Phishing: definición, tipos y cómo protegerse

Por Quim Cano Teruel (14/07/2021)

El phishing constituye una de las técnicas más utilizadas por los ciberdelincuentes para obtener datos de sus víctimas (p. ej. credenciales de acceso a cuentas o datos bancarios). En este artículo de Quim Cano Teruel, veremos en qué consiste este ataque y cuales son las modalidades más extendidas en la actualidad.

Tabla de contenidos


1. Definición

 

En esencia, el phishing es una técnica de ingeniería social que tiene como finalidad obtener datos relevantes de la víctima. Para ello, el ciberdelincuente utiliza el engaño (generalmente suplantando la identidad de una fuente fiable) y difunde un mensaje a través de las TIC en el que sugiere a la víctima que ejecute una acción concreta.

Cuando hablamos de fuente o entidad fiable, nos referimos a aquella que es percibida por la víctima como una organización o persona de confianza (su banco, una empresa de paquetería, una red social, un compañero de trabajo, un amigo, etc.). Los datos que interesan a los ciberdelincuentes suelen ser credenciales de acceso a cuentas de usuario (correo, redes sociales, banco, etc.) y datos bancarios (tarjetas, credenciales de banca online, etc.) que sirven para perpetrar futuras estafas a cargo de la víctima.

Como vemos, se trata de una definición genérica donde caben matices, pues existen ataques phishing altamente sofisticados y otros realmente burdos. En ese sentido, un engaño exitoso provocará que la víctima baje la guardiarealice las acciones sugeridas por el ciberdelincuente (facilitar datos, entrar a una falsa página web, descargar un fichero de malware, etc.). Por tanto, el éxito de un ataque phishing dependerá de las habilidades del ciberdelincuente, de la verosimilitud del engaño y de la imprudencia o falta de diligencia de la víctima.

2. Elementos

 

Ingeniería social: entendida como la técnica de manipulación y engaño ejercida por un atacante sobre el legítimo poseedor de una información confidencial con finalidad de obtenerla.

Suplantación de identidad: es el conjunto de técnicas utilizadas por el atacante para hacer creer a la víctima que su identidad corresponde a una persona o entidad de confianza. Algunos de los métodos más utilizados son: el uso de logos e imagen corporativa de la organización a suplantar, el typosquatting, el spoofing, el pharming, la ofuscación de URL, la clonación de páginas web legítimas o el SIM swapping.

Medio de propagación: se trata del medio (de las TIC) a través del cual se difunde el mensaje. Lo más común es el correo electrónico, pero también son habituales los SMS, las aplicaciones de mensajería (como WhatsAPP o Telegram), las redes sociales, las llamadas de voz, las páginas web maliciosas o la infección de malware.

3. Tipos

 

Una vez entendida la definición de phishing y sus principales elementos, es hora de adentrarnos en las modalidades más utilizadas por los ciberdelincuentes. A continuación, se presentan las características más relevantes de cada tipo y un ejemplo que permite comprender su funcionamiento.

Phishing tradicional

 

Es la modalidad original y más extendida. Se trata del envío, generalmente masivo (spam), de correos electrónicos a un gran número de víctimas potenciales (sin acotar un perfil concreto), suplantando la identidad de una organización de confianza (bancos, empresas de paquetería, redes sociales, etc.) de tal modo que se utilizan remitentes ficticios (email spoofing), nombres de dominio que inducen a error (typosquatting), asi como colores, logos y réplicas de webs corporativas para lograr engañar a la víctima. En el correo se suele describir una situación que reviste cierta urgencia (un fallo de seguridad en el banco, la entrega de un paquete, la obtención de un premio, etc.) y se insta a la víctima a realizar una acción concreta al respecto (acceder a una web fraudulenta, descargar un archivo adjunto de malware, aportar datos confidenciales, etc.).

Al no haber un estudio previo del atacante sobre la víctima y dado su carácter masivo, el ataque puede afectar a víctimas de cualquier perfil. Además, los mensajes se caracterizan por un trato impersonal hacia la víctima (mensaje tipo plantilla). Al respecto, suele haber información disponible sobre el ataque en webs especializadas y redes sociales. En ese sentido, es suficiente con hacer una búsqueda simple de partes del texto del correo sospechoso para salir de dudas.

Ejemplo: un ciberdelincuente envía un correo suplantando la identidad de un trabajador de la entidad bancaria de la víctima donde se le informa que, con motivo de una campaña de seguridad, debe actualizar los datos de acceso accediendo a la dirección que se muestra. De este modo, la víctima puede caer en el engaño y, pensando que soluciona un problema, accede a la página indicada (que es una réplica de la original y está controlada por el atacante) e introduce sus datos de acceso a la cuenta bancaria que pasarán directamente a manos del ciberdelincuente.

Smishing

 

Es una variante del phishing tradicional, cuyo término resulta de la combinación de SMS y phishing. No obstante, además de los mensajes SMS, la variante se aplica a aplicaciones de mensajería (WhatsAPP, Telegram, Signal, Facebook Messenger, etc.). La mecánica es idéntica al phishing clásico, con la salvedad que el medio utilizado no es el correo electrónico sino mensajes de texto. En esta ocasión, el ciberdelincuente envía el mensaje a la víctima solicitándole que acceda a una página (fraudulenta) o que llame a un número controlado por el atacante. Si bien en este caso los ataques pueden ser masivos, también es habitual que estén dirigidos a una víctima concreta.

Ejemplo: la víctima recibe un SMS donde se le indica que ha sido agraciada con un premio al que podrá acceder descargando la aplicación (malware) que se adjunta en el enlace.

Vishing

 

Se refiere al phishing efectuado mediante llamada telefónica (voice phishing). Esta modalidad también puede realizarse de forma masiva, aunque el porcentaje de éxito aumenta cuando se trata de una víctima seleccionada expresamente y de la que se tiene cierto conocimiento. Para la variante masiva, el atacante utiliza herramientas de marcado por rangos o listas, de tal manera que se reproduce una locución que insta a la víctima a realizar una acción concreta (p. ej. llamar a un tercer número). En cuanto a la variante dirigida, el atacante contacta con una víctima potencial de la que tiene un conocimiento relativo, hecho que le permite personalizar el ataque mucho más desde el punto de vista de la ingeniería social.

Ejemplo: el atacante contacta con la víctima indicándole que se ha producido un intento de cobro con su tarjeta bancaria y por motivos de seguridad es necesario comprobar sus datos.

Spear phishing

 

A diferencia del phishing tradicional, en esta modalidad, el atacante siempre selecciona objetivos concretos (personas u organizaciones) mediante un estudio más o menos metódico de la víctima (utilizando técnicas de inteligencia como OSINT, SOCMINT o HUMINT). De este modo, el ciberdelincuente aprende hábitos, gustos y preferencias de su objetivo, hecho que le permitirá afinar el engaño que le facilite la obtención de información confidencial.

Ejemplo: una empresa X desea obtener información sobre un proyecto de ingeniería industrial de un trabajador de la competencia. Por ello, contrata a un ciberdelincuente que lleva a cabo un estudio exhaustivo de la víctima. Seguidamente, el atacante contacta a través de un correo electrónico muy personalizado cuyo remitente simula ser algún cargo de la empresa de la víctima. En el mensaje se le solicita un dosier informativo sobre el proyecto industrial para presentarlo ante ejecutivos de la sede principal.

Whaling

 

Esta variante está totalmente focalizada a organizaciones (generalmente empresas) y objetivos específicos (ejecutivos y personal de alto rango). El término whaling está relacionado con la caza de ballenas (peces gordos = ejecutivos). El whaling implica que el atacante tenga un conocimiento más o menos profundo de la organización que pretende atacar. De este modo, debe conocer la estructura organizativa y operativa, así como los cargos relevantes y sus funciones.

En ese sentido, el atacante simulará la identidad de un ejecutivo de nivel superior al de la víctima escogida y, aprovechando la credibilidad inherente al cargo, le solicitará algún tipo de información u operación (p. ej. ordenar una transferencia al responsable de finanzas). Un ataque típico de whaling es el conocido como fraude del CEO, en que el atacante simula ser director ejecutivo de la organización atacada.

Ejemplo: un atacante selecciona una víctima (tesorero de la empresa X) y estudia a fondo sus redes sociales y la de la propia empresa. De este modo traza una estrategia de phishing consistente en el envío de un correo electrónico a la víctima, suplantando la identidad del CEO de la empresa X, instándole a que ordene una transferencia a una cuenta (controlada por el atacante), con motivo de una operación estratégica confidencial de la que no debe dar cuenta a nadie.

SIM swapping

 

Consiste en la utilización de un duplicado de la tarjeta SIM de la víctima para acceder a desbloquear sistemas de autentificación de doble factor (2FA) de sus cuentas de usuario. Se trata de una técnica más común de lo que podría parecer y es que, hoy día, resulta sencillo solicitar duplicados de la SIM sin que las operadoras de telefonía verifiquen de forma fehaciente la identidad de sus clientes.

Ejemplo: un ciberdelincuente obtiene datos personales de su víctima y posteriormente los utiliza para solicitar un duplicado de su tarjeta SIM. La operadora, por falta de diligencia accede a la solicitud y entrega el duplicado al atacante. Finalmente, este activa la SIM en un dispositivo limpio y accede a autorizar transferencias bancarias mediante código de verificación enviado por la entidad bancaria al número de teléfono de la SIM duplicada.

4. Sujetos implicados

 

Como norma general, los ataques de phishing presentan un sujeto activo o atacante y un sujeto pasivo o víctima. Además, se dan situaciones en las que existe un tercer sujeto colaborador (que suele actuar sin dolo). En ese sentido, las figuras del sujeto activo y pasivo son fácilmente identificables y no presentan complicaciones para entenderlas. Sin embargo, el colaborador (conocido en el argot como mulero) está dotado de peculiaridades que a continuación trataremos.

Después de haber repasado los principales tipos de phishing, se desprende que existen modalidades que exponen (unas más que otras) a los ciberdelincuentes. Para entenderlo, imaginemos el caso en que el objetivo del atacante es obtener dinero de la víctima. Ese dinero deberá ser transferido mediante algún medio de pago (transferencia bancaria, PayPal, Western Union, Moneygram, criptomonedas, etc.). En ese sentido, el papel del mulero es hacer de puente entre el atacante y la víctima, de tal modo que la víctima transfiere los fondos al mulero y este, a cambio de una comisión, los transferirá al atacante mediante algún medio opaco.

Muy habitualmente, el mulero no es siquiera consciente del origen real del dinero (una estafa originada con un ataque phishing) y suele ser, a su vez, víctima de otro engaño (estafa) bajo la apariencia de una falsa actividad laboral. Al respecto, el atacante original ofrece al mulero un supuesto empleo (incluso aportando un contrato al que no da trámite) en el que se le encomiendan tareas de gestión de patrimonio entre cuentas bancarias a cambio de suculentas comisiones. Por tanto, en este caso se da la situación que el mulero es, a la vez, víctima de una estafa y autor de un delito de blanqueo de capitales imprudente (art. 301.3 CP).

5. Cómo protegerse

 

Debemos partir de la base que el uso de las TIC no está exento se riesgo, en tanto que interactúan multitud de factores (hardware, software, configuración, conocimientos del usuario, seguridad de la red desde la que se opera, servicios utilizados, tiempo de exposición, cantidad de interacciones, confianza en las fuentes etc.) y ello implica que la protección absoluta es una quimeraNo obstante, existen medidas de prevención mínimas que toda organización y usuario debería cumplir:

  • Mantén el sistema informático actualizado, libre de vulnerabilidades conocidas
  • Utiliza herramientas de seguridad como antivirus, sistemas anti-phishing y de monitorización de actividad
  • No ejecutes archivos adjuntos y descarga software sólo desde fuentes de confianza
  • Introduce credenciales únicamente en webs seguras (empiezan por HTTPS) y verifica que además sea una web legítima (tecleando la dirección directamente)
  • Fíjate en los correos que te soliciten ejecutar una acción comprometida (escritura, trato, remitente), es muy posible que sea phishing
  • Aplica el sentido común, ni tu banco te comunicará problemas con tu cuenta por mensaje ni te regalarán un IPhone por ser el visitante 1000 de una web
  • Ante la mínima duda, desconfía

Cita APA del artículo

Quim Cano Teruel (14/07/2021), “Phishing: definición, tipos y cómo protegerse” [Cibercrim]. Fecha de consulta: 03/12/2021. Disponible en: https://cibercrim.com/phishing-definicion-tipos-y-como-protegerse/.

Graduado en Derecho, Máster en Ciberdelincuencia, Técnico Superior en Gestión Comercial y Márketing.
Fundador de Cibercrim. Trayectoria profesional dedicada a la ciberseguridad y a la seguridad pública.

Share on twitter
Share on linkedin
Share on facebook
Share on whatsapp
Share on telegram
Share on email

Artículos recientes