¿Está tu empresa protegida contra ataques “SHING”?

• ¿Tenemos en cuenta el eslabón más débil de la cadena?
• ¿Tenemos en cuenta los ataques de ingeniería social?
• ¿Tenemos en cuenta el Factor Humano, que representa el 74% de los incidentes, según el 2023 Data Breach Investigation Report de Verizon?

“El phishing es una técnica que consiste en el envío de un correo electrónico por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima (red social, banco, institución pública, empresa, proveedor, partner, etc.) con el objetivo de robarle información privada, realizarle un cargo económico o infectar el dispositivo, mediante su contenido, archivos adjuntos o enlaces a páginas fraudulentas en el correo electrónico”.

• Smishing, que combina los menajes SMS y el phishing como tal, utilizando mensajes de texto para dirigir a las víctimas a sitios web falsos, ilícitos, o fraudulentos, e incluso solicitar a los usuarios receptores que realicen algún tipo de acción.

• Vishing, consistente en un ataque de phishing a través de una llamada telefónica, en la cual quien llama trata de hacerse pasar por alguien legítimo como una empresa, un organismo oficial, una administración pública, un proveedor, un cliente, etc., y solicita al receptor de la llamada determinado tipo de información personal, privada, o confidencial, e incluso que realice algún tipo de acción.

• QRshing, que emplea la lectura de códigos QR falsos, fraudulentos, ilícitos, o maliciosos para llevar a los usuarios a una página web o un formulario desde el cual se descarga malware, o en donde se le solicita la introducción de datos personales, privados o confidenciales.

• Spear phishing, que, siendo un ataque de phishing en cualquiera de sus modalidades, es un ataque dirigido específicamente a una persona (o varias) de la empresa, a un empleado de la empresa, a un organismo o administración pública, a una empresa en concreto, a una determinada organización, a un político, etc. Se trata de un tipo de phishing más “estudiado”, elaborado y eficiente, ya que los ciberdelincuentes previamente han investigado a la organización, a sus empleados, a las personas a atacar, conociendo ya a los destinatarios, sus hábitos, roles, responsabilidades, capacidades, accesos con los que cuentan, a información a la que pueden acceder, permisos para realizar determinado tipo de actividades y, por tanto, lo que pueden sacar de ellos.

• Whale phishing, Whaling, o Whishing, que, siendo similar al spear phishing, se diferencia de él en que, en este caso, el ataque es dirigido personas concretas de muy alto perfil dentro de la empresa u organización (un “pez gordo” de la organización como lo pueden ser los socios, el presidente, los miembros del Consejo de Administración, el CEO, el Director General, los miembros del C-Level, e incluso otros tipos de perfiles corporativos, como el DPO, etc.), los cuales tienen acceso y manejan información concreta de carácter confidencial y estratégica.

• Pharming, que consiste en un tipo de phishing más sofisticado, pues los ciberdelincuentes redirigen el tráfico de una web real, verídica y legítima (mediante diferentes tipos de técnicas), hacia una web falsa, fraudulenta o ilegítima, donde comprometen la privacidad y la seguridad de la información.

• Clone phishing, consistente en que un ciberdelincuente intercepta y obtienen previamente un correo electrónico legítimo de la organización suplantada, que posteriormente modifica (generalmente introduciendo en él un texto con instrucciones para que el destinatario las aplique, o un enlace fraudulento o incluso ficheros adjuntos con malware). Con esto consigue un mayor grado de fiabilidad del mensaje y, por tanto, más efectividad del mismo.

• Angler phishing, o Phishing social, mediante el cual los ciberdelincuentes realizan una suplantación de identidad, o simplemente, se hacen pasar por un trabajador del soporte técnico de una empresa (por ejemplo, el caso del Falso Soporte Técnico de Microsoft que nos llama por teléfono), o del departamento de compras, o de facturación, o similar, para engañar al destinatario y hacer que aporte determinada información personal y/o confidencial de la empresa.

• Fraude del CEO. En este caso, aunque parecido al caso anterior, también existen situaciones en las que, dentro de una empresa, se suplanta la identidad de un alto cargo (generalmente con peso específico, como el CEO, un directivo, un jefe de departamento, etc.), para conseguir que el destinatario del mensaje (un empleado), confíe en que el mensaje realmente viene de quien parece venir, siendo éste legítimo y, por ende, el empleado haga lo que se le indica que haga en ese email. Este tipo de ataques, o de técnicas de ataque, también se conocen como Ataques BEC (Business Email Compromise).

• Malvertising, el cual va algo más allá, puesto que los ciberdelincuentes llegan a comprar publicidad y anuncios redes sociales y plataformas (por ejemplo, imágenes y banners animados y clicables), incluyendo en ellos enlaces a sitios ilegítimos y/o fraudulentos. Un caso concreto de este tipo de ataques es el del Pop-Up phishing, que muestra mensajes emergentes (generalmente avisos, anuncios, o publicidad) al visitar una página web. Sin embargo, estos anuncios fraudulentos se podrían mostrar de cualquier otro modo.

• Black Hat SEO, Phishing en motores de búsqueda, o Envenenamiento SEO. En este caso, la cosa es más compleja, ya que los ciberdelincuentes tienen una estrategia, trabajan e invierten dinero en manipular el posicionamiento SEM/SEO de sus enlaces en Internet, con el objetivo de que siempre aparezcan en las primeras posiciones de buscadores como Google, Bing, y Yahoo.

• Phishing de WiFi falsa, o Phishing de punto de acceso falso, o Phishing del gemelo malvado, que consiste en que los ciberdelincuentes generan una WiFi falsa suya, que se parece a otra WiFi pública abierta, ya existente, y disponible, en un lugar concreto, donde se conectan los usuarios pensando que es la correcta.

• SIM Swapping, mediante el que los ciberdelincuentes convencen a los proveedores de servicios para transferir el número de teléfono de la persona a la que se pretende atacar a una nueva tarjeta SIM. Con esto, los atacantes consiguen el acceso a mensajes y llamadas de la persona atacada.

• Watering hole phishing, o ataque de abrevadero, que supone un ataque específico a una empresa u organización en concreto. Los ciberdelincuentes detectan las webs, dominios o URLs que más visitan o con más tráfico desde los dispositivos de los empleados de una empresa en concreto y les redirigen desde esas URLs correctas a URLs maliciosas (propiedad y gestionadas por los ciberdelincuentes) que pueden descargar malware. Puede asemejarse al pharming, pero no es exactamente lo mismo.

• Hishing o Hardware phishing que, aunque quizá no contemple una técnica de engaño como en casos anteriores, consiste en que los ciberdelincuentes, a través de diversos métodos, “esconden” malware en diferentes dispositivos (ordenadores, portátiles, teléfonos móviles, etc.) que van a ser entregados a otros usuarios (alquiler, venta nueva, venta de segunda mano, etc.).

• El Pretexting busca que a persona atacada (la víctima) facilite información personal y/o confidencial, utilizando para ello un “pretexto” o “pretextos” (excusas) que atiendan a sus intereses, a los de la empresa, el negocio, etc., y le motiven a hacer algo en concreto debido a una supuesta necesaria premura de actuación, urgencia, aspectos de solidaridad, sociales, etc. Así los ciberdelincuentes manipulan a sus víctimas para que hagan lo que ellos quieren que hagan. Algunos casos, tipos o ejemplos son los fraudes o estafas que alucen a situaciones relacionadas con un supuesto Soporte Técnico (por ejemplo, el caso del Soporte Técnico de Microsoft), el caso del Fraude del CEO, los económicos, relacionados con supuestos premios, herencias y juegos de azar, etc.

• El Baiting consiste en depositar o dejar “abandonado” un dispositivo de almacenamiento (un pincho USB, un disco duro extraíble, una memoria SD, u otro tipo de dispositivo) que contiene malware en su interior. El objetivo es que quien se lo encuentre, se lo lleve, acceda a él, lo utilice y lo conecte a otros dispositivos, con el fin de infectaros y propagar así dicho malware, afectando de forma masiva. Otras variantes, en función del medio o lugar en el que resida ese malware, pueden ser el Fake WiFi Hotspot (donde se utiliza como medio un punto de acceso WiFi), la lectura de códigos QR fraudulentos (QRshing), el fraude en Redes Sociales o Social Media (donde se comparten URLs, links, enlaces incluso imágenes o elementos multimedia clicables, desde los que se descarga el malware), el propio Black Hat SEO, etc.

• El Tailgating, que es el conjunto de técnicas de ingeniería social con las que los ciberdelincuentes consiguen un acceso, no autorizado, a la red de la empresa (o cualquier otro servicio o sistema que cuente con validación/login), mediante el análisis de comportamiento de los usuarios/empleados. Algunas de estas técnicas pueden ser el Keylogging (por el que se averiguan las pulsaciones de teclado que realizan los usuarios/empleados), o el Bluetooth Hacking (o ataque y acceso a la comunicación Bluetooth para “esnifar” o interceptar la información que transita por ella), entre muchos otros.

• Correo Electrónico (phishing tradicional).
• Mensajes SMS de texto (smishing).
• Llamadas telefónicas (vishing).
• Códigos QR (QRshing).

• Los ciberataques por correo electrónico se incrementaron en un 464%, según el Mid-Year Cyberthreats Report de Acronis.

• El 41% de los ciberincidentes comenzaron con un caso de phishing, según el X-Force Threat Intelligence Index, de IBM.

• El correo electrónico es el principal vector de amenazas. El 98% de las amenazas comienzan con un email a modo de ataque dirigido a personas, de los que, el 12% son casos de phishing y el 49% casos de robo de credenciales, según el 2023 Data Breach Investigation Report de Verizon.

• Tres de cada cuatro incidentes de correo electrónico (phishing y otros) están dirigidos a pymes, según Coveware.

• Pero, la inversión de las empresas en lo que a protecciones para luchar contra estas situaciones se refiere, apenas supone del 10% de sus presupuestos, según apunta el Information Security Worldwide 2019 - 2025 de Gartner.