Smishing, phishing y vishing: es difícil encontrar a alguien que no haya sido víctima de al menos uno de estos métodos.
Ya se trate de un falso correo electrónico de restablecimiento de contraseña o de una supuesta oportunidad de recibir una rebaja fiscal si se hace "clic aquí", el phishing se está convirtiendo en un arma cada vez más popular entre los ciberdelincuentes.
Tanto es así que el Anti-Phishing Working Group descubrió más de un millón de ataques de phishing en el segundo trimestre de este año, la mayor cifra jamás registrada en un trimestre.
BEC: una gran amenaza para las empresas
Desde el punto de vista empresarial, la mayoría de los empleados habrán recibido un correo electrónico de su "jefe" pidiéndoles que transfieran inmediatamente un montón de dinero en efectivo a un "proveedor" o a alguna otra entidad de aspecto legítimo. Este tipo concreto de ataque de phishing entra en la categoría de "Business Email Compromise". Según el FBI, los esquemas BEC dieron lugar a 19.954 denuncias con una pérdida ajustada de casi 2.400 millones de dólares en 2021.
Los ataques BEC son inusualmente eficaces porque se hacen pasar por alguien que la víctima conoce, a menudo una figura de autoridad como un jefe. Si el jefe te pide que hagas algo, la mayoría de la gente no lo cuestiona. Pero hoy en día deberían hacerlo, sobre todo si se trata de grandes sumas de dinero o datos sensibles.
La explosión de la transformación digital ha creado una oportunidad sin precedentes para los malos actores, que no necesitan una alta tasa de éxito para beneficiarse.
Existen diferentes variantes de ataques de phishing, pero hay medidas que puede tomar para protegerse y proteger a su organización. Repasemos los matices entre smishing vs phishing vs vishing, y analicemos cómo defenderse y reaccionar ante ellos.
¿Qué es un ataque de smishing?
Smishing es un acrónimo de SMS phishing, o phishing de servicios de mensajes cortos. Esencialmente, es un ataque de phishing lanzado a través de un mensaje de texto.
Mientras que la mayoría de la gente ignora el spam por correo electrónico, tiende a leer hasta el último mensaje de texto, porque la gente asume erróneamente que los textos son más seguros. Aun así, los hackers pueden descubrir fácilmente información pública sobre el objetivo para elaborar un mensaje de smishing que parezca legítimo.
Los textos de smishing que tienen éxito transmiten una sensación de urgencia. "Sabemos que has cometido un delito: llama a este número para limpiar tu nombre". O "Hemos bloqueado su cuenta de Amazon debido a una actividad inusual detectada". En algunos casos, primero llamarán al objetivo y prometerán un mensaje de texto con un enlace.
¿Cuál es el objetivo del Smishing?
En un ataque de smishing, (como en todo el phishing) el objetivo es una de estas tres cosas:
1. Comprometer las credenciales de acceso
2. Convencer al usuario para que haga clic en un enlace o archivo adjunto malicioso, infectando el ordenador
3. Manipular a la víctima para que envíe dinero o datos confidenciales
La amenaza de los ataques personales es clara, pero el aumento del Bring Your Own Device (BYOD) -en el que los empleados utilizan sus dispositivos personales para trabajar- hace del smishing un arma más viable para atacar a las empresas. Hoy en día no es raro que los empleados reciban mensajes de texto de sus "directores generales". De hecho, es tan frecuente que ahora se conoce como "CEO Smishing."
¿Qué ocurre si hace clic en un enlace de phishing?
Antes de que apareciera el BEC, el objetivo principal de los ataques de phishing era una de las dos cosas siguientes Conseguir que el objetivo haga clic en una URL o en un archivo adjunto malicioso.
Normalmente, quieren que esto ocurra por una de estas dos razones 1) para animar a la víctima a introducir su información personal (robo de credenciales), o 2) para animarla a descargar un archivo cargado de malware.
Incluso si el objetivo hace clic en el enlace, pero finalmente no hace nada, se habrá marcado como una víctima potencial que bien puede valer la pena explotar.
La mayoría de los objetivos que hacen clic en un enlace pero no siguen con la entrada de datos o una descarga son generalmente seguros, pero sigue siendo una buena práctica desconectar el dispositivo de Internet y ponerse en contacto con su equipo de TI para obtener más ayuda. El equipo de TI puede revisar el dispositivo para asegurarse de que está limpio.
Cambia siempre la contraseña de la cuenta que te interesa.
La regla de oro es no hacer clic en el enlace. Los ataques de phishing han dejado de jugar a ser príncipes nigerianos y ahora elaboran correos electrónicos convincentes, haciéndose pasar por organizaciones en las que confiamos.
Según el proveedor de ciberseguridad Check PointLinkedIn es la empresa más suplantada en los ataques de phishing, con más de la mitad de los intentos. El gigante del reparto DHL le sigue en segundo lugar, según el informe.
¿Qué protege contra el Spear Phishing?
Tradicionalmente, las campañas de phishing no estaban orientadas y se enviaban a una amplia gama de personas con la esperanza de que alguien picara.
Sin embargo, a medida que los ciberdelincuentes se han vuelto más avanzados, han adaptado este enfoque para atacar a empresas y personas individuales. Esto se conoce como pesca submarina. La pesca submarina es prominente, y algunas estimaciones afirman que el 65% de los ciberdelincuentes optan por la pesca submarina como método de ataque elegido.
¿Ha recibido alguna vez un correo electrónico de alguien que se dirige a usted por su nombre y dice ser el director financiero de su organización y hace referencia a cosas que sólo usted conoce? Esto es phishing selectivo.
Signos reveladores
En algunos intentos mal elaborados, quedará claro que el correo electrónico no es de su director financiero.
El correo electrónico podría estar plagado de errores inusuales. O puede que le pidan su número de teléfono, a pesar de que su verdadero director financiero lo tiene. Si lo miras con detenimiento, verás que la dirección de correo electrónico es en realidad una cuenta de Gmail aleatoria asignada a una persona con el mismo nombre.
¿Qué es un ataque Vishing?
El vishing es otra modalidad de ataque de phishing, esta vez utilizando la voz. Al igual que el smishing, los ataques de vishing se dirigen a personas que desconfían de los ataques por correo electrónico pero que se sienten más seguras cuando se trata de la comunicación por voz.
Muchos consideran que el vishing es el tipo de ataque de phishing más antiguo. Aunque no se conoce oficialmente como "vishing", el primer intento conocido ocurrió alrededor de 1995.
Los ataques de vishing pueden dirigirse a personas concretas, en los que un humano real pregunta por otro humano real por su nombre. Pueden decir que son de su banco e informarles de que su cuenta corriente está en peligro.
Los ataques de vishing también pueden ser más generales, lanzándose simultáneamente por miles utilizando llamadas VoIP y mensajes pregrabados.
La forma más segura de rechazar los ataques de phishing es evitar entregar los datos personales si se sospecha. Si crees que la llamada puede ser auténtica, ofrécete a colgar y vuelve a llamar a un número de teléfono legítimo.
Smishing, phishing y vishing: cómo mantenerse a salvo
Los ataques de smishing, phishing y vishing se ejecutan en aguas turbias, pero el aumento de la transformación digital significa que sólo aumentarán en volumen. Algunas estimaciones afirman que 3.400 millones de correos electrónicos de phishing llegan a las bandejas de entrada cada día.
Los ciberdelincuentes son indiscriminados y atacan a todo el mundo, desde los universitarios hasta los altos ejecutivos.
El personal debe mantenerse alerta y detectar las tendencias comunes asociadas a los ataques de phishing de forma puntual. Aun así, la forma más eficaz de que una organización se mantenga segura es a través de una política integral de concienciación cibernética.
Buenas prácticas: Formación para la concienciación sobre la seguridad
La formación de concienciación sobre la seguridad, como la que ofrece la división empresarial de ThriveDX permite a las empresas probar el producto a la vez que aprenden sobre las amenazas actuales:
- Simulaciones - Los señuelos del mundo real dan cuenta de la entrada de datos (robo de credenciales), enlaces maliciosos y ataques de phishing con archivos adjuntos maliciosos.
- Otros ataques simulados incluyen medios portátiles, smishing y vishing
- Bibliotecas de contenidos totalmente personalizables
- Fomenta la notificación de actividades sospechosas por parte de los usuarios, aumentando el compromiso
Este tipo de plataformas de concienciación cibernética enseñan a los empleados a reconocer el phishing, el smishing, el vishing, el pharming, el BEC, el ransomware y otros ataques que ponen de rodillas a las empresas. La formación sobre seguridad también prepara a los trabajadores para el inevitable día en que se enfrenten a un ataque de phishing en la vida real.
