¿Qué es el phishing?

El phishing es el acto de intentar engañar al destinatario de un correo electrónico malicioso para que lo abra y siga sus instrucciones. El "remitente" del correo electrónico engaña a la víctima haciendo que el mensaje parezca provenir de una fuente fiable, como un organismo estatal, un proveedor o un cliente de la empresa.

El correo electrónico de phishing puede tener adjunto un archivo malicioso, como un documento de Word o PDF, que, una vez abierto, daña el equipo del usuario instalando malware. El ataque también puede esconderse en un enlace URL malicioso en el cuerpo del mensaje del correo. Cuando el usuario hace clic en ese enlace, accede a un sitio que parece legítimo, pero que en realidad se utiliza para recopilar información confidencial, como nombres de usuario y contraseñas, o instalar malware en el dispositivo.

¿Cómo lo consiguen?

Para lograr esto, los ciberdelincuentes utilizan cuentas de correo electrónico robadas, o bien suplantan las direcciones de correo electrónico remitentes, ocultando la dirección maliciosa. Es algo relativamente sencillo: no hace falta hacer mucho más que alterar el encabezado del correo electrónico para que, cuando llega a la bandeja de entrada del usuario, parezca que lo haya enviado info@subanco.com en lugar de juangarcia@ejemplo.com.

Los ciberdelincuentes utilizan cuentas de correo electrónico robadas o suplantan las direcciones de correo electrónico remitentes.

Lamentablemente, por defecto, el servidor de correo electrónico que se encarga de recibir el correo electrónico no comprueba que ejemplo.com esté autorizado para enviar mensajes en nombre de subanco.com. Se ha propuesto e implementado un sinfín de soluciones técnicas para eliminar esta vulnerabilidad de autenticación en el correo electrónico, pero el proceso ha sido lento.1 Una de las dificultades radica en que tanto el servidor de envío como el de recepción de correo electrónico deben estar configurados correctamente para que pueda funcionar la autenticación.

Los ataques de correo electrónico de phishing suelen ser parte de ataques de spam más amplios, y a menudo se distribuyen en grandes volúmenes desde botnets de ordenadores afectados. En 2016, el volumen de spam aumentó en un 400 %, considerándose spam casi la mitad de todos los correos electrónicos enviados en todo el mundo.2 Con el desmantelamiento de la botnet Necurs, los volúmenes de spam han disminuido en un 50 % a lo largo de 2017;3 no obstante, a pesar de esta trayectoria positiva, el correo electrónico sigue siendo el principal método de distribución de malware.4

Tipos de phishing

Phishing engañoso. Este es el método de phishing más frecuente, por el que los ciberdelincuentes suplantan la identidad de una empresa o dominio legítimos e intentan robar información de identificación personal (PII) o credenciales de inicio de sesión. Esta forma de phishing a menudo carece de personalización y se difunde sin centrarse en un objetivo concreto. El atacante espera que, si el volumen de mensajes es muy alto, acabará abriéndolos el número de usuarios suficiente para lograr su objetivo.

Un ejemplo de este tipo de estafa sería un correo electrónico de phishing de un "banco" que se envía a un gran número de personas, esperando que algunos de los destinatarios resulten ser clientes del banco suplantado. El asunto del correo electrónico suele escribirse de manera que genere una sensación de urgencia; por ejemplo, "Han robado su cuenta bancaria, actualice su contraseña inmediatamente" o "Factura vencida adjunta, páguela ahora para evitar acciones legales". Como se ha descrito anteriormente, una vez que se hace clic en el enlace y se envía la información, o se abre el archivo adjunto, el daño ya está hecho.

"Han robado su cuenta bancaria, actualice su contraseña inmediatamente"

Spear-phishing. A diferencia de los correos electrónicos de phishing normales, los de spear-phishing están muy personalizados. El objetivo final es el mismo, engañar al destinatario para que haga clic en un enlace URL o un archivo adjunto maliciosos; pero, en este caso, el mensaje contiene el nombre, la empresa o el cargo de la víctima, o se mencionan a sus compañeros de trabajo y contactos. Estos detalles personales hacen mucho más probable que el usuario abra o ejecute el contenido malicioso. Además, dada la proliferación de redes sociales y sitios web para hacer contactos profesionales, a los ciberdelincuentes les resulta relativamente sencillo reunir la información personal necesaria para redactar un mensaje convincente.

Whale-phishing, fraude dirigido a directores ejecutivos o ataques de correos electrónicos de empresa (BEC). Este tipo de phishing se dirige al equipo ejecutivo de una empresa con el fin de recopilar las credenciales de inicio de sesión de una "ballena" ("whale"), es decir, un alto ejecutivo. Una vez robados estos datos, los ciberdelincuentes pueden suplantar su identidad, llevando a cabo lo que se conoce como fraude dirigido a directores ejecutivos a través de correos electrónicos de empresa (BEC), y autorizar transferencias bancarias u otras acciones de gran impacto. Un ejemplo de esto sería un correo urgente enviado "desde" la dirección de una directora ejecutiva al equipo de finanzas en el que autoriza una transferencia de fondos, porque está en China por negocios y necesita pagar urgentemente una factura a un proveedor del país. Entre 2014 y 2016, el fraude dirigido a directores ejecutivos afectó a 12 000 empresas, y supuso un coste de 2000 millones de dólares.5

Entre 2014 y 2016, el fraude de directores ejecutivos afectó a 12 000 empresas, y supuso un coste de 2000 millones de dólares.

Reducción del riesgo de phishing en su negocio

Ofrezca formación al eslabón más débil. Para llevar a cabo el phishing, es necesario que un usuario abra o haga clic en algo malicioso. Por tanto, es de vital importancia formar a los empleados para que sepan reconocer, evitar e informar de los distintos tipos de phishing. Los ejercicios en los que se envían correos electrónicos de "phishing" falsos al personal de la empresa son muy útiles para enseñar a los usuarios a diferenciar entre un mensaje fiable de un proveedor y un correo electrónico de phishing con el asunto "Urgente: factura adjunta, consúltela y páguela ahora". Las empresas deben seguir un programa de formación y concienciación continua en toda la organización.

Recuerde instruir también a los directivos empresariales. Los ejecutivos son tan falibles como sus empleados, pero cualquier paso en falso que den en seguridad tiene consecuencias mucho más graves. El whale-phishing, el fraude dirigido a directores ejecutivos y los ataques BEC siguen propagándose y cada vez son más sofisticados, por lo que debe asegurarse de incluir a los directores en el programa de formación y concienciación de la empresa.

Recuerde instruir también a los directivos empresariales.

Revise los procesos de finanzas. El coste que supone hacer negocios no para de crecer en un mundo tan exigente e hiperconectado como el actual. Por este motivo, a menudo es necesario transferir urgentemente grandes sumas de dinero en todo el mundo, pero varía mucho el grado de rigor que se aplica o acepta en esos procesos. Estudie la posibilidad de implementar procesos que validen la legitimidad de dichas transferencias. A nadie le gusta incomodar, cuestionar o contrariar a un ejecutivo, pero es mejor pecar de prudente que ver desviados cientos de millones de las arcas de la organización.

Implemente varias capas de defensas de seguridad. Basándonos en el principio de que los ciberdelincuentes harán todo lo que esté a su alcance para eludir sus métodos de seguridad y que van cambiando sus tácticas, lo más recomendable es seguir una estrategia de seguridad de defensa en profundidad. Empiece por un filtro de correo electrónico que analice todos los correos entrantes; de esta manera, interceptará buena parte de los intentos de phishing. A continuación, utilice un producto antivirus para puntos de conexión que incluya protección contra phishing. Por último, implemente una solución que examine la solicitud web saliente en el caso de que un usuario haga clic en un enlace malicioso. Esta solución puede estar basada en DNS o en proxy.

Lo más recomendable es seguir una estrategia de seguridad de defensa en profundidad.

Active la autenticación multifactorial. Incluso tomando todas las precauciones anteriores, existe la posibilidad de que sufra un ataque de phishing y el ciberdelincuente robe el nombre de usuario y contraseña de un empleado. Para mitigar este riesgo, implemente la autenticación multifactorial. Así se asegurará de que, aunque roben las credenciales, los agentes maliciosos no puedan acceder a las aplicaciones, los servicios ni la información confidencial de la empresa.


1 https://luxsci.com/blog/state-domain-based-email-authentication-part-1.html
2 https://www.ibm.com/security/data-breach/threat-intelligence-index.html
3 https://www.proofpoint.com/sites/default/files/pfpt-us-tr-q117-threat-report.pdf
4 http://www.verizonenterprise.com/verizon-insights-lab/dbir/2017/
5 https://www.ft.com/content/19ade924-d0a5-11e5-831d-09f7778e7377
6 https://www.ibm.com/security/data-breach/threat-intelligence-index.html
7 https://www.symantec.com/security-center/threat-report
8 https://www.symantec.com/security-center/threat-report
9 https://www.symantec.com/security-center/threat-report
10 https://www.proofpoint.com/us/human-factor-2017
11 https://www.proofpoint.com/us/human-factor-2017