El phising es un ataque informático que persigue el engaño a una víctima ganándose su confianza haciéndose pasar por una persona, empresa o servicio de confianza, para robarle información confidencial o personal. A continuación veremos qué tipos de ataques phishing son los más comunes y cómo identificarlos para no caer en la estafa.
Aumentan los ataques phising
Los ataques phishing son junto a los que emplean Ransomware los que más han crecido en los últimos tiempos en el ámbito de la ciberseguridad. Son campañas de malware sencillas de realizar, cada vez más sofisticadas y altamente efectivas, ya que solo requiere que una parte de los usuarios caiga en su «cebo» y «pique» para obtener rentabilidad.
En su Informe de Investigaciones sobre Fugas de Datos (DBIR) de 2021, Verizon Enterprise descubrió que el phishing era la causa más frecuente de las fugas de datos que analizó. De hecho, sus investigadores detectaron phishing en más de un tercio (36%) de las filtraciones analizadas. Esta cifra es superior al 22% del año anterior.
El aumento de los ataques de phishing supone una importante amenaza para las organizaciones de todo el mundo. Los atacantes están continuamente innovando y encontrando nuevas formas de engañar a sus víctimas. Es importante que todas las empresas sepan cómo detectar algunas de las estafas de phishing más comunes si quieren proteger su información corporativa. También es crucial que estén familiarizadas con algunos de los tipos de técnicas más comunes que los hackers utilizan para llevar a cabo estas estafas.
¿Qué tipos de ataques phishing existen?
Después de haber entendido lo que es phishing, vamos a analizar los 6 tipos de ataques de phishing más comunes.
1. Deceptive phishing
El «phishing engañoso» es el más común de este tipo de estafas. En esta táctica, los ciberdelincuentes se hacen pasar por una empresa legítima para robar los datos personales o las contraseñas de acceso de los usuarios a través de un mensaje de correo electrónico.
Estos correos utilizan amenazas y una sensación de urgencia para asustar a los usuarios y que hagan lo que los atacantes quieren.
Por ejemplo, Mercadona ha sido recientemente objeto de un ataque de phising en el que sus usuarios recibían un correo electrónico con una fraudulenta campaña de vales de la cadena de supermercados.
2. Spear Phising
No todas las estafas de phishing consisten distribuir una comunicación de forma masiva. En el spear phishing los ciberdelincuentes eligen a sus receptores de forma más precisa y personalizan sus correos electrónicos de ataque con el nombre, el cargo, la empresa, el número de teléfono del trabajo y otros datos de la víctima para poder conseguir información confidencial.
Los ciberdelincuentes recopilan la información de las víctimas sobre todo a través de fuentes de acceso público y gracias a las RRSS, blogs, foros y otros medios de comunicación son capaces de crear mensajes y páginas webs similares a las legítimas.
Esta técnica requiere un esfuerzo mayor a los atacantes, debido a la gran cantidad de información que es necesario recopilar para hacerse pasar por una persona de confianza de la víctima, pero su índice de éxito también es superior.
3. Whaling
Los ciberdelincuentes usan el método del whaling para simular ocupar cargos de nivel superior en una organización y así atacar directamente a los altos ejecutivos u otras personas importantes dentro de ella.
En caso de que su ataque tenga éxito, los hackers pueden optar por llevar a cabo un fraude contra el director general (CEO fraud). Para ello, usan métodos, como la suplantación de sitios web y correos electrónicos, para engañar a la víctima y hacer que revele información confidencial o haga transferencias de dinero, entre otras acciones.
4. Vishing
Hasta ahora, todos los ataques de phishing que hemos visto se realizan principalmente a través del correo electrónico. Pero los estafadores a veces recurren a otros medios para perpetrar sus ataques.
El vishing es un tipo de estafa por teléfono en la que, a través de una llamada, se suplanta la identidad de una empresa, organización o persona de confianza, con el fin de obtener información personal y sensible de la víctima. El término vishing viene de la unión de dos palabras: voice y phishing.
Un ciberdelicuente puede perpetrar una campaña de vishing configurando un servidor de Voz sobre IP (VoIP) recreando una voz automatizada semejante a la de las entidades bancarias.
5. Smishing
El vishing no es el único tipo de phishing que los hackers pueden realizar por teléfono. También pueden llevar a cabo lo que se conoce como smishing. Esta técnica consiste en el envío de un SMS por parte de un hacker a un usuario simulando ser una entidad legítima -red social, banco, institución pública, etc. -con el objetivo de robarle información privada o realizarle un cargo económico. Generalmente el mensaje invita a llamar a un número de tarificación especial o acceder a un enlace de una web falsa bajo un pretexto.
6. Pharming
A medida que los usuarios se vuelven más conscientes de las estafas tradicionales de phishing, algunos ciberdelincuentes están recurriendo al pharming. Este método de phishing manipula el tráfico de un sitio web para permitir el robo de información confidencial.
Este tipo de ataque aprovecha el envenenamiento de la caché contra el sistema de nombres de dominio (DNS), para convertir una secuencia de letras para formar una dirección de Internet, como «www.microsoft.com», en direcciones IP numéricas para poder dirigir el tráfico hacia un sitio web falso. En ese momento, los hackers podrán instalar un software malicioso en el equipo del visitante o registrar los datos personales del usuario, como sus contraseñas o sus datos bancarios.
El pharming es especialmente peligroso porque, si afecta a un servidor DNS, incluso los usuarios con equipos protegidos y libres de malware pueden convertirse en víctimas.
Aquí puedes obtener más información sobre cómo el personal de su empresa puede protegerse de los ataques de phishing.
