Tecnica Seleccionada: PHISHING

¿QUÉ ES PHISHING?

El sitio web enclave de ciencia, plataforma creada por la Real Academia Española (RAE) y la Fundación Española para la Ciencia y la Tecnología F.S.P. (FECYT) con el objetivo de dar soporte a la comunicación científica y tecnológica y que tiene como objetivo contribuir a que la población, en general, y la comunidad científica y educativa, en particular, comprendan mejor el vocabulario científico-técnico, definen al phishing (Informática) como un conjunto de técnicas que utilizan los delincuentes para obtener claves de acceso ajenas del servicio de banca electrónica y limpiar literalmente cuentas corrientes ajenas, como la creación de páginas web falsas similares a las de los bancos, o enviar falsos mensajes de correo electrónico solicitando contraseñas (1).

De otra parte la compañía de seguridad informática AVAST indica que el "phishing" es una técnica de ciberdelincuencia que utiliza el fraude, el engaño y el timo para manipular a sus víctimas y hacer que revelen información personal confidencial (2).

Por lo general un ataque de phishing consta de tres componentes:

  1. El ataque se realiza mediante comunicaciones electrónicas, como un correo electrónico, un mensaje de texto con determinado link o una llamada telefónica.
  2. El atacante se hace pasar por una persona u organización de confianza.
  3. El objetivo es obtener información personal confidencial, como credenciales de inicio de sesión o números de tarjeta de crédito.

Este es el engaño del que el phishing obtiene su nombre: el ciberdelincuente sale de «pesca» («fishing», en inglés, con la misma pronunciación que «phishing») con un «cebo» atractivo para ver si alguna víctima pica en el vasto «océano» de los usuarios de Internet. Las letras ph de «phishing» proceden de una afición de mediados del siglo XX, el llamado «phone phreaking», que consistía en experimentar con las redes de telecomunicaciones para averiguar su funcionamiento. Phreaking + fishing = phishing.

¿CÓMO FUNCIONA EL PHISHING?

Indistintamente de si se desarrolla por correo electrónico, por redes sociales, por SMS o mediante cualquier otro sistema, todos los ataques de phishing siguen los mismos principios básicos. El atacante envía una comunicación dirigida con el fin de persuadir a la víctima para que haga clic en un enlace, descargue un archivo adjunto o envíe una información solicitada, o incluso para que complete un pago. La naturaleza del engaño queda a la imaginación y la habilidad del atacante.

Con la masificación de las redes sociales, los «phishers» tienen acceso a más información personal que nunca sobre sus objetivos. Armados con estos datos, pueden personalizar al detalle los ataques según las necesidades, deseos y circunstancias vitales del objetivo, y así crear una propuesta mucho más atractiva. En estos casos, las redes sociales hacen posible una ingeniería social mucho más potente.

¿CUÁLES SON LOS DISTINTOS TIPOS DE ESTAFA DE PHISHING?

  • Phishing por correo electrónico: los mensajes de correo electrónico son, de largo, el método más común para entregar el cebo del phishing. Estos mensajes suelen contener enlaces que llevan hasta sitios web maliciosos o archivos adjuntos infectados con malware. Más adelante en este artículo veremos qué aspecto puede tener un correo electrónico de phishing, para que sepa qué mensajes debe evitar.
  • Phishing por sitio web: los sitios web de phishing, también conocidos como sitios falsificados, son copias falsas de sitios web que conoce y en los que confía. Los hackers crean estos sitios para engañarlo de modo que introduzca sus credenciales de inicio de sesión, que a continuación utilizarán para conectarse a sus cuentas. Las ventanas emergentes son otra fuente habitual de phishing por sitio web.
  • Vishing: esta abreviatura de «voice phishing» (phishing de voz) hace referencia a la versión sonora del phishing de Internet. El atacante intenta convencer por teléfono a las víctimas para que revelen información personal que pueda utilizarse más adelante para el robo de identidad. Muchas robollamadas son intentos de vishing.
  • Smishing: el smishing es phishing mediante SMS. Recibe un mensaje de texto donde se le pide que haga clic en un enlace o descargue una aplicación. Sin embargo, al hacerlo se le engaña para que descargue en su teléfono un malware que puede captar su información personal y enviarla al atacante.
  • Phishing por redes sociales: algunos atacantes pueden colarse en las cuentas de redes sociales y forzar a la gente a enviar enlaces maliciosos a sus amigos. Otros crean perfiles falsos y los utilizan para engañar a sus víctimas.
como-funciona-el-phishing.jpg

Fuente Imagen: https://xspy.mx/2021/03/13/el-phishing/

¿CUÁLES SON LAS PRINCIPALES ESTRATEGIAS DE PHISHING?

Los hackers pueden lanzar una amplia gama de ataques que van desde lo técnicamente admirable hasta el timo más clásico:

  • Phishing de engaño: el «phishing de engaño» es un término que se refiere específicamente al intento de los hackers por hacerse pasar por empresas o personas legítimas con el fin de obtener confianza.
  • Phishing personalizado: las campañas de phishing a gran escala son como barcos pesqueros industriales que intentan capturar todo lo que pueden con sus redes de arrastre. Por el contrario, el phishing personalizado adapta sus ataques a cada objetivo concreto. Redes sociales profesionales como LinkedIn han popularizado el phishing personalizado dirigido contra empresas, ya que los hackers pueden encontrar fácilmente y en un mismo sitio toda la información laboral.
  • Whaling: existe el whaling («pesca de ballenas»), que consiste en ataques de phishing dirigido contra una persona concreta de alto valor. Es igual que el phishing personalizado, pero con objetivos mucho más ambiciosos. Ni siquiera los grandes ejecutivos son inmunes a los ataques de whaling.
  • Fraude de CEO: los phishers se hacen pasar por el director ejecutivo (CEO) o por cualquier otro alto cargo de una empresa con el fin de obtener un pago o información sobre los empleados. Las campañas de fraude de CEO son habituales tras un ataque de whaling, pues el atacante ya ha obtenido las credenciales del directivo.
  • Pharming: los ataques de pharming (combinación de «phishing» y «farming», «cultivo») utilizan trucos tecnológicos para engañar, en sustitución del cebo habitual. Por ejemplo, la suplantación de identidad de DNS, también conocida como envenenamiento de la memoria caché de DNS, es una técnica de pharming que puede redirigir al usuario hasta la versión falsificada de un sitio web. Si no se presta atención, no se notará el engaño hasta que sea demasiado tarde.
  • Phishing por Dropbox y por Google Docs: los servicios de cloud populares son objetivos atractivos para el phishing. Los atacantes apañan versiones falsificadas de las pantallas de inicio de sesión, consiguen las credenciales del destinatario cuando las introduce y, a continuación, se dan un buen atracón con sus archivos y datos.
  • Phishing de clonación: los atacantes toman un correo electrónico legítimo, lo «clonan» y envían una copia exacta a todos los destinatarios previos, con un cambio fundamental: ahora los enlaces son maliciosos.
  • Manipulación de enlaces: los phishers envían enlaces que parecen conducir a una dirección URL, pero al hacer clic en ellos llevan a otra parte. Entre los trucos habituales están los errores ortográficos deliberados (p. ej., «luna» y «Iuna» parecen iguales, pero el segundo emplea una i mayúscula) o el uso del nombre de un sitio web de confianza como texto visible de un enlace. Estos ataques también se conocen como homógrafos.
  • Scripting entre sitios: phishers sofisticados pueden aprovechar debilidades en los scripts de un sitio web para secuestrarlo y emplearlo con distintos fines. El scripting entre sitios es difícil de detectar porque en el sitio web todo parece legítimo, desde la URL hasta los certificados de seguridad.

¿CUÁLES SON LOS EFECTOS PHISHING?

La mayor parte del phishing puede dar como resultado el robo de identidades o de dinero, y también es una técnica eficaz para el espionaje industrial y el robo de datos. Algunos hackers llegan incluso a crear perfiles falsos en redes sociales, invierten un tiempo en desarrollar una relación con las posibles víctimas y esperan a que exista confianza para hacer saltar la trampa. ¿Cuál es el coste del phishing? No solo hay daños financieros: en estos casos también se produce una pérdida de confianza. No es nada agradable ser estafado por alguien en quien creíamos poder confiar; además, la recuperación puede ser lenta.

FUENTE:

1 - https://enclavedeciencia.rae.es/phishing
2 - https://www.avast.com/es-es/c-phishing

⌂Inicio

Si no se indica lo contrario, el contenido de esta página se ofrece bajo Creative Commons Attribution-ShareAlike 3.0 License