Podemos definir el phishing como falsas comunicaciones que parecen provenir de una fuente confiable y que pueden comprometer todo tipo de fuentes de datos. Estos ataques pueden obtener información sobre datos personales o tarjetas de crédito de los usuarios. En otros casos, estos correos maliciosos están orientados hacia una empresa específica. Por tanto, los usuarios y las empresas deben tener conocimientos sobre cómo evitar el phishing y conocer los tipos de phishing con los que actúan los ciberdelincuentes.
Como acabamos de mencionar, el phishing comienza con un correo electrónico fraudulento u otra comunicación diseñada para atraer a la víctima. El mensaje está diseñado para hacer creer que proviene de un remitente de confianza. Si logra engañar a la víctima, se la persuade para que proporcione información confidencial en un sitio web fraudulento. En ocasiones, el malware también se instala en el ordenador del objetivo.
Los ciberdelincuentes comienzan identificando a un grupo de personas o empresa que se convierten en su objetivo a engañar. Después, crean correos electrónicos y mensajes de texto que, a simple vista, parecen legítimos. Sin embargo, estos correos o mensajes suelen contener enlaces o archivos adjuntos que engañan a los objetivos para que tomen acciones desconocidas y arriesgadas.
Los tipos de phishing utilizados por los atacantes estarán en función del objetivo u objetivos que persigan. Si se trata de una organización o empresa importante o usuarios individuales.
Tipos de phishing más utilizados
Phishing engañoso: éste suele ser el tipo de ataque phishing más utilizado. Los estafadores se hacen pasar por una empresa legítima con el fin de robar los datos personales o las credenciales de inicio de sesión de los usuarios. Suelen enviar correos electrónicos con sentido urgente para que las víctimas, asustadas, hagan lo que pretenden los atacantes. Algunas de las técnicas que usan en sus correos electrónicos son utilizar vínculos legítimos con la información real de alguna empresa, modificar el logo de la marca o empresa, contenido mínimo o sustituirlo por una imagen.
Spear phishing: se dirige a individuos específicos en lugar de a un grupo amplio de personas. De esta forma, los atacantes pueden personalizar sus comunicaciones, incluyendo datos personales del objetivo, y así parecer más auténticos. Es, a menudo, el primer paso que utilizan para penetrar las defensas de una empresa y llevar a cabo un ataque dirigido.
Fraude de CEO o caza de ballenas: el objetivo en esta técnica será robar los datos de inicio de sesión de un alto ejecutivo de una empresa. Una vez pirateada la cuenta de correo electrónico del CEO, los estafadores enviarán emails a los empleados del departamento financiero con el objetivo de transferir fondos o pagar una factura falsa.
Phishing de voz o vishing: aunque la mayoría de ataques phishing se realizan mediante el correo electrónico, el vishing se lleva a cabo mediante una llamada telefónica o mensaje de voz. Como es habitual, los estafadores suplantan a una determinada entidad o empresa. Se sirve de la ingeniería social para engañar a las víctimas y obtener sus datos confidenciales.
Smishing: es otro tipo de ataque que también se realiza desde un teléfono. En este caso, se trata de mensajes de texto maliciosos que engañan a los usuarios para que hagan clic en un enlace y entreguen información personal.
Consecuencias de un ataque phishing
Los tipos de phishing que acabamos de ver tienen como objetivo tanto organizaciones como usuarios individuales. Es conveniente estar bien informado para evitar caer en las trampas de los estafadores y sus consecuencias. Además de la pérdida de datos e información confidencial, el phishing puede provocar importantes pérdidas financieras, tanto a individuos como a empresas. En el caso de las empresas, también puede ocasionar la pérdida de propiedad intelectual, daño reputacional y afectar a la confianza de clientes e inversores.