¿Qué es el phishing? | Ataques de phishing

Puntos clave

Qué aprenderá en este artículo

Obtenga una comprensión clara del phishing, de sus tácticas en evolución y de cómo proteger a su organización de estas amenazas persistentes del correo electrónico:

El phishing es un ciberataque engañoso en el que los atacantes se hacen pasar por entidades de confianza para engañar a los usuarios y conseguir que revelen información confidencial o descarguen programas maliciosos, con variantes cada vez más sofisticadas como el spear phishing, whaling, smishing y vishing dirigidas tanto a particulares como a organizaciones.
El impacto del phishing puede ser grave, provocando filtraciones de datos, pérdidas financieras y daños a la reputación, siendo los sectores de alto perfil como las finanzas, la sanidad y el comercio minorista objetivos frecuentes.
La defensa contra el phishing requiere un enfoque multicapa, que incluya soluciones avanzadas de seguridad del correo electrónico como Mimecast, formación para la concienciación de los usuarios, análisis de amenazas en tiempo real y medidas proactivas como la autenticación multifactor y la implantación de DMARC.

Explicación de los ataques de phishing

El phishing es una de las formas más antiguas de ataque por correo electrónico, pero sigue siendo frecuente en organizaciones de todos los tamaños. Ocurre cuando los estafadores envían correos electrónicos no solicitados a los usuarios en línea. Estos correos electrónicos a veces prometen premios o amenazan con la suspensión de la cuenta, por ejemplo, y luego les piden que hagan clic en un enlace o vayan a un sitio para solucionar las cosas. En lugar de ganar un regalo o reactivar esa tarjeta de crédito congelada, los usuarios consiguen que les roben la identidad o que sus ordenadores se infecten con virus.

¿Cómo funcionan los ataques de phishing?

Las estafas de phishing se basan en engañar a los usuarios para que actúen; por ejemplo, en el phishing de URL, los piratas informáticos quieren que los usuarios accedan a un sitio web falso y divulguen contraseñas e información confidencial. El sitio suele pedir al usuario que restablezca una contraseña, que vuelva a introducir información personal y crediticia para validar una cuenta o que descargue una "actualización de software", que en realidad es malware disfrazado.

Los ataques de phishing son cada vez más sofisticados

Las amenazas a la seguridad de las empresas evolucionan constantemente y crecen en complejidad, y las amenazas de phishing no son una excepción.

En un correo electrónico de phishing, los atacantes se hacen pasar por una entidad de confianza o una persona conocida para embaucar a los usuarios y hacerles compartir información importante como las credenciales de inicio de sesión o los datos de la cuenta. En un correo electrónico de phishing con arpón, los atacantes suelen hacerse pasar por una persona de la empresa del destinatario, mientras que el remitente de un correo electrónico de phishing de ballena podría hacerse pasar por el director general o el director financiero e indicar al destinatario que transfiera dinero a una cuenta fraudulenta.

Este tipo de amenazas de phishing han tenido un enorme éxito. De hecho, el 91% de todos los ataques informáticos actuales comenzaron con un correo electrónico de phishing o spear phishing. Con cada brecha costando potencialmente millones en daños al negocio, la productividad y la reputación, las organizaciones necesitan una protección sofisticada para protegerse de estos ataques en constante evolución.

Infografía que explica cómo funciona el phishing

Ejemplos de correos electrónicos de phishing

Los correos electrónicos de phishing pueden adoptar muchas formas, pero todos comparten un mismo objetivo: engañar al usuario desprevenido para que revele las credenciales de su cuenta, información de contacto u otros datos confidenciales. Estos correos electrónicos suelen contener un enlace malicioso o un archivo adjunto malicioso, camuflado para parecer legítimo.

He aquí algunos ejemplos comunes:

Un correo electrónico que simula ser de su banco, advirtiéndole de una actividad sospechosa y pidiéndole que haga clic en un enlace para "verificar su cuenta." El enlace conduce a un sitio falso diseñado para robar las credenciales de su cuenta.
Un mensaje que parece provenir del equipo informático de su empresa, pidiéndole que descargue una actualización crítica de "" - que resulta ser un archivo adjunto malicioso cargado de malware.
Un correo electrónico aparentemente amistoso de un colega pidiéndole que revise un documento adjunto, que en realidad forma parte de una estafa de phishing lanzada por ciberdelincuentes.

Cada uno de estos correos electrónicos se elabora para que parezca real, a menudo utilizando logotipos, nombres o incluso formatos de hilos de correos electrónicos anteriores para hacerlo más convincente.

Diferentes tipos de técnicas de phishing

El phishing sigue siendo la forma más popular de ciberataque, y ha perdurado a pesar de todos los esfuerzos por combatirlo. El phishing sigue siendo la forma más popular de ciberataque, y ha perdurado a pesar de todos los esfuerzos por combatirlo. En los últimos años, el phishing ha evolucionado en nuevas direcciones, como:

Phishing dirigido - Un intento de phishing personalizado que suplanta la identidad de una persona de confianza, como un compañero de trabajo o un proveedor. Estos correos electrónicos suelen hacer referencia a proyectos reales o detalles internos para engañar al usuario desprevenido y conseguir que descargue un archivo adjunto malicioso.
Smsishing(a través de mensajes de texto) - Abreviatura de SMS phishing, los ataques de smishing utilizan mensajes de texto para engañar a las víctimas para que hagan clic en enlaces fraudulentos o faciliten información de contacto. A menudo, estos mensajes parecen proceder de bancos, servicios de reparto o departamentos de recursos humanos.
Vishing (uso del buzón de voz) - Los estafadores se hacen pasar por representantes de soporte técnico, recursos humanos o financieros en una llamada telefónica. Presionan a los objetivos para que revelen credenciales de inicio de sesión, restablezcan contraseñas o autoricen transacciones, todo bajo el pretexto de resolver una actividad sospechosa.
Whaling - Esta forma de phishing se dirige a ejecutivos de alto perfil, como directores generales o directores financieros. Los mensajes de correo electrónico de los cazadores de ballenas suelen solicitar transferencias bancarias o datos comerciales confidenciales bajo pretextos de urgencia.
Phishing de pescador - Esta técnica, que se encuentra en las redes sociales, suplanta la identidad de cuentas legítimas de atención al cliente para interceptar quejas y engañar a los usuarios para que compartan las credenciales de la cuenta o hagan clic en enlaces maliciosos.
Phishing trampa - Los atacantes envían correos electrónicos trampa que contienen falsas ofertas de trabajo, facturas o notificaciones de premios. Una vez que el usuario participa, se le conduce a sitios web de phishing o se le pide que descargue archivos adjuntos maliciosos.
Pharming - Esta técnica avanzada redirige a los usuarios de sitios web legítimos a otros falsos sin su conocimiento. Incluso si el usuario teclea la URL correcta, es conducido a un sitio fraudulento para robar información confidencial como contraseñas o datos de pago.

El impacto de los ataques de phishing en las empresas

El impacto del phishing en las empresas es duro. Según los informes anuales del Instituto Ponemon, el coste total medio de una violación de datos para una empresa, incluidos daños como la pérdida de ventas por el tiempo de inactividad, ronda los 3,86 millones de dólares. Y a medida que las brechas aumentan, también lo hacen los costes.

Industrias más atacadas por los correos electrónicos de phishing

El phishing afecta a casi todas las industrias. Algunos son blanco de ataques con mayor frecuencia debido a la naturaleza de los datos que manejan o a su dependencia de la comunicación digital.

Servicios financieros: Los bancos y las cooperativas de crédito son objetivos prioritarios debido a los datos financieros sensibles que almacenan. Un solo mensaje de phishing puede dar lugar a un fraude masivo.
Sanidad: Los hospitales y las clínicas almacenan a menudo grandes cantidades de datos personales, lo que los hace vulnerables a los ataques que implican el robo de información de contacto y credenciales de cuentas.
Comercio minorista y electrónico: Estas empresas suelen ser víctimas de estafas de phishing que imitan correos electrónicos de atención al cliente o notificaciones de envío que contienen enlaces maliciosos.
Educación: Las universidades y escuelas pueden experimentar intentos de phishing dirigidos al personal o a los estudiantes, especialmente durante los periodos de matriculación o de ayuda financiera.

Cómo defenderse de un virus de phishing

Un virus de phishing suele comenzar con un correo electrónico que parece proceder de una fuente legítima como un banco, una empresa de tarjetas de crédito, un sitio web social, un procesador de pagos en línea o un administrador informático. El correo electrónico dirige al destinatario a hacer clic en un enlace de un sitio web que resulta ser malicioso, y en el que se pide al usuario alguna información personal como un código de acceso, el número de la tarjeta de crédito o datos de la cuenta. Esa información se utiliza después para acceder a las cuentas del usuario y cometer robos de identidad.

Un virus spear-phishing es un phishing más selectivo dirigido contra un individuo o un rol específico en la organización. Este tipo de ataque de virus phishing utiliza técnicas de ingeniería social e información recabada sobre el individuo para hacer más creíble el correo electrónico y aumentar la probabilidad de que el destinatario actúe en consecuencia.

La prevención de los ataques de virus phishing requiere soluciones sofisticadas que combinen una potente tecnología de seguridad del correo electrónico con una formación dinámica de concienciación de los usuarios. Ahí es donde Mimecast puede ayudarle.

Cómo la tecnología Mimecast evita un ataque de phishing por correo electrónico

Mimecast's AI-powered Advanced Email Security defiende contra cada tipo de amenaza de correo electrónico de phishing.

La protección contra la suplantación de identidad de Mimecast permite detectar un ataque de suplantación de identidad que utiliza la ingeniería social para engañar a los empleados para que divulguen datos confidenciales o transfieran fondos a una cuenta fraudulenta.. Mimecast escanea todos los correos electrónicos entrantes en tiempo real, buscando signos específicos de fraude en la cabecera, el dominio y el contenido del mensaje.

Las capacidades de protección de URL de Mimecast evitan un ataque de phishing por correo electrónico escaneando todas las URL dentro de los correos electrónicos entrantes y archivados en cada clic y abriendo los sitios web sólo si se ha determinado que son seguros.

Las capacidades de protección de archivos adjuntos de Mimecast defienden los archivos adjuntos armados mediante el aislamiento de los archivos adjuntos y permitiendo que sólo se envíen al usuario documentos seguros.

Ventajas de la solución de seguridad centrada en el ser humano de Mimecast para los ataques de phishing

Con la Advanced Email Security impulsada por IA de Mimecast, las organizaciones pueden:

Prevenga un ataque de phishing, un ataque de spear phishing o una amenaza de whale phishing sin necesidad de infraestructura adicional ni gastos generales de TI.
Añada protección instantánea para todos los dispositivos sin interrumpir la actividad de los usuarios finales.
Active el servicio rápidamente a través de la plataforma en la nube de Mimecast.
Mejore la comprensión con análisis de amenazas en tiempo real de extremo a extremo e informes granulares.

Obtenga más información sobre cómo detener un ataque de suplantación de identidad (phishing) o un fraude de director general y sobre la solución de Mimecast para la protección contra el correo electrónico no deseado y la detección de ransomware.

¿Qué es un correo electrónico de phishing?

Un correo electrónico de phishing es un mensaje que simula proceder de una organización de confianza e intenta engañar al destinatario para que divulgue información confidencial como contraseñas, números de cuentas bancarias o datos de tarjetas de crédito. Los correos electrónicos de phishing también pueden intentar que los usuarios hagan clic en un enlace que descargará malware en su ordenador.

¿Cómo puedo detectar un correo electrónico de phishing?

Detectar un correo electrónico de phishing requiere un buen ojo para detectar detalles que no cuadran. He aquí algunas señales a las que debe prestar atención:

Direcciones de correo electrónico de remitentes sospechosos : Los correos electrónicos de phishing suelen proceder de direcciones que se asemejan mucho a las legítimas, pero que presentan ligeras variaciones, como una letra de más o un dominio diferente.
Saludos genéricos : Los correos electrónicos de phishing suelen utilizar saludos genéricos como "Estimado cliente" en lugar de dirigirse al destinatario por su nombre.
Lenguaje urgente o amenazador : Los correos electrónicos que crean una sensación de urgencia, advirtiéndole de un problema en su cuenta o de un fallo de seguridad, suelen estar diseñados para que actúe rápidamente sin pensar.
Mala gramática y errores ortográficos : Muchos correos electrónicos de phishing contienen errores ortográficos y gramaticales evidentes que las organizaciones legítimas no tendrían en sus comunicaciones.
Enlaces o archivos adjuntos sospechosos : Pase siempre el ratón por encima de los enlaces antes de hacer clic para ver a dónde conducen realmente, y evite descargar archivos adjuntos inesperados.

¿Cómo puedo bloquear un correo electrónico de phishing?

Incluso con un servicio de seguridad de correo electrónico de terceros en funcionamiento, los usuarios deben seguir siendo proactivos para bloquear eficazmente los correos electrónicos de phishing. He aquí cómo:

Manténgase alerta: Sea siempre precavido con los correos electrónicos inesperados, especialmente con los que solicitan información personal o financiera. Compruebe si hay banderas rojas como lenguaje inusual, enlaces sospechosos o solicitudes de acción urgente.
Verifique los datos del remitente: Si un correo electrónico le parece sospechoso, no se fíe únicamente de su nombre. Compruebe la dirección de correo electrónico completa y, en caso de duda, póngase en contacto con el remitente a través de otro canal para verificar la legitimidad del mensaje.
Lenguaje urgente o amenazador: Los correos electrónicos que crean una sensación de urgencia, advirtiéndole de un problema en su cuenta o de una violación de la seguridad, suelen estar diseñados para que actúe rápidamente sin pensar.
Evite hacer clic en enlaces o descargar archivos adjuntos: Nunca haga clic en enlaces ni descargue archivos adjuntos de correos electrónicos desconocidos o inesperados, aunque parezcan legítimos. Pase el ratón por encima de los enlaces para previsualizar la URL y asegurarse de que conducen a sitios de confianza.
Marque los correos sospechosos como spam: Si un correo electrónico sospechoso consigue atravesar sus filtros, márquelo como spam para evitar futuros mensajes de ese remitente. Esto también puede ayudar a que su servicio de seguridad de correo electrónico aprenda a detectar mejor este tipo de correos.
Aproveche las funciones avanzadas de su servicio de seguridad de correo electrónico: Es probable que su servicio de seguridad de correo electrónico busque amenazas de phishing en tiempo real, analizando los mensajes entrantes en busca de enlaces peligrosos, archivos adjuntos maliciosos o dominios falsos. Asegúrese de que funciones como la protección de URL y el escaneado de archivos adjuntos están activadas para ofrecer una protección completa.
Habilite la autenticación multifactor (MFA): Si usted o su organización no han implementado la MFA, es un paso crucial para protegerse contra el phishing. Incluso si las credenciales se ven comprometidas, la AMF añade una capa adicional de defensa, impidiendo el acceso no autorizado a las cuentas.
Mantenga actualizado el software: Asegúrese de que su software de seguridad, navegadores y clientes de correo electrónico están actualizados. Muchos intentos de suplantación de identidad aprovechan las vulnerabilidades del software obsoleto, por lo que las actualizaciones periódicas ayudan a cerrar esas brechas de seguridad.
Implemente DMARC (Autenticación de mensajes basada en el dominio, notificación & Conformance): Si su empresa maneja correo electrónico, establecer políticas DMARC le ayudará a evitar la suplantación de identidad y los intentos de phishing garantizando que sólo se envíen correos electrónicos legítimos desde su dominio.

¿Quiénes son los objetivos de los ataques de phishing?

Los ataques de phishing pueden dirigirse a cualquier persona, pero hay grupos específicos que son más vulnerables:

Particulares: Los usuarios cotidianos son objetivos comunes, especialmente aquellos que pueden estar menos familiarizados con el reconocimiento de los intentos de phishing.
Empresas: Las empresas, en particular las que manejan información sensible o transacciones financieras, son con frecuencia objetivo de ataques de phishing con arpón y phishing de ballena.
Ejecutivos: Los ejecutivos de alto nivel, especialmente los directores generales y los directores financieros, son los principales objetivos de los ataques de "whaling" debido a su acceso a grandes activos financieros y a información confidencial.
Empleados de departamentos sensibles: Los empleados que trabajan en RRHH, finanzas o TI suelen ser objetivo de ataques porque manejan información crítica como nóminas, datos personales o credenciales de acceso.
Clientes de instituciones financieras: Los bancos y las plataformas de pago son suplantados habitualmente en los correos electrónicos de phishing dirigidos a particulares para robar la información de sus cuentas.

¿Qué es un virus phishing?

Un virus de phishing es una forma de malware que se instala en el ordenador de un usuario como parte de un ataque de phishing. El phishing es un tipo de ciberdelito en el que los atacantes se hacen pasar por una empresa de confianza o legítima para embaucar a un individuo y conseguir que comparta información como números de cuentas bancarias, datos de tarjetas de crédito, credenciales de acceso y otros datos confidenciales, y/o para descargar un virus de phishing en el ordenador del usuario.

¿Por qué tienen éxito los ataques de phishing?

El éxito de los ataques de phishing suele depender de varios factores:

Confianza: Al parecer que proceden de una fuente que el usuario conoce y en la que confía, los ataques de phishing eluden cualquier sospecha sobre el correo electrónico entrante.
Miedo: Muchos ataques de phishing que tienen éxito engañan a los usuarios para que hagan clic en un enlace haciéndoles creer que hay un problema que debe resolverse rápidamente o que habrá consecuencias por parte de una autoridad superior o un superior si no responden con rapidez.
Falta de tiempo: Los atacantes saben que la mayoría de los usuarios disponen de poco tiempo y que quieren leer y responder a un correo electrónico lo antes posible, lo que hace más probable que no se fijen detenidamente en su contenido.
Volumen: Es muy barato montar ataques de phishing mediante el envío de grandes volúmenes de correo electrónico, y los atacantes sólo necesitan que unas pocas personas "piquen el anzuelo" para que les merezca la pena.
Los ataques de phishing son cada vez más sofisticados y difíciles de detectar: Los ataques avanzados como el spear-phishing y el whaling utilizan técnicas de ingeniería social para convencer a los destinatarios de que un correo electrónico es legítimo.

¿Cómo prevenir el phishing?

La prevención de los ataques de phishing requiere un enfoque de ciberseguridad a varios niveles.

Implemente una formación de concienciación sobre seguridad para los usuarios con el fin de defenderse de los errores humanos -una de las principales causas de las violaciones de la seguridad- ayudando a los usuarios a detectar las señales del phishing.
Implemente la autenticación DMARC para bloquear los correos electrónicos que utilizan la suplantación de dominios y el secuestro de marcas, habituales en el phishing.
Implemente programas antiphishing y antimalware en los dispositivos de punto final y en las redes.
Anime a los usuarios a exigir la autenticación multifactor al iniciar sesión en las cuentas.

¿Dónde debo denunciar el phishing?

Si cree que ha recibido un correo electrónico de phishing, puede reenviarlo a la Comisión Federal de Comercio (FTC) en spam@uce.gov. y al Grupo de Trabajo Anti-Phishing en reportphishing@apwg.org. También puede denunciar el ataque a la FTC en ftc.gov/complaint, a su proveedor de correo electrónico (por ejemplo, Outlook o Gmail) y a la empresa real a la que suplanta el correo electrónico.

Recursos relacionados con el phishing

Email Collaboration Threat Protection