This Site Requires JavaScript Enabled.
Toolkits
  • IN Individuals Toolkit
  • SB Small Business Toolkit
  • ET Elections Toolkit
  • JO Journalists Toolkit
  • MBO Mission-Based Toolkit
Small Business / Prevent Phishing and Malware
¿Qué es el phishing y cómo evitarlo?
By Pablo López-Aguilar Beltrán - APWG.eu
04/21/21

El cibercrimen supone, hoy en día, una de las mayores amenazas a las que deben enfrentarse los gobiernos, las industrias y toda la sociedad en su conjunto. No en vano, las pérdidas globales ocasionadas por los ciberdelincuentes ascendieron, a lo largo del 2020, hasta los 5,5 billones de euros1. Así, lejos de disminuir, es más que probable que dicha cuantía aumente en los próximos años.

Si bien es cierto que los ciberdelincuentes utilizan un sinfín de técnicas para eludir las medidas de seguridad, estos han visto en el factor humano una forma sencilla y rentable de conseguir sus objetivos. Ello se debe a que la situación de pandemia, desconocida hasta ahora, no solo ha fomentado que pasemos más tiempo conectados a Internet, sino que ha provocado que cada día más personas padezcan ansiedad.

Este nuevo paradigma abre una ventana a los ciberdelincuentes, que ven en todo ello infinidad de oportunidades para poder llevar a cabo acciones fraudulentas gracias a la sensación de protección que les proporciona Internet2. De todas ellas, el ataque más conocido es el phishing, cuyo objetivo es enviar un email3 a la víctima, suplantando una fuente legítima y motivándola a pulsar en un enlace determinado. Pulsar dicho enlace puede acarrear consecuencias devastadoras como, entre otros muchos objetivos, el robo de información confidencial o personal, la descarga de programas maliciosos (malware) o el acceso no autorizado a la red de una compañía4.

Características de un ataque de phishing

El éxito de los ataques de phishing debe atribuirse al uso de técnicas de ingeniería social cuyo objetivo es ganarse la confianza de la víctima. Como hemos dicho antes, el método más común es mediante la recepción de un email por parte de la víctima que aparenta ser genuino. Este se puede enviar sin un criterio definido o bien dirigirse a objetivos específicos (spear phishing).

Si bien los ataques de phishing pueden ser muy variados, los ciberdelincuentes suelen seguir una serie de pautas muy comunes.

  1. En primer lugar, recopilarán información de sus víctimas gracias a la información pública disponible en Internet (en redes sociales, buscadores o mediante el uso de herramientas como Maltego, Pipl…).
  2. En función de la información recogida, crearán su escenario (también conocido como pretexto), es decir, el mensaje encargado de generar credibilidad a la víctima.
  3. Una vez definido el pretexto, decidirán el vector de ataque por el cual enviarán el mensaje. Dicho pretexto, se suele enviar por email, teléfono o mensaje de texto (o un compendio de los tres vectores).
  4. Por último, y si el ataque tiene éxito, utilizarán la información robada para venderla en la Dark Web, para extorsionar a la víctima pidiendo un pago por la información robada o encriptada (ransomware) o para acceder a los sistemas internos de su empresa. En caso de no tener éxito, probablemente vuelvan a seguir el mismo patrón, pero mejorando su pretexto.

Cómo prevenirlo

Para prevenir un ataque de phishing, es importante entender que su principio básico es construir credibilidad. Asimismo, los psicólogos sociales diferencian en las personas dos formas de procesar información: la forma sistemática y la forma heurística.

La forma sistemática se produce cuando, a partir de la información que recibimos, tomamos una decisión de forma racional, analizando con detalle toda la información (emisor, receptor, mensaje, canal, contexto…). Por el contrario, si procesamos información de forma heurística, tomamos atajos mentales para tomar dicha decisión. Funcionamos en el modo sistemático cuando la información que estamos procesando es importante. No obstante, factores como la presión del tiempo o la ansiedad fomentan el uso del procesamiento heurístico5.

Por lo tanto, en su ataque de phishing, el ingeniero social buscará construir credibilidad y un modo de procesamiento heurístico por parte de la víctima, por ejemplo, una llamada telefónica en la que se informa de algo que necesita ser solucionado urgentemente o bien, aprovechándose de la situación actual, un correo electrónico motivando a la víctima a adquirir vacunas contra la pandemia. Ambos pretextos siempre intentarán suplantar la identidad de un emisor conocido para generar credibilidad.

Si bien existen herramientas muy útiles que nos ayudan a prevenir este tipo de ataques6, las siguientes recomendaciones, aplicadas adecuadamente, ayudarían a reducir considerablemente el éxito de la mayoría de los ataques de phishing. Ninguna de ellas requiere de conocimientos técnicos, simplemente de sentido común:

  • Verificar y contrastar la identidad del emisor haciendo preguntas o buscando por Internet información relacionada (nunca se debe pulsar el enlace de un correo electrónico cuyo emisor no se haya comprobado previamente).
  • No facilitar datos personales ni por email ni por teléfono ni por mensaje de texto sin estar convencidos de la identidad del emisor.
  • Como empleados de una empresa, aprender a poner resistencia a ataques de ingeniería social modificando las normas de cortesía. Es decir, es muy recomendable que la compañía desarrolle políticas y procedimientos para verificar la identidad del emisor (sobre todo cuando este se hace pasar por un superior).
  • Mantener actualizados todos los programas instalados en los dispositivos electrónicos.

Por último, cabe destacar que el uso masivo de dispositivos electrónicos, junto con la ansiedad que ha provocado la pandemia, han sentado las bases idóneas para que los ciberdelincuentes logren sus objetivos. A pesar de la eficacia de muchas herramientas, el factor humano se considera aún desde una perspectiva muy genérica y no valora aquellos factores psicológicos que pueden incidir en la susceptibilidad de las personas a ser víctimas de ataques basados en ingeniería social. Por ello, es importante que gobiernos y empresas aúnen esfuerzos y elaboren estrategias de defensa basadas en mejorar la comprensión psicológica del factor humano.

Porque, en un mundo cada vez más digitalizado, las personas somos el nuevo perímetro de defensa y, sin duda, el primer muro de contención contra el cibercrimen.

By Pablo López-Aguilar Beltrán, Director of Technology, APWG.eu

Para visitar la Caja de herramientas de ciberseguridad para pequeñas empresas de la GCA y poner en marcha las mejores prácticas de ciberhigiene en su organización (“Protéjase contra el phishing y el malware“):

English translation: What Is Phishing and How Can You Avoid It?

1 EU’s Cybersecurity Strategy in the Digital Decade: https://digital-strategy.ec.europa.eu/en/library/eus-cybersecurity-strategy-digital-decade.

2 Es relativamente difícil para los cuerpos y fuerzas de seguridad presentar ante un tribunal de justicia pruebas de un crimen cometido a través de Internet. Por ello, la Unión Europea invierte en proyectos como LOCARD (https://locard.eu), que permiten a las policías procesar pruebas electrónicas mediante tecnología blockchain y generar reconocimiento mutuo de las decisiones judiciales entre los diferentes tribunales de justicia de la UE.

3 Existe cierta controversia en este punto. Mientras algunos definen phishing como una técnica que utiliza exclusivamente el correo electrónico como vector de ataque, otros lo definen como una técnica que, además del correo electrónico, también utiliza el teléfono o los mensajes de texto como vectores de ataque. No obstante, si bien se utilizan términos como vishing o smishing para referirse a los dos vectores de ataque mencionados, no existe de momento una palabra que defina, exclusivamente, los ataques de phishing a través de correo electrónico. ¿Quizás deberíamos inventar una palabra como mailshing?

4 Según el último informe de Anti-Phishing Working Group (APWG), los ataques de phishing se duplicaron durante el año 2020: https://docs.apwg.org/reports/apwg_trends_report_q4_2020.pdf.

5 Este comportamiento se describe con detalle en el libro The Art of Deception, de Kevin D. Mitnick y William L. Simon.

6 Herramientas como DMARC permiten filtrar de forma muy eficaz, los correos electrónicos potencialmente fraudulentos: https://www.globalcyberalliance.org/dmarc.

Back to Blog Next Post
  • About
  • Community Forum
  • Submit a Tool
  • Privacy Policy
  • Terms of Service
  • Legal Notice
  • Artificial Intelligence Policy
    and Disclosure
  • Invest in Us

Copyright @ 2024 Global Cyber Alliance | Sitemap

Scroll to top

Tool Types

Video
Third Party Tool
Policy Document
Instructions
Third Party Scan

Time

“Time” defines the approximate time it will take to implement the tool, including installation and setup. Based on your system and experience, the time may be longer or shorter than the time estimated.

Tool Levels

Level 1

Requires minimal technical knowledge to complete setup. Users with little-to-no familiarity with computer systems will still easily be able to implement Level 1 tools.

Level 2

Requires basic technical understanding of operating systems and settings controls. Users with a basic understanding will be able to easily implement Level 2 tools.

Level 3

Requires an intermediate level of understanding to implement. Users will need an intermediate understanding of computer systems and code languages.

Level 4

Requires advanced levels of understanding of computer systems, settings and code languages. Users will need experience with advanced system configurations.

Support

Contact Us
[email protected]

Community Forum
https://community.globalcyberalliance.org/