La bandeja de entrada segura: Su guía sobre el Phishing, Spear Phishing, Whaling y cómo evitar amenazas

En esta guía encontrará:

¿Qué es la seguridad de correo electrónico?

¿Qué es la suplantación de identidad por correo electrónico?

Sobre los ataques de phishing, spear phishing y whaling:

¿Qué es el phishing?

¿Qué son el spear phishing y el whaling?

¿Cómo puedo mitigar los ataques de phishing y BEC?

¿Qué es la seguridad de correo electrónico?

En pocas palabras, la seguridad de correo electrónico es el término colectivo para las medidas que su organización toma para salvaguardar la confidencialidad, integridad y disponibilidad de sus comunicaciones de correo electrónico, desde el envío y la recepción hasta el archivado.

La encriptación de correo electrónico es una parte vital de la seguridad de este tipo de comunicación, ya que garantiza que solo el destinatario previsto pueda descifrarlo.

La autenticación verifica la identidad del remitente y el origen del correo electrónico en sí. Herramientas como el Marco de Políticas de Remitentes (SPF, por sus siglas en inglés), DomainKeys Identified Mail (DKIM) o también conocido como el correo identificado por claves de dominio y domain-based message authentication reporting and conformance (DMARC) o en español la autenticación y conformidad de mensajes basada en dominios ayudan a detectar correos electrónicos falsificados o suplantados.

Las medidas antivirus y antispam incluyen filtros y escáneres robustos que detectan y bloquean software malicioso (malware) y correos electrónicos no deseados (spam).

El phishing es un ataque común basado en correo electrónico, pero hay formas de detectar y bloquear intentos de phishing, incluido el análisis de enlaces, verificaciones de reputación de dominio y análisis de contenido. Estos deben revisarse regularmente para mantenerse al día con la rápida evolución de las técnicas de phishing.

Los mecanismos de prevención de pérdida de datos (DLP) ayudan a evitar la divulgación accidental o intencional de datos confidenciales a través del correo electrónico. Identifican y clasifican información confidencial, como números de tarjetas de crédito o de seguridad social, y aplican políticas para evitar su divulgación.

El archivado de correo electrónico implica almacenar y conservar las comunicaciones de correo electrónico para futuras referencias, cumplimiento normativo o fines legales. Los archivos de correo electrónico son una fuente rica de datos para los actores maliciosos, por lo que su integridad y accesibilidad deben protegerse. El acceso no autorizado también puede provocar eliminaciones accidentales o manipulación deliberada.

Las personas siempre son su mejor defensa, así que no ignores la concientización y educación de los usuarios sobre cosas como evitar adjuntos de correo electrónico sospechosos, no hacer clic en enlaces desconocidos y estar alerta contra tácticas de ingeniería social.

¿Qué es la suplantación de identidad? 

Como se puede imaginar, los actores maliciosos pueden falsificar un correo electrónico legítimo manipulando los encabezados y otros elementos para que el mensaje parezca proceder de una fuente fiable.

La suplantación de identidad por correo electrónico se aprovecha de los puntos débiles del protocolo de transferencia de correo simple (SMTP, por sus siglas en ingles), el protocolo estándar para la transmisión de correo electrónico. SMTP no proporciona mecanismos sólidos para verificar la autenticidad de la identidad del remitente, lo que facilita a los actores maliciosos la manipulación de los encabezados de correo electrónico y así engañar a los destinatarios.

Al falsificar la identidad del remitente, los remitentes de spam pueden intentar eludir los filtros de correo electrónico y aumentar las posibilidades de que sus mensajes lleguen a las bandejas de entrada de sus destinatarios.

Los correos electrónicos suplantados pueden ser utilizados por actores maliciosos para diferentes fines.

Son fundamentales para la distribución de malware y a menudo contienen archivos adjuntos o enlaces que, al hacer clic en ellos o abrirlos, inician la descarga e instalación de programas maliciosos en el dispositivo del destinatario. 

Los correos electrónicos suplantados también son un componente central de los ataques de phishing.

Ataques de phishing, spear phishing y whaling

¿Qué es el phishing?

El phishing es un tipo de ciberataque en el que los actores maliciosos se hacen pasar por una entidad u organización confiable para engañar a las personas y obtener información confidencial, como credenciales de inicio de sesión, detalles financieros o datos personales. El atacante generalmente se hace pasar por una entidad legítima, como un banco, un proveedor de correo electrónico, una plataforma de redes sociales o una organización de buena reputación.

Los orígenes de la palabra no están del todo claros, pero es probable que "phishing" sea una combinación de "phreak" (un término en línea temprano para un hacker) y "fishing" (pesca en inglés). Los perpetradores del fraude telefónico a mediados de la década de 1990 eran llamados "phone freaks", abreviado más tarde como "phreaks". "Fishing" es más directo; los actores maliciosos intentan atraer a sus objetivos con señuelos engañosos. Hasta hace poco, los actores maliciosos simplemente lanzaban la carnada y luego recogían lo que pudieran atrapar.

Sin embargo, los rápidos avances en inteligencia artificial y aprendizaje automático están cambiando esa situación. La aparición de los ataques de compromiso de correo electrónico empresarial (BEC, por sus siglas en inglés), especialmente en forma de ataques de "spear phishing" y "whaling", refleja una creciente concientización entre los ciberdelincuentes de que atacar objetivos específicos utilizando técnicas más refinadas puede ser más lucrativo.

Los ataques de phishing generalmente se llevan a cabo a través de correo electrónico, pero existen variantes:

• Smishing: El objetivo es contactado a través de mensajes de texto o aplicaciones de mensajería. Estos suelen ser ataques automatizados que pretenden ser del banco del destinatario, por ejemplo, o de una autoridad fiscal amenazando con acciones legales por impuestos impagos. Sin embargo, a veces se le dice a los destinatarios que han ganado un fabuloso premio y se les insta a "hacer clic aquí" para reclamarlo.

• Vishing: En un típico ataque de vishing, el objetivo recibe una llamada telefónica de alguien que pretende ser de un banco o una agencia gubernamental. El interlocutor intentará obtener contraseñas, números de seguro social, detalles bancarios, etc. Para generar credibilidad, los actores maliciosos a menudo utilizan el vishing como seguimiento a una estrategia inicial de smishing.

• Typosquatting: El typosquatting es la forma más pasiva de phishing. También conocido como secuestro de URL o imitación de dominio, consiste en registrar sitios web falsos con nombres que son casi idénticos a los de sitios web populares y legítimos. Esta forma de fraude es casi tan antigua como el Internet mismo y muy difícil de combatir, ya que se basa por completo en errores del usuario, en lugar de en cualquier forma de ingeniería social que las personas puedan aprender a detectar.

Elementos comunes en los ataques de phishing, spear phishing y whaling

• Un correo electrónico o mensaje fraudulento que parece legítimo, utilizando técnicas como la suplantación de identidad por correo electrónico para que la comunicación parezca auténtica.

• Los correos electrónicos de phishing suelen ser emocionalmente manipuladores. Los actores maliciosos utilizarán cualquier cosa que impulse al destinatario a responder rápidamente, como un problema de seguridad urgente o un pago pendiente, o una oferta de tiempo limitado que está a punto de expirar.

• Un mensaje de phishing generalmente contiene enlaces o archivos adjuntos que dirigen al objetivo a sitios web maliciosos o descargan malware en sus dispositivos. Estos sitios web o archivos están diseñados para recopilar información confidencial, como nombres de usuario, contraseñas, detalles de tarjetas de crédito o datos personales.

• Una vez que el objetivo llega al sitio web malicioso, se le puede solicitar que ingrese sus credenciales o información personal. Esta información es capturada por el atacante, quien luego puede usarla ellos mismos o venderla en la web oscura.

• En los ataques de BEC, como el spear phishing o whaling, a menudo se dirigen a ejecutivos para suplantar su identidad por parte de los actores maliciosos, quienes utilizan sus nombres, cargos u otros detalles personales para intentar engañar a sus contactos y colegas. Esto puede incluir imitar el estilo de escritura del ejecutivo o utilizar conocimientos internos para aumentar la credibilidad.

¿Qué es el spear phishing y el whaling?

La principal diferencia entre el phishing "básico" y sus versiones más sofisticadas, el spear phishing y el whaling, es que el spear phishing y el whaling requieren más trabajo por parte de los actores maliciosos y, por lo tanto, es más probable que tengan un objetivo específico.

Cualquier individuo, en cualquier capacidad, puede ser objetivo de un ataque de phishing. Sin embargo, el spear phishing y el whaling tienden a implicar el compromiso de correo electrónico empresarial (BEC, por sus siglas en inglés) y apuntar a organizaciones enteras y empresas.

Los actores maliciosos a menudo utilizan diversas fuentes de información, como perfiles de redes sociales, registros públicos o brechas de datos, para que sus mensajes parezcan legítimos y relevantes. Y, para hacer su enfoque aún más convincente, es probable que suplanten una dirección de correo electrónico o número de teléfono desde el cual el destinatario probablemente confíe en un mensaje entrante.

Ambos pasos requieren investigación, y mientras realizan esta investigación, los ciberdelincuentes descubrirán otros detalles que pueden utilizar. Por ejemplo, pueden mencionar un proyecto específico en el que esté involucrado el objetivo o un evento reciente al que hayan asistido.

Los ataques de spear phishing suelen estar diseñados para obtener acceso general a los datos sensibles o redes de una organización, por lo que el nivel de jerarquía y/o el rol del empleado objetivo no son particularmente relevantes.

En cambio, un ataque de whaling (también conocido como phishing de ballena o fraude del CEO) se dirige a los "peces gordos", como los CEO, CFO u otros ejecutivos que tienen autoridad significativa, especialmente cuando se trata de autorizar transferencias de grandes sumas de dinero y acceso a información extremadamente sensible.

Avances en IA dificultan la detección de spear phishing y whaling

La tecnología deep fake se está volviendo más accesible y los criminales la están utilizando para hacer que sus expediciones de whaling sean aún más exitosas. Ahora que Microsoft Translator cuenta con más de 100 idiomas en su repertorio, los actores maliciosos se han dado cuenta de que incluso el idioma no debe ser una barrera a la hora de seleccionar objetivos.

Ya ha habido casos en los que ejecutivos han sido engañados por llamadas que creían que provenían de sus jefes o clientes. Estos casos demuestran la importancia de contar con una cadena de aprobaciones en transferencias grandes, especialmente en los niveles más altos de una organización.

En 2019, un CEO de una empresa energética en el Reino Unido recibió una llamada de alguien que había utilizado inteligencia artificial para imitar con éxito el ligero acento y la entonación alemana del jefe del CEO. Siguiendo instrucciones que parecían legítimas, el CEO transfirió 220.000 euros a un proveedor húngaro.

Un año después, en 2020, el gerente de una sucursal de una empresa japonesa en Hong Kong recibió una llamada del director de la empresa matriz. Haciendo referencia a una larga correspondencia por correo electrónico en la que el gerente había sido copiado sobre una adquisición, el director instruyó al gerente a proceder con las transferencias de 35 millones USD necesarias para completar el trato.

Estos dos ataques aún no han sido vinculados.

¿Cómo puedo mitigar los ataques de phishing y BEC?

• Realiza capacitaciones regulares de concientización sobre seguridad para educar a los empleados, especialmente a los ejecutivos, sobre los riesgos asociados con los ataques de whaling y las técnicas utilizadas por los actores maliciosos.

• Implementa mecanismos de autenticación sólidos, como la autenticación de múltiples factores (MFA), para prevenir el acceso no autorizado a cuentas de correo electrónico o sistemas críticos.

• Utiliza filtros para detectar y bloquear correos electrónicos sospechosos o falsificados. Implementa protocolos de autenticación de correo electrónico para verificar la autenticidad de los correos electrónicos entrantes.

• Anima a tu personal a estar alerta ante los correos electrónicos entrantes, especialmente aquellos que solicitan información confidencial o transferencias de fondos. Establece un proceso de verificación para solicitudes de alto riesgo, como verificación telefónica o confirmación cara a cara.

• Desarrolla y prueba regularmente planes de respuesta ante incidentes para garantizar una respuesta rápida y coordinada en caso de un ataque de whaling. Esto incluye canales de comunicación claros, procedimientos de reporte y pasos para mitigar el impacto.

• Realiza una exhaustiva evaluación de tus terceros para asegurarte de que sus propias medidas de seguridad cumplan con tus estándares. Los actores maliciosos suelen utilizar a terceros como puerta de entrada a objetivos más grandes.