Para Google y Facebook, las p\u00e9rdidas totalizaron m\u00e1s de $ 100 millones. El Banco Creland de B\u00e9lgica entreg\u00f3 m\u00e1s de $ 75 millones a los ciberdelincuentes. Y el fabricante austriaco de piezas aeroespaciales FACC perdi\u00f3 $ 61 millones. \u00bfQu\u00e9 est\u00e1 causando este tipo de p\u00e9rdidas masivas? Cada una de estas organizaciones fue v\u00edctima de diferentes (y costosos) tipos de ataques de phishing.<\/p>\n\n\n\n
En general, una estafa de suplantaci\u00f3n de identidad (phishing) es un tipo de ataque cibern\u00e9tico que los ciberdelincuentes utilizan para que los usuarios realicen alg\u00fan tipo de acci\u00f3n<\/strong>. Estos correos electr\u00f3nicos a menudo se env\u00edan en masa con el objetivo de enga\u00f1ar a personas confiadas. Piensa en el intento de phishing mas popular: el pr\u00edncipe nigeriano que sigue intentando que tomes su dinero para \u201cmantenerlo a salvo\u201d.<\/p>\n\n\n\n Sin embargo, el phishing ha evolucionado significativamente desde que su alteza real entr\u00f3 en escena. Ahora hay una variedad de ataques de phishing dirigidos a las empresas. Algunos implican el uso de correos electr\u00f3nicos y sitios web; otros pueden usar mensajes de texto o incluso llamadas telef\u00f3nicas. Los ataques utilizan estos m\u00e9todos con el objetivo de lograr que los usuarios proporcionen informaci\u00f3n personal o de determinadas cuentas, o que transfieran fondos a cuentas fraudulentas. La industria de los delitos inform\u00e1ticos est\u00e1 alcanzando niveles sin precedentes. Cybersecurity Ventures informa que se espera que los da\u00f1os de delitos cibern\u00e9ticos le cuesten al mundo 6 billones de d\u00f3lares al a\u00f1o para el 2021<\/strong>, de los cuales se prev\u00e9 que el phishing desempe\u00f1ar\u00e1 un papel importante.<\/p>\n\n\n\n Pero cuando hablamos de phishing, \u00bfde qu\u00e9 tipo de ataques estamos hablando espec\u00edficamente? En realidad, existen varios tipos de estafas de suplantaci\u00f3n de identidad (phishing) a las que se ven expuestas las empresas a diario.<\/p>\n\n\n\n Hemos recopilado una lista de los tipos de ataques de phishing m\u00e1s frecuentes. El objetivo aqu\u00ed es ayudarte a familiarizarte con algunos de los diferentes tipos de ataques de phishing que existen y proporcionar una visi\u00f3n general de c\u00f3mo funcionan o qu\u00e9 los diferencia de otras estafas de phishing.<\/p>\n\n\n\n El primer tipo de ataque de phishing que analizaremos se conoce como \u00abfraude del CEO<\/strong>\u00ab. En pocas palabras, el fraude del CEO se produce cuando un delincuente cibern\u00e9tico env\u00eda un correo electr\u00f3nico a un empleado de nivel inferior, generalmente alguien que trabaja en el departamento de contabilidad o finanzas, mientras pretende ser el CEO de la compa\u00f1\u00eda u otro ejecutivo, gerente, etc. El objetivo de estos correos electr\u00f3nicos a menudo es que su v\u00edctima transfiera fondos a una cuenta falsa. Solo un poco de informaci\u00f3n adicional para que lo tengas presente: en EE. UU., El fraude del CEO a menudo se conoce como \u00abBusiness Email Compromise\u00bb (BEC), y seg\u00fan el FBI le cuesta miles de millones de d\u00f3lares a las empresas.<\/p>\n\n\n\n La idea detr\u00e1s de un ataque de Clone Phishing es aprovechar los mensajes leg\u00edtimos que la v\u00edctima ya ha recibido y crear una versi\u00f3n maliciosa<\/strong>. El ataque crea una r\u00e9plica virtual de un mensaje leg\u00edtimo, y env\u00eda el mensaje desde una direcci\u00f3n de correo electr\u00f3nico que parece leg\u00edtima. Todos los enlaces o archivos adjuntos en el correo electr\u00f3nico original se intercambian por otros maliciosos.<\/p>\n\n\n\n El ciberdelincuente a menudo usa la excusa de que est\u00e1 reenviando el mensaje original debido a un problema con el enlace o el archivo adjunto del correo electr\u00f3nico anterior para atraer a los usuarios finales a hacer clic en ellos. Desear\u00edamos poder decir que esto no funciona; desafortunadamente, es un ataque muy efectivo<\/strong>.<\/p>\n\n\n\n El siguiente tipo de phishing que queremos mencionar se conoce como suplantaci\u00f3n de dominio. Este m\u00e9todo de ataque utiliza correos electr\u00f3nicos o sitios web fraudulentos. La falsificaci\u00f3n de dominio se produce cuando un ciberdelincuente \u201cfalsifica\u201d el dominio de una organizaci\u00f3n o empresa para:<\/p>\n\n\n\n \u00bfComo es eso posible? En el caso de un ataque por correo electr\u00f3nico, un delincuente cibern\u00e9tico falsifica un nuevo encabezado de correo electr\u00f3nico que hace que parezca que el correo electr\u00f3nico se origina en la direcci\u00f3n de correo electr\u00f3nico leg\u00edtima de una empresa<\/a>. En una falsificaci\u00f3n de dominio del sitio web, el ciberdelincuente crea un sitio web fraudulento y con un dominio que parece leg\u00edtimo o est\u00e1 cerca del original ( por ejemplo, apple[.]com vs apple[.]co).<\/p>\n\n\n\n Aunque suena como si hablamos de un ataque de Clone Phishing, un ataque de \u00abgemelo malvado\u00bb es en realidad un asunto muy diferente. A diferencia de los otros m\u00e9todos de phishing que hemos mencionado en este art\u00edculo, un ataque de gemelo malvado es una forma de phishing que aprovecha el Wi-Fi<\/strong>. TechTarget[.]com describe a un ataque de gemelo malvado como \u00abun punto de acceso inal\u00e1mbrico malicioso que se hace pasar por un punto de acceso Wi-Fi leg\u00edtimo para que el atacante pueda recopilar informaci\u00f3n personal o corporativa sin el conocimiento del usuario final<\/em>\u00ab. Este tipo de ataque tambi\u00e9n se ha referido como la estafa de Starbucks porque a menudo tiene lugar en cafeter\u00edas.<\/p>\n\n\n\n En este tipo de ataques, el ciberdelincuente crea un punto de acceso Wi-Fi que se parece al real: incluso utilizar\u00e1n el identificador de servicio establecido (SSID) que es el mismo que la red real. Cuando los usuarios finales se conectan, el atacante puede escuchar a escondidas el tr\u00e1fico de su red y robar sus nombres de cuenta, contrase\u00f1as y ver los archivos adjuntos<\/strong> a los que accede el usuario mientras est\u00e1 conectado al punto de acceso comprometido. (Consejo: una VPN mantendr\u00e1 sus datos seguros incluso en una red Wi-Fi comprometida).<\/p>\n\n\n\n El 58% de todos los sitios web de phishing ahora se efect\u00faan a trav\u00e9s del protocolo HTTPS<\/a>. El enfoque que utilizan los ciberdelincuentes en estos ataques es enviar un correo electr\u00f3nico con solo un enlace de aspecto leg\u00edtimo en el cuerpo del correo electr\u00f3nico. A menudo, no hay otro contenido, excepto el enlace en s\u00ed (que se puede hacer clic o un enlace no activo que requiere que el destinatario copie y pegue la URL en su barra de direcciones web).<\/p>\n\n\n\n Entonces, \u00bfpor qu\u00e9 alguien har\u00eda clic intencionalmente en el enlace?<\/strong> La respuesta corta es porque el atacante usa una variedad de t\u00e1cticas de ingenier\u00eda social para enga\u00f1ar al destinatario del correo electr\u00f3nico para que haga clic en el enlace o copie y pegue la URL en su navegador web (lo que dificulta la detecci\u00f3n de este tipo de correo electr\u00f3nico). . Esto incluye enviar los mensajes desde una direcci\u00f3n de correo electr\u00f3nico que parezca leg\u00edtima, por ejemplo, del jefe o compa\u00f1ero de trabajo del destinatario.<\/p>\n\n\n\n El phishing por SMS, o \u00absmishing\u00bb, es una forma de phishing que aprovecha la adicci\u00f3n del mundo a los mensajes de texto y las comunicaciones instant\u00e1neas. \u00bfAlguna vez has recibido un mensaje de texto de Netflix pidiendo actualizar tu forma de pago?<\/strong> El smishing es una forma en que los delincuentes cibern\u00e9ticos pueden atraer a los usuarios a descargar software malicioso mediante el env\u00edo de mensajes de texto que parecen provenir de fuentes leg\u00edtimas y contienen direcciones URL maliciosas para que hagan clic. <\/p>\n\n\n\n Una forma de evitar ser v\u00edctima de ataques de smishing es ignorar totalmente cualquier mensaje de texto no solicitado. Si no te registraste para recibir notificaciones de texto, no hagas clic en la URL cuando recibas ese texto. Cuando tenga dudas sobre la autenticidad de un mensaje, simplemente conf\u00eda en la lecci\u00f3n que tus padres o maestros te ense\u00f1aron cuando eras ni\u00f1o: no hables con extra\u00f1os.<\/strong><\/p>\n\n\n\n Un ataque de Spear Phishing es una forma espec\u00edfica de phishing. A diferencia de los correos electr\u00f3nicos de suplantaci\u00f3n de identidad (phishing) generales, que utilizan t\u00e1cticas similares al spam para llegar a miles de personas en campa\u00f1as de correo electr\u00f3nico masivas, los ataques de Spear Phishing se dirigen a personas espec\u00edficas dentro de una organizaci\u00f3n<\/strong>. Utilizan t\u00e1cticas de ingenier\u00eda social para ayudar a adaptar y personalizar los correos electr\u00f3nicos a sus v\u00edctimas previstas. Pueden usar l\u00edneas de asunto que ser\u00edan temas de inter\u00e9s para los destinatarios del correo electr\u00f3nico para enga\u00f1arlos para que abran el mensaje y hagan clic en los enlaces o archivos adjuntos.<\/p>\n\n\n\n \u00bfPor qu\u00e9 es tan relevante el Spear Phishing? Porque el 91% de los ataques cibern\u00e9ticos comienzan con un correo electr\u00f3nico de phishing. El objetivo a menudo es robar datos o instalar malware en la computadora del destinatario para obtener acceso a su red y cuentas. Desafortunadamente, es posible que los m\u00e9todos de seguridad tradicionales no detengan este tipo de ataques<\/strong> porque est\u00e1n tan altamente personalizados que muchos filtros de spam tradicionales pueden pasarlos por alto.<\/p>\n\n\n\n Ya le\u00edste sobre smishing y entiendes que es phishing a trav\u00e9s de mensajes SMS. Por lo tanto, si crees que \u00abvishing\u00bb es \u00abphishing de voz\u00bb (phishing a trav\u00e9s del tel\u00e9fono), entonces est\u00e1s en lo correcto. Un ataque de vishing ocurre cuando un delincuente llama a tu tel\u00e9fono para intentar que proporciones informaci\u00f3n personal o financiera. A menudo usan llamadas autom\u00e1ticas que desv\u00edan a las personas que caen en sus t\u00e1cticas y terminan hablando con los criminales. Tambi\u00e9n utilizan aplicaciones m\u00f3viles y otras t\u00e9cnicas para falsificar su n\u00famero de tel\u00e9fono o para ocultar sus n\u00fameros de tel\u00e9fono por completo.<\/p>\n\n\n\n Estos atacantes utilizan con frecuencia una variedad de t\u00e1cticas de ingenier\u00eda social para enga\u00f1arte y proporcionarte esta informaci\u00f3n. Tambi\u00e9n se sabe que pretenden ser otra persona: tu banco, una entidad de gobierno o un ejecutivo de tu empresa que afirma trabajar en otra sucursal. Reclamar\u00e1n que debes impuestos, o que tu tarjeta de cr\u00e9dito tiene actividades sospechosas y debe cerrarse de inmediato\u2026 primero deber\u00e1n \u00abverificar\u00bb tu informaci\u00f3n personal antes de que puedan cerrar la tarjeta y volver a emitir una nueva.<\/p>\n\n\n\n No caigas en esta trampa, simplemente corta la llamada.<\/p>\n\n\n\n Este tipo menos conocido de ataque de phishing recuerda a una escena del reino animal. Imagina un grupo de cebras, ant\u00edlopes y otras criaturas en el Serengeti en un abrevadero. Para refrescarse, se acercan m\u00e1s al agua y se inclinan para tomar una bebida. Una cebra decide alejarse y vaga demasiado lejos de la manada en el agua. De repente, un cocodrilo brota de debajo de la superficie del agua y la agarra, arrastr\u00e1ndola hacia abajo.<\/p>\n\n\n\n S\u00ed, lo has adivinado: eres la cena a rayas en este escenario<\/strong>.<\/p>\n\n\n\n Los ataques de Watering hole phishing funcionan de esta forma:<\/p>\n\n\n\n Los sitios seleccionados para la infecci\u00f3n pueden ser un proveedor cuyos servicios utiliza tu empresa. El objetivo es infectar los sitios web para que cuando tu o tus empleados lo visiten, tus computadoras se carguen autom\u00e1ticamente con malware.<\/strong> Esto proporcionar\u00e1 a los atacantes acceso a tu red, servidores e informaci\u00f3n confidencial, como datos personales y financieros.<\/p>\n\n\n\n \u00bfLas otras personas que visitan el sitio infectado ser\u00e1n v\u00edctimas del ataque? Por supuesto. Pero solo son da\u00f1os colaterales y v\u00edctimas adicionales para los ciberdelincuentes.<\/p>\n\n\n\n El Whaling una forma de phishing que se parece mucho a la versi\u00f3n inversa del fraude del CEO. En lugar de dirigirse a personas de niveles inferiores dentro de una organizaci\u00f3n, los delincuentes cibern\u00e9ticos se dirigen a los ejecutivos de alto nivel, como los CEOs, directores, presidentes, gerentes, etc<\/strong>. El objetivo es enga\u00f1ar al ejecutivo para que revele informaci\u00f3n confidencial y datos corporativos. Estos objetivos se seleccionan cuidadosamente debido a su acceso y autoridad dentro de una organizaci\u00f3n. Estos ataques a menudo utilizan el spoofing de dominio.<\/p>\n\n\n\n A diferencia de los correos electr\u00f3nicos de phishing en general, estos mensajes se basan en t\u00e1cticas de ingenier\u00eda social que utilizan la informaci\u00f3n que obtienen de Internet y de varias plataformas de redes sociales. Est\u00e1n altamente adaptados a sus audiencias y, a menudo, incluyen:<\/p>\n\n\n\n Hay otros tipos de ataques de phishing, sin embargo en este articulo hemos abordado al menos los m\u00e1s frecuentes.<\/p>\n\n\n\n La ciberseguridad verdaderamente efectiva es un enfoque de m\u00faltiples capas. Estas son algunas de las cosas que puede hacer para evitar ser la pr\u00f3xima victima del phishing:<\/p>\n\n\n\n Esto deber\u00eda ser evidente, pero vale la pena repetirlo, ya que esto parece ser un punto de fricci\u00f3n para algunas empresas: capacitar a sus empleados.<\/p>\n\n\n\n Todos ellos. Esto incluye a todos, desde los conserjes hasta el CEO.<\/p>\n\n\n\n Hemos preparado un checklist que puedes distribuir entre tus empleados para ayudarlos a detectar un correo legitimo de uno fraudulento. Descargalo gratis aqu\u00ed<\/a>.<\/p>\n\n\n\n10 tipos de ataques de phishing que amenazan a tu empresa<\/h2>\n\n\n\n
1. Fraude del CEO \/ Cuenta empresarial comprometida<\/h3>\n\n\n\n
2. Clone Phishing<\/h3>\n\n\n\n
3. Suplantaci\u00f3n de dominio (Spoofing de Dominio)<\/h3>\n\n\n\n
4. Gemelo malvado<\/h3>\n\n\n\n
5. Phishing HTTPS<\/h3>\n\n\n\n
6. Smishing (SMS phishing)<\/h3>\n\n\n\n
7. Spear phishing<\/h3>\n\n\n\n
8. Vishing<\/h3>\n\n\n\n
9. Watering hole phishing<\/h3>\n\n\n\n
10. Whaling<\/h3>\n\n\n\n
C\u00f3mo puedes evitar caer en muchos tipos de ataques de phishing<\/h2>\n\n\n\n
Entrena a tus empleados para adoptar las mejores pr\u00e1cticas de correo electr\u00f3nico<\/h3>\n\n\n\n
Implementar el uso de certificados de firma de correo electr\u00f3nico.<\/h3>\n\n\n\n