continua.