Ataques de phishing - Cómo reconocerlos y evitarlos
Lectura de 2 min aprox.
El phishing es una técnica de ciberataque que utiliza sitios web y correos electrónicos falsos que se hacen pasar por servicios o empresas legítimos para engañar a los usuarios y obtener sus contraseñas, números de tarjeta de crédito e información personal. La palabra combina «fishing» (pesca) y «sophisticated» (sofisticado), en alusión a cómo los atacantes «pescan» a los usuarios con señuelos ingeniosos. Según el informe de 2024 del FBI, el phishing encabeza cada año la lista de víctimas de delitos cibernéticos, y el aumento de los ataques que abusan de la IA generativa se ha señalado como una nueva amenaza.
Antecedentes históricos
Los orígenes del phishing se remontan a AOL (America Online) a mediados de la década de 1990. La técnica de atacantes que se hacían pasar por personal de AOL para extraer las contraseñas de los usuarios se considera uno de los primeros casos. En la década de 2000, el phishing dirigido a la banca en línea se disparó, y a partir de la década de 2010 los ataques contra servicios en la nube y cuentas de redes sociales se volvieron predominantes. En los últimos años, el abuso de la IA generativa ha facilitado la creación de correos de phishing gramaticalmente impecables, dejando ineficaz el método tradicional de detectar el «lenguaje poco natural».
Tipos de phishing y comparación
El phishing común apunta de forma indiscriminada al público general, pero también existen variantes más avanzadas. El spear phishing es un ataque dirigido contra una persona u organización concreta, que envía correos de gran credibilidad tras investigar de antemano la información del destinatario. El whaling es una forma de spear phishing que apunta a los altos directivos (como el CEO o el CFO) y debe su nombre a la idea de ir tras la «ballena» (whale). El smishing es phishing realizado mediante SMS, y el vishing es una técnica que usa llamadas telefónicas. La precisión del ataque y el daño económico tienden a aumentar en el orden phishing común → spear phishing → whaling.
Los fundamentos de la defensa contra el phishing se pueden aprender de forma sistemática con libros sobre defensa en ciberseguridad (Amazon).
Casos de uso reales
«En la reunión del CSIRT de esta mañana se reportaron tres correos de phishing dirigidos al departamento de contabilidad. El dominio del remitente se diferenciaba del legítimo por un solo carácter, y llevaba adjunto malware disfrazado de PDF de factura.»
Flujo del ataque
Cómo detectarlo
Para detectar un correo de phishing, es importante revisar el dominio de la dirección del remitente. A menudo se usan direcciones que difieren sutilmente del dominio legítimo (por ejemplo, amaz0n.com). Además, los textos que generan sensación de urgencia, como «su cuenta será suspendida» o «responda en un plazo de 24 horas», son un rasgo típico del phishing. Comprueba siempre la URL de destino antes de hacer clic y asegúrate de que sea el dominio legítimo.
Contramedidas y trampas en la práctica
Un error común en el ámbito de la seguridad es el exceso de confianza de pensar «a mí no me engañan». Según las investigaciones sobre la ingeniería social, no es raro que incluso los expertos en seguridad caigan en un phishing ingeniosamente elaborado. En las organizaciones, los simulacros periódicos de phishing son eficaces; se dice que las empresas que los realizan reducen las tasas de clic en más de un 60% de media. Al usar una contraseña aleatoria y distinta para cada servicio, aunque seas víctima de phishing en un servicio, puedes evitar que el daño se extienda a los demás. Configurar la autenticación de dos factores es también una contramedida eficaz.libros de alfabetización en seguridad de la información (Amazon) también ayudan a reforzar tus defensas cotidianas.
¿Te resultó útil este artículo?