Según informa el estudio “2023 Global State of Security Report” de Infoblox, cerca del 32 % de los ciberataques implican phishing. Además, este ciberdelito alcanzó un máximo histórico en 2021, tal y como revela el “Informe de tendencias de actividad de phishing” de APWG, cuando se llegaron a registrar más de 300.000 ataques informáticos.
¿Qué es el phishing?
El phishing es un tipo de estafa informática que consiste en suplantar la identidad de una organización o persona conocida por la víctima para obtener datos confidenciales de los usuarios, como contraseñas, números de tarjetas de créditos, cuenta bancaria, etc. El objetivo del atacante puede ser también que su víctima se descargue algún tipo de archivo malicioso, incluso otras acciones que les impliquen en otro tipo de ciberdelitos. En este contexto, uno de los sectores más atacados ha sido el financiero y el sanitario.
Además, según un informe de Proofpoint, realizado a partir de una encuesta a 600 profesionales de seguridad tecnológica de todo el mundo, en 2021 más de la mitad, el 54%, de los ataques de este estilo tuvieron éxito y terminaron en una violación de los datos del usuario, y el 48 % acabó compartiendo credenciales o cuentas comprometidas.
¿Qué tipos de phishing hay?
Estos ataques se pueden ejecutar de distintas formas según las intenciones del atacante y la información que desea obtener:
- Correo electrónico masivo. El phishing masivo genérico a través del correo electrónico es la técnica más común. Los ciberdelincuentes suplantan la identidad de una institución relevante, e incluyen hipervínculos falsos para atraer al usuario y hacer que comparta datos confidenciales.
- Softwares malignos. Los ciberdelincuentes crear softwares maliciosos, o malware, encubiertos como archivos adjuntos de confianza en los correos electrónicos o sms. Si el usuario abre el archivo puede sufrir el bloqueo del dispositivo desde el que se ha ejecutado dicho archivo o el robo de información privada.
- Spear-phishing. Por lo general, estos ataques cubren un amplio rango de usuarios, mientras que el spear-phishing tiene como objetivo atacar a usuarios específicos. De este modo, recopila datos relevantes del usuario e investiga su trabajo, vida social y familiar. Este se suele materializar a través de un email personalizado y dirigido especialmente a la persona, normalmente se emplea ingeniería social o fuentes abiertas. Asimismo, aumenta la sensación de que el email procede de fuentes fiables.
- Smishing. Utiliza mensajes de textos, SMS, falsos suplantando la identidad de empresas muy conocidas, con el objetivo de engañar a los usuarios para que se descarguen softwares maliciosos en el teléfono, compartan datos privados o envíen dinero a ciberdelincuentes.
- Vishing. Se realiza a través de llamadas telefónicas o mensajes de voz. Con esta estrategia fraudulenta los delincuentes digitales buscan engañar a los usuarios por medio de la voz para robar datos personales o bancarios.
Estrategias habituales de phishing
Los piratas informáticos saben cómo manipular a las víctimas para conseguir sus objetivos utilizando una técnica llamada ingeniería social. Por ende, se centran en diseñar una comunicación engañosa replicando el estilo de la identidad suplantada. Además, no reemplazan cualquier institución, se focalizan en corporaciones que generan mucha tensión en los usuarios o que tienen mucha una gran conexión con el público.
Además, los mensajes de phishing que reciben las víctimas crean una sensación de urgencia, falsa confianza, miedo o incluso ansiedad, lo que permite ser engañada con facilidad o tomando una decisión precipitada.
¿Qué daños puede provocar?
Como expone el estudio “Cost of a Data Breach Report 2021” elaborado por IBM, una institución puede tardar hasta 213 días en identificar que ha sido víctima de un ataque phishing. Un ataque de este estilo con éxito puede tener daños muy graves para las víctimas. En el contexto de los usuarios, suelen sufrir robos de dinero, cargos fraudulentos en las tarjetas de crédito, pérdida de fotos o vídeos valiosos, sustracción de archivos confidenciales e incluso suplantación de la identidad.
En el ámbito empresarial, los riesgos para las organizaciones incluyen la pérdida de clientes, fuerte disminución de los ingresos, pérdida de la credibilidad, deterioro de la reputación, quebrantamiento de los archivos confidenciales, entre otros.
¿Cómo evitar ser víctima de phishing?
Es importante que los usuarios estén familiarizados con este tipo de estafas informáticas. Así, para evitar ser víctima de phishing, una de las primeras pistas es comprobar la dirección de correo electrónico remitente antes de abrir cualquier hipervínculo o documento adjunto. En cuanto al texto, es muy habitual que contenga erratas, errores ortográficos y gramaticales, algo que no sucede en los correos auténticos.
Por otro lado, es conveniente comprobar si los enlaces son seguros o no. Del mismo modo, se debe inspeccionar la firma del pie de página, para verificar si los remitentes legítimos la incluyen. Si el correo contiene frases que provocan miedo, manipulación o ansiedad, suele ser un claro ejemplo de phishing.
Aquellos mensajes en los que se solicite información personal o se solicite un ingreso de dinero para subsanar una incidencia deben hacer sospechar al usuario, al igual que recibir archivos que no han sido solicitados.