Ciberseguridad

Qué es el phishing avanzado

Un ataque de phishing es un tipo de ciberataque que utiliza correos electrónicos, llamadas o mensajes SMS diseñados para suplantar la identidad de sitios legítimos con la intención de robar información personal y claves de acceso, para realizar acciones maliciosas y acceder a tus cuentas.

Los ataques de phishing avanzado son precisos y difíciles de detectar, ya que parecen mensajes auténticos a simple vista por su gran parecido con las comunicaciones de la empresa o web suplantada. Utilizan técnicas de ingeniería social para conseguir tus contraseñas, el acceso a tu cuenta del banco o instalar malware en tu ordenador. Aprovechan información real sobre ti que han obtenido de diversas formas, como filtraciones en las que tus datos aparecen o investigando en redes sociales.

Por qué es importante conocer estas técnicas

Conocer los ataques de phishing avanzado es crucial para entender cómo los cibercriminales pueden aprovechar la ingeniería social y las tecnologías actuales para engañarnos y robar nuestra información. El impacto de un ataque de phishing avanzado puede comprometer una empresa por completo y paralizarla, por ejemplo, a través de un ataque Business Email Compromise (BEC).

Pero no sólo las empresas son víctimas de ataques de phishing. Como usuarios también es importante mantener hábitos de cyber hygiene que nos protejan de ciberataques que consigan acceso a nuestra cuenta bancaria o a nuestro correo personal.

Características del phishing avanzado

Los cibercriminales inventan cada vez tácticas y engaños más sofisticados, muchas veces sus mensajes pueden ser casi indistinguibles de los mensajes de cuentas oficiales. A continuación, conocerás las principales características:

Personalización de los ataques

Una de las características distintivas del phishing avanzado es el alto grado de personalización de los correos, siendo prácticamente idénticos a los mensajes de las organizaciones que pueden estar suplantando. Si una empresa tiene información sobre ti y sufre una filtración de datos, los atacantes pueden aprovecharla para realizar un ataque de spear phishing.

Es bastante probable que si recibes un ataque de phishing avanzado el cibercriminal ya posea información sobre ti y la aproveche para incrementar la credibilidad del mensaje. Puede ser el nombre completo, un número de teléfono, una dirección o incluso información más privada como el DNI. Esta información suele ser conseguida en bases de datos de filtraciones que se venden en foros y páginas de la dark web.

Es por eso que la formación en ciberseguridad para reconocer las señales de que un correo se trata de un phishing avanzado es indispensable para cualquier organización.

Uso de técnicas de ingeniería social

La ingeniería social es una técnica muy importante en los ataques de phishing porque explota el eslabón más débil en la seguridad, el factor humano. A diferencia de las vulnerabilidades técnicas, que pueden ser parcheadas e imposibilitan un ciberataque, la ingeniería social se basa en la manipulación de las víctimas.

Las técnicas de ingeniería social no dependen de la tecnología, sino de la psicología humana. Pueden utilizarse mensajes que transmitan urgencia a la víctima para que no actúe con claridad, o presión para realizar una tarea de forma rápida y liberarse del trabajo.

Tecnologías modernas en ataques

Los atacantes utilizan tecnologías y plataformas modernas para mejorar la efectividad de sus campañas de phishing:

• Phishing as a Service (PhaaS): Plataformas en la dark web que ofrecen servicios de phishing completos, desde la creación de correos electrónicos basados en plantillas hasta el envío masivo de los correos.
• Herramientas avanzadas de Phishing, como GoPhish, utilizado para realizar campañas masivas de phishing; o Evilginx, que implementa tecnologías para realizar bypass de la autenticación multifactor.

Técnicas comunes en ataques de phishing sofisticado

¿Conoces todas las técnicas utilizadas por los cibercriminales para realizar ataques de phishing avanzado? A continuación, exploramos algunas de las técnicas de phishing avanzado más comunes:

Spear phishing

El spear phishing es un ataque altamente personalizado que se dirige a una persona o grupo en concreto. A diferencia de un ataque de phishing tradicional, éste utiliza información detallada sobre la víctima para ganar credibilidad. La información puede ser recogida a través de fuentes abiertas (OSINT) o en fugas de datos de empresas que hayan sufrido un ciberataque, por ejemplo.

Es común en entornos empresariales hacia objetivos que dispongan privilegios elevados, ya que los atacantes buscan atacar a cuentas que dispongan de información sensible o una relevancia dentro de la organización.

Whaling

El whaling es una variante del spear phishing que apunta a altos ejecutivos y personas con puestos importantes en las empresas. Los atacantes suelen suplantar la identidad de proveedores, familiares o empresas de la competencia para engañar a sus víctimas, contactando con ellos y logrando el acceso a sus cuentas o transferencias de dinero.

Debido al perfil de las víctimas, los correos suelen ser extremadamente elaborados y el atacante ha hecho un trabajo de investigación de la víctima del phishing. Suelen ser difíciles de detectar debido al lenguaje profesional y la cantidad detalles que pueden especificar en las suplantaciones de identidad.

Phishing a través de redes sociales

A través de las redes sociales, los cibercriminales pueden contactar con usuarios de diferentes servicios. Entre las técnicas más comunes destacan:

• Suplantación de marca: Los atacantes crean perfiles falsos que simulan ser cuentas oficiales de empresas para engañar a los usuarios. Pueden crear publicaciones hacia sitios web maliciosos, o buscar publicaciones con el nombre de la marca para encontrar a usuarios a los que solicitar información personal, como contraseñas o números de tarjetas bancarias.
• Suplantación de familiares: A través de redes sociales los ciberdelincuentes fingen ser amigos de la infancia o familiares lejanos de la víctima, solicitando ayuda económica con urgencia. Estas estrategias explotan la confianza de los humanos con las relaciones cercanas.

Ataques en tiempo real

Este tipo de ataques combina el phishing con interacciones en directo, como llamadas telefónicas o mensajes instantáneos. Los cibercriminales pueden simular ser trabajadores de entidades confiables (como bancos, empresas proveedoras de servicios o instituciones gubernamentales) utilizando datos específicos de la víctima para parecer legítimos.

Por ejemplo, un estafador puede llamar alegando ser de un banco, contactando acerca de una falsa transacción que ha sido calificada como fraudulenta en la cuenta de la víctima, y pedir datos de acceso para “resolver el problema” urgentemente. Esto genera presión en la víctima, forzando a que se disminuya su tiempo de reacción y aumentando la probabilidad de éxito.

Los ataques en tiempo real suelen apoyarse de canales de mensajería, por lo que también pueden sufrirse ataques de phishing vía WhatsApp. En esta técnica, pueden suplantar la identidad de un familiar lejano desconocido o un reclutador de recursos humanos que te ofrece un puesto de trabajo.

Cómo reconocer señales de phishing avanzado

A continuación, conocerás las señales clave para evitar ser víctima de phishing:

Errores sutiles en el lenguaje

Una de las señales más comunes de que estamos ante un ataque de phishing son los errores sutiles en el lenguaje. Pueden pasar desapercibidos si no se presta atención al mensaje, por lo hay que fijarse en palabras poco habituales o expresiones que no encajan en el contexto, así como cambios de género en las palabras (por ejemplo, “abre la enlace” o “descargar la archivo”).

Otro indicador es la mezcla de diferentes idiomas en el mensaje y encontrar frases mal estructuradas o traducciones incorrectas debido a traducciones automáticas, que rompen el ritmo del mensaje. Identificar estos detalles puede ser la diferencia entre sufrir un ataque de phishing o detectarlo a tiempo.

URLs sospechosas

Como norma general, un buen hábito de cyber hygiene es no interactuar con correos electrónicos que recibamos de páginas que no conocemos o no estamos registrados, dado que es probable que se trate de correo no deseado o un ataque phishing.

Puede que el atacante haya creado una web con un nombre de dominio similar, por lo que hay que ir con cuidado con las URL adjuntas en los correos. Si el correo dice ser de una aplicación o web es indispensable comprobar que las URL que se incluyen en el correo son las de la página oficial. Si detectas que el dominio es diferente, puede que estés siendo víctima de un ataque de phishing.

A tu disposición tienes páginas como VirusTotal.com o URLVoid.com para comprobar la legitimidad de un enlace que sospeches que pueda ser malicioso.

Solicitudes urgentes o inusuales

Otra señal de alerta son los mensajes inusuales o que indican una gran urgencia. Los ciberdelincuentes buscan generar presión para que la víctima no piense con claridad y aumenten las probabilidades de sufrir el ataque de phishing.

Si se recibe una solicitud urgente inesperada, como un bloqueo inminente de una cuenta o una transacción sospechosa de un precio elevado, puede que se trate de un phishing. En escenarios de urgencia hay que utilizar los canales oficiales, es importante observar el mensaje con tranquilidad para comprobar si es coherente o si se encuentra algún error en el lenguaje que pueda reflejar que se trata de una suplantación de identidad.

Archivos adjuntos y enlaces desconocidos

En un ataque de phishing o spear phishing, es posible que el cibercriminal adjunte en el correo enlaces a páginas web externas con la intención de que accedas a ellas, o archivos maliciosos para que los descargues y abras en tu ordenador.

En caso de sospecha de estar sufriendo un ataque de phishing, siempre es recomendable no interactuar con el correo electrónico. Antes de descargar un archivo, fíjate siempre en las extensiones de los archivos para verificar que el documento coincide con la extensión, ya que los atacantes suelen disfrazar los virus con extensiones que aparentan ser inofensivas.

Si ya se encuentra descargado en tu ordenador, es recomendable que en el explorador de archivos tengas habilitada la vista de las extensiones de los archivos. Los atacantes pueden intentar hacer pasar archivos corrientes como PDF en ejecutables con extensiones como “.exe”, “.msi”, “.cmd”, “.bat”, “.lnk”, entre otros.

Técnicas y herramientas de prevención

Pese a que los ataques de phishing sean cada vez más sofisticados, las defensas también evolucionan y protegen de forma más efectiva y sencilla nuestras cuentas, consiguiendo un mayor equilibrio entre la seguridad y la operatividad.

A continuación, conocerás las principales técnicas y herramientas que tienes a tu disposición para prevenir este tipo de ciberataques.

Verificación de identidad

La verificación de identidad es una herramienta clave para la protección de los usuarios y empresas frente a ataques de phishing. Uno de los métodos más seguros y utilizados es el uso de biometría, como huellas dactilares, reconocimiento facial o escaneo de retina; garantizando un acceso difícil de falsificar.

Otro enfoque es la autenticación basada en tokens físicos o virtuales, que generan códigos únicos para la autenticación.

Actualización constante de software

Tanto a nivel personal como empresarial, actualizar los sistemas operativos evita que los cibercriminales puedan aprovecharse de los fallos de seguridad para sus actividades fraudulentas. Mantener los sistemas actualizados y mejorarlos continuamente es fundamental para evitar la explotación de las vulnerabilidades conocidas por los atacantes. Diferentes vulnerabilidades pueden ser aprovechadas por los actores maliciosos para atacar la infraestructura de tu empresa.

Por ejemplo, vulnerabilidades de redirección pueden aprovechar sitios legítimos para enviar a webs fraudulentas a los usuarios, o vulnerabilidades de divulgación de información pueden ser aprovechadas por los atacantes para crear ataques dirigidos.

Gestión segura de contraseñas

Una gestión segura de las contraseñas de tu empresa reducirá el riesgo de accesos no autorizados y nunca reutilizar las contraseñas, dado que obtenerla por una filtración puede poner en peligro demás accesos, causando un “efecto dominó”. Para ello, los gestores de contraseñas facilitan la creación y almacenamiento de las credenciales, así como su intercambio seguro entre los usuarios.

Se recomienda utilizar contraseñas que contengan una combinación de letras, números y símbolos, con al menos 12 caracteres de longitud. Además, es recomendable que se cambien periódicamente en función de su criticidad, que puede variar entre tres y doce meses. Las cuentas con los accesos más críticos deben ser cambiadas con mayor frecuencia, y siempre junto a autenticación multifactor.

Simulaciones de phishing

Las simulaciones de phishing ayudan a educar a los empleados sobre cómo detectar intentos de fraude en tiempo real y medir la eficacia de las formaciones en ciberseguridad. Existen plataformas de formación que permiten crear campañas de phishing y establecer planes de formación para los usuarios que caigan en el anzuelo.

Para poner a prueba a los usuarios, un equipo de red team puede realizar una campaña de phishing ético para concienciar a los trabajadores de los peligros de no prestar atención e interactuar con correos maliciosos.

Filtros antiphishing

Los filtros antiphishing ayudan a prevenir ataques bloqueando correos maliciosos y suplantaciones de identidad antes de que lleguen a la bandeja de entrada de los usuarios. Plataformas como Cisco Email Security (CES), Proofpoint o Microsoft Defender son soluciones que protegen las comunicaciones de las empresas.

Estas herramientas permiten realizar análisis de archivos adjuntos y aprovechan las políticas DMARC para el correo seguro, que permiten frenar una gran cantidad de correos maliciosos que pueden ir dirigidos a tu organización.

Autenticación multifactor (MFA)

La autenticación multifactor (MFA) es un requisito indispensable para cualquier cuenta que sea creada. Esta capa de seguridad adicional frena a los cibercriminales en un escenario en el que consigan las credenciales o exploten una vulnerabilidad que les permita acceder a una cuenta, ya que será necesaria una confirmación adicional para realizar cualquier inicio de sesión.

Ya sea a través de mensajes SMS, correos electrónicos de verificación o aplicaciones de autenticación como Authenticator; la autenticación en dos pasos o más es una de las barreras más fáciles de aplicar y más efectiva ante las intrusiones y ataques de suplantación de identidad.

Educación y concienciación

La formación continua es uno de los pilares de la protección ante phishing avanzado. Ofrecer formación periódica a través de cursos como los de OpenWebinars permite a las personas y empresas estar al día sobre las últimas técnicas de los cibercriminales y las mejores prácticas para evitar ser víctimas. El curso Protege tu empresa: Aprende a detectar y responder ante ataques de Phishing está diseñado para detectar y responder ante ataques de phishing de forma efectiva.

Análisis de inteligencia de amenazas

La inteligencia de amenazas proporciona información clave sobre cómo los ciberatacantes realizan las campañas de phishing y cómo cambian sus operativas según el sector en el que se realiza el ciberataque. Por ejemplo, si tu empresa trabaja en sectores como la logística o finanzas pueden realizar una suplantación de una entidad bancaria, mientras que en administraciones públicas pueden suplantar proveedores.

Las APT (Amenazas Persistentes Avanzadas) suelen realizar campañas de spear phishing para obtener un acceso inicial a los sistemas de las empresas. Las plataformas y herramientas de inteligencia de amenazas ayudan a fortalecer la postura de seguridad de las empresas proporcionando información crítica sobre las amenazas para frenarlas antes que puedan suceder.

Conclusiones

En conclusión, el phishing avanzado es uno de los tipos de ataque más comunes hacia los usuarios debido al gran impacto que pueden producir y la información que pueden obtener. En la actualidad, los cibercriminales utilizan técnicas sofisticadas que a veces hacen dudar hasta a los expertos de ciberseguridad sobre si un mensaje es fraudulento o legítimo. Por eso, es necesario reforzar la seguridad de nuestros sistemas a través de la defensa en profundidad.

Es por eso que apostar por la formación de los usuarios es clave para fortalecer el eslabón más débil: el ser humano. Los cursos de ciberseguridad en OpenWebinars mejoran los conocimientos en ciberseguridad y ayudan a proteger la seguridad de la información frente a ciberataques, vulnerabilidades y ataques de ingeniería social. Además de disponer de conocimientos para detectar los ataques, podemos reforzar la seguridad de nuestras cuentas con la autenticación multifactor o la implementación de filtros antiphishing.