¿Qué es el phishing?
El phishing es un tipo de ataque de ciberseguridad durante el cual actores maliciosos envían mensajes y se hacen pasar por una persona o entidad de confianza. Los mensajes de phishing manipulan a un usuario, lo que hace que realice acciones como instalar un archivo malicioso, hacer clic en un enlace malicioso o divulgar información confidencial, como credenciales de acceso.
El phishing es el tipo más común de ingeniería social, que es un término general que describe los intentos de manipular o engañar a los usuarios de computadoras. La ingeniería social es un vector de amenazas cada vez más común utilizado en casi todos los incidentes de seguridad. Los ataques de ingeniería social, como el phishing, a menudo se combinan con otras amenazas, como malware, inyección de código y ataques de red.
Ataques de phishing: estadísticas y ejemplos
Recent findings from Check Point’s latest cyber‑security research show that phishing has evolved far beyond the traditional email‑based scams once marked by obvious spelling or formatting errors. Today, phishing is deeply intertwined with AI‑driven social engineering techniques, where attackers use AI‑generated text, audio, and video to create highly convincing impersonations at scale. These advancements eliminate the familiar red flags of past phishing attempts, making fraudulent messages, fake platforms, and impersonation scams far harder for users to detect.
Moreover, phishing now plays a central role in broader cyber‑criminal ecosystems. Fake AI platforms—such as malicious “AI‑service” sites that appear legitimate but instead steal credentials—are increasingly used to distribute malware or harvest sensitive data. Attackers also leverage credential theft from phishing to access AI service accounts, which are later resold in bulk across dark‑web marketplaces and used to automate further malicious activity, including crafting phishing content itself.
Phishing continues to support the delivery of prominent malware types as well. In modern ransomware operations, AI‑generated phishing emails, deepfake audio, and other impersonation techniques are used to gain initial access or escalate privileges before an attack unfolds.
Cómo funciona el phishing
El elemento básico de un ataque de phishing es un mensaje enviado por correo electrónico, redes sociales u otros medios de comunicación electrónica.
Un phisher puede utilizar recursos públicos, especialmente redes sociales, para recopilar información general sobre la experiencia personal y laboral de su víctima. Estas fuentes se utilizan para recopilar información como el nombre, el título del trabajo y la dirección de correo electrónico de la víctima potencial, así como sus intereses y actividades. El phisher puede entonces usar esta información para crear un mensaje falso confiable.
Por lo general, los correos electrónicos que recibe la víctima parecen provenir de un contacto u organización conocida. Los ataques se llevan a cabo a través de archivos adjuntos maliciosos o enlaces a sitios web maliciosos. Los atacantes suelen crear sitios web falsos, que parecen ser propiedad de una entidad de confianza, como el banco, el lugar de trabajo o la universidad de la víctima. A través de estos sitios web, los atacantes intentan recopilar información privada como nombres de usuario y contraseñas o información de pago.
Algunos correos electrónicos de phishing pueden identificarse debido a una mala redacción y al uso inadecuado de fuentes, logotipos y diseños. Sin embargo, muchos ciberdelincuentes son cada vez más sofisticados a la hora de crear mensajes de aspecto auténtico y utilizan técnicas de marketing profesional para probar y mejorar la eficacia de sus correos electrónicos.
Técnicas habituales de phishing
phishingpor correo electrónico
Quienes realizan phishing usan diversas técnicas para hacer que sus ataques parezcan más creíbles para sus objetivos y cumplir sus metas. Entre algunas técnicas habituales de phishing, se incluyen:
- Ingeniería Social: la ingeniería social utiliza la psicología para manipular a los objetivos de los ataques de phishing. Una persona que hace phishing puede recurrir al engaño, la coerción, la coima u otras técnicas para lograr su objetivo.
- Typosquatting: quienes realizan phishing pueden usar dominios y URL que se parecen mucho a los de un dominio legítimo y confiable. Si el objetivo no está prestando suficiente atención, puede creer que el enlace es legítimo.
- Suplantación de identidad por correo electrónico: un correo electrónico falsificado está diseñado para que el nombre que se muestra pertenezca a alguien en quien confíe el destinatario. El campo del remitente en un correo electrónico solo tiene datos y está bajo el control del remitente. Quienes realizan phishing utilizan este hecho para hacer que los correos electrónicos parezcan provenir de cuentas de confianza.
- Acortamiento de URL: los acortadores de enlaces como bit.ly ocultan el destino de una URL. Los atacantes usan esto para engañar a un objetivo con el fin de que haga clic en un enlace a una página de phishing.
- Redireccionamientos maliciosos: los redireccionamientos están diseñados para enviar un navegador a otra página si la URL original no está disponible, es incorrecta o está desactualizada. Los redireccionamientos maliciosos se pueden usar para enviar a un usuario a una página de phishing en lugar de una legítima.
- Enlaces ocultos: los enlaces pueden ocultarse en texto o imágenes aparentemente inofensivos. Si un usuario hace clic accidentalmente en el enlace oculto, se lo envía a una página de phishing.
5 tipos de ataques de phishing
1. Phishing por correo electrónico
La mayoría de los ataques de phishing se envían por correo electrónico. Los atacantes suelen registrar nombres de dominio falsos que imitan a organizaciones reales y envían miles de solicitudes comunes a las víctimas.
En el caso de los dominios falsos, los atacantes pueden agregar o reemplazar caracteres (por ejemplo, my-bank.com en lugar de mybank.com), usar subdominios (por ejemplo, mybank.host.com) o usar el nombre de la organización de confianza como nombre de usuario de correo electrónico (por ejemplo, mybank@host.com).
En muchos correos electrónicos de phishing, se utiliza un tono de urgencia o una amenaza para hacer que un usuario cumpla rápidamente sin verificar la fuente o la autenticidad del email.
Los mensajes de phishing por correo electrónico tienen uno de los siguientes objetivos:
- Hacer que el usuario haga clic en un enlace a un sitio web malicioso para instalar malware en su dispositivo.
- Hacer que el usuario descargue un archivo infectado y lo use para implementar malware.
- Hacer que el usuario haga clic en un enlace a un sitio web falso y envíe datos personales.
- Hacer que el usuario responda y proporcione datos personales.
2. Phishing de objetivo definido (spear phishing)
El phishing de objetivo definido incluye correo electrónico malicioso enviado a personas específicas. Por lo general, el atacante ya tiene toda o parte de la siguiente información sobre la víctima:
- Nombre
- Lugar de empleo
- Título del trabajo
- Dirección de correo electrónico
- Información específica sobre su puesto de trabajo
- Colegas de confianza, familiares u otros contactos, y muestras de sus escritos
Esta información ayuda a aumentar la eficacia de los correos electrónicos de phishing y a manipular a las víctimas para que realicen tareas y actividades, como transferir dinero.
3. Phishing de altos cargos (whaling)
El phishing de altos cargos se dirige la gestión de alto nivel y a otros roles muy privilegiados. El objetivo final es el mismo que el de otros tipos de ataques de phishing, pero la técnica suele ser muy sutil. Los empleados sénior suelen tener una gran cantidad de información de dominio público, y los atacantes pueden usar esta información para crear ataques muy eficaces.
Por lo general, estos ataques no utilizan trucos como URL maliciosas y enlaces falsos. En cambio, aprovechan los mensajes muy personalizados y aprovechan la información de la víctima que descubren en su investigación. Por ejemplo, suelen emplear declaraciones de impuestos falsas para descubrir datos confidenciales sobre la víctima y usarlos para diseñar su ataque.
4. Phishing por SMS y teléfono (smishing y vishing)
Se trata de un ataque de phishing que utiliza un teléfono en lugar de comunicación escrita. El smishing implica el envío de mensajes SMS fraudulentos, mientras que el vishing implica conversaciones telefónicas.
En una típica estafa de phishing por voz, un atacante se hace pasar por un investigador de estafas para una compañía de tarjetas de crédito o un banco, e informa a las víctimas que su cuenta ha sido vulnerada. Luego, los delincuentes piden a la víctima que proporcione información de tarjeta de pago, supuestamente para verificar su identidad o transferir dinero a una cuenta segura (que es realmente la del atacante).
La estafa de vishing también puede implicar llamadas telefónicas automatizadas que se hacen pasar por una entidad de confianza que le pide a la víctima que escriba sus datos personales desde el teclado de su teléfono.
5. Phishing de pescadores
Estos ataques utilizan cuentas falsas de redes sociales pertenecientes a organizaciones conocidas. El atacante utiliza un identificador de cuenta que imita a una organización legítima (por ejemplo, "@pizzahutcustomercare") y la misma imagen de perfil que la cuenta real de la empresa.
Los atacantes aprovechan la tendencia de los consumidores a presentar quejas y solicitar asistencia a las marcas a través de los canales de redes sociales. Sin embargo, en lugar de contactar con la marca real, el consumidor se pone en contacto con la cuenta social falsa del atacante.
Cuando los atacantes reciben tal solicitud, pueden pedirle al cliente que proporcione información personal para que puedan identificar el problema y responder adecuadamente. En otros casos, el atacante proporciona un enlace a una página falsa de atención al cliente, que en realidad es un sitio web malicioso.
¿Cuáles son los signos del phishing?
Amenazas o sentido de urgencia
Los correos electrónicos que amenazan consecuencias negativas siempre deben ser tratados con escepticismo. Otra estrategia es usar la urgencia para alentar o exigir una acción inmediata. Los phishers esperan que al leer el correo electrónico a toda prisa, no escudriñen a fondo el contenido y no descubran inconsistencias.
Estilo de mensaje
Una indicación inmediata de phishing es que un mensaje esté escrito con un lenguaje o tono inapropiado. Si, por ejemplo, un colega del trabajo suena demasiado informal o un colega cercano usa un lenguaje formal, esto debería despertar sospechas. Los destinatarios del mensaje deben comprobar si hay cualquier otro indicio de un mensaje de phishing.
Solicitudes inusuales
Si un correo electrónico requiere que realice acciones no estándar, podría indicar que el correo electrónico es malicioso. Por ejemplo, si un correo electrónico dice ser de un equipo de TI específico y pide que se instale software, pero estas actividades suelen ser manejadas centralmente por el departamento de TI, el correo electrónico probablemente sea malicioso.
Errores lingüísticos
Las faltas de ortografía y el uso gramatical incorrecto son otro indicio de correos electrónicos de phishing. La mayoría de las empresas configuraron la revisión ortográfica en sus clientes de correos electrónicos para los correos salientes. Por lo tanto, los correos electrónicos con errores ortográficos o gramaticales deben levantar sospechas, ya que es posible que no provengan de la supuesta fuente.
Inconsistencias en las direcciones web
Otra forma sencilla de identificar posibles ataques de phishing es buscar direcciones de correo electrónico, enlaces y nombres de dominio que no coincidan. Por ejemplo, es una buena idea verificar una comunicación anterior que coincida con la dirección de correo electrónico del remitente.
Los destinatarios siempre deben pasar el cursor sobre un enlace en un correo electrónico antes de hacer clic en él para ver el destino real del enlace. Si se cree que el correo electrónico fue enviado por Bank of America, pero el dominio de la dirección de email no contiene "bankofamerica.com", es un indicio de un correo electrónico de phishing.
Solicitud de credenciales, información de pago u otros datos personales
En muchos correos electrónicos de phishing, los atacantes crean páginas de inicio de sesión falsas vinculadas desde correos electrónicos que parecen ser oficiales. La página de inicio de sesión falsa normalmente tiene un cuadro de inicio de sesión o una solicitud de información de cuentas financieras. Si el correo electrónico es inesperado, el destinatario no debe ingresar las credenciales de inicio de sesión ni hacer clic en el enlace. Como precaución, los destinatarios deben visitar directamente el sitio web que creen que es la fuente del correo electrónico.
Cinco formas de proteger su organización de ataques de phishing
A continuación se muestran algunas formas en que su organización puede reducir el riesgo de ataques de phishing.
1. Capacitar a los empleados
Es fundamental capacitar a los empleados para que comprendan las estrategias de phishing, identifiquen signos de phishing e informen incidentes sospechosos al equipo de seguridad.
Del mismo modo, las organizaciones deben animar a los empleados a buscar insignias de confianza o logos de empresas conocidas de ciberseguridad o antivirus antes de interactuar con un sitio web. Esto demuestra que el sitio web se toma en serio la seguridad y probablemente no sea falso ni malicioso.
2. Implementar soluciones de seguridad de correo electrónico
Las soluciones modernas de filtrado de correo electrónico pueden proteger contra malware y otras cargas maliciosas en los mensajes de correo electrónico. Las soluciones pueden detectar correos electrónicos que contienen enlaces maliciosos, archivos adjuntos, contenido no deseado y lenguaje que podría sugerir un ataque de phishing.
Las soluciones de seguridad de correo electrónico bloquean y ponen en cuarentena automáticamente los correos electrónicos sospechosos y utilizan la tecnología de sandboxing para “detonar” los correos electrónicos y verificar si contienen código malicioso.
3. Usar la supervisión y protección de terminales
El uso cada vez mayor de servicios en la nube y dispositivos personales en el lugar de trabajo ha introducido muchos terminales nuevos que pueden no estar completamente protegidos. Los equipos de seguridad deben asumir que alguna terminal será vulnerada por ataques de terminal. Es esencial monitorear el terminal en busca de amenazas a la seguridad e implementar soluciones y respuestas rápidas en el dispositivo comprometido.
4. Realizar pruebas de ataque de phishing
Las pruebas de ataques de phishing simulados pueden ayudar a los equipos de seguridad a evaluar la eficacia de los programas de formación en materia de concienciación sobre seguridad y ayudar a los usuarios finales a comprender mejor los ataques. Incluso si sus empleados son buenos para encontrar mensajes sospechosos, deben someterse a pruebas de manera regular para imitar ataques de phishing reales. El panorama de las amenazas sigue evolucionando, y las simulaciones de ciberataques también deben evolucionar.
5. Limitar el acceso de los usuarios a sistemas y datos de alto valor
La mayoría de los métodos de phishing están diseñados para engañar a los operadores humanos, y las cuentas de usuarios privilegiados son objetivos atractivos para los ciberdelincuentes. Restringiendo el acceso a sistemas y datos puede ayudar a proteger los datos confidenciales de fugas. Utilice el principio de los privilegios mínimos y solo dé acceso a los usuarios que lo necesitan absolutamente.
Protección y prevención de phishing con Check Point
Check Point Check Point Email Security provides robust anti-phishing defense, effectively countering phishing attacks. Recognized as a Leader in the 2023 Forrester Wave for Enterprise Email Security, it offers advanced protection for your organization.
Track for impersonations of your company, such as malicious lookalike domains and social media impersonations and take them down within 12 hours with Check Point Exposure Management.
To learn more about how Check Point Email Security can safeguard your organization from the newest phishing threats, request a free demo today.
