Phishing

Introducción al Phishing

El phishing es una forma de ingeniería social. A diferencia de otros ciberataques que se dirigen directamente a redes y recursos, los ataques de ingeniería social utilizan errores humanos, historias falsas y tácticas de presión para manipular a las víctimas para que se perjudiquen involuntariamente a sí mismas o a sus organizaciones. En un intento típico de phishing, un delincuente se hace pasar por alguien en quien la víctima confía, como un colega, jefe, figura de autoridad o representante de una marca conocida. El delincuente envía un mensaje pidiendo a la víctima que pague una factura, abra un archivo adjunto, haga clic en un enlace o realice cualquier otra acción.

Evolución e impacto de los ataques de phishing

El phishing, término que ahora es sinónimo de ciberdelincuencia, tiene su origen en un programa desarrollado por un adolescente de Pensilvania llamado AOHell. Este primer malware tenía como objetivo AOL (America Online), un popular servicio online en los primeros días de Internet, utilizando mecanismos para robar información de tarjetas de crédito y descifrar contraseñas, lo que provocó interrupciones en los servicios de AOL. El programa AOHell sentó las bases del software de phishing automatizado, influyendo en los métodos de phishing posteriores, incluidos los utilizados por la comunidad Warez, un grupo dedicado a piratear y compartir software pirateado.

Los inicios del phishing

A la comunidad Warez se le atribuyen los primeros ataques de phishing organizados, que comenzaron en 1996. Se dirigían a usuarios de AOL utilizando un algoritmo para generar números aleatorios de tarjetas de crédito. Cuando encontraban un número válido, creaban cuentas reales de AOL para estafar a otros usuarios. Este esquema inicial de phishing evolucionó hacia tácticas de ingeniería social más sofisticadas, en las que los atacantes se hacían pasar por empleados de AOL para recopilar información sensible.

Tras estas primeras estafas, las tácticas de phishing pasaron rápidamente al correo electrónico. Los primeros correos electrónicos de phishing iban desde esquemas poco convincentes, como los que implicaban a falsos príncipes nigerianos, hasta intentos más sofisticados como el virus Mimail de 2003. El virus Mimail se distribuyó a través de un correo electrónico que decía proceder de PayPal, instando a los usuarios a actualizar los datos de sus tarjetas de crédito. Muchos usuarios, engañados por el convincente logotipo de PayPal, introdujeron sus credenciales en un sitio web malicioso.

La amenaza centrada en el ser humano

El phishing es especialmente peligroso porque explota la psicología humana en lugar de basarse en vulnerabilidades tecnológicas. A menudo, los atacantes no necesitan violar los sistemas directamente ni burlar las herramientas de ciberseguridad. En lugar de ello, engañan a personas con acceso autorizado a información sensible, llevándolas a colaborar involuntariamente en el ataque.

Los phishers pueden ser desde estafadores individuales hasta bandas criminales organizadas, y pueden utilizar el phishing para diversos fines maliciosos, como el robo de identidad, el fraude con tarjetas de crédito, el robo de dinero, la extorsión, la apropiación de cuentas y el espionaje. Los objetivos de los ataques de phishing incluyen a particulares, empresas y organismos gubernamentales. Un ejemplo notable es el ataque de phishing a la campaña presidencial estadounidense de Hillary Clinton en 2016, en el que piratas informáticos rusos utilizaron un correo electrónico falso de restablecimiento de contraseña para robar miles de correos electrónicos. Incluso el servicio de asistencia informática de la campaña fue engañado por los correos fraudulentos.

Técnicas modernas de phishing

El phishing ha evolucionado significativamente, utilizando múltiples métodos de comunicación y técnicas sofisticadas para engañar a los objetivos. Los intentos modernos de suplantación de identidad pueden parecerse mucho a los de empresas legítimas, lo que dificulta su detección sin un examen minucioso.

Algunas técnicas contemporáneas de phishing son

• Phishing de pescador: Se produce a través de las redes sociales, utilizando URL falsas, mensajes instantáneos o perfiles falsos para recopilar información sensible. Los atacantes también pueden explotar los perfiles de las redes sociales en busca de información personal para mejorar su manipulación.
• Clonación y suplantación de dominios: Los atacantes crean correos electrónicos muy parecidos a los legítimos, utilizando copias exactas de los mensajes o falsificando nombres de dominio para que los correos parezcan auténticos. A menudo se hacen pasar por grandes empresas conocidas para engañar a los usuarios y que divulguen información personal.
• Smishing: Esta técnica combina el phishing con los SMS, enviando mensajes de texto falsos para recopilar información como números de tarjetas de crédito o contraseñas.
• Spear Phishing: Altamente selectivo, el spear phishing implica que los atacantes recopilan información detallada para elaborar correos electrónicos personalizados que parecen proceder de fuentes de confianza.
• Whaling: Este tipo de phishing se dirige a empleados de alto nivel o a personas de alto perfil, y a menudo implica una sofisticada manipulación social y recopilación de información.
• Vishing: Combinando el phishing con la VoIP (voz sobre protocolo de Internet), el vishing consiste en llamadas telefónicas fraudulentas destinadas a obtener información sensible.

En resumen, el phishing ha evolucionado desde los primeros programas como AOHell hasta complejas tramas que implican diversos métodos de comunicación. La amenaza sigue siendo importante porque se aprovecha de la psicología humana, por lo que es esencial que las personas y las organizaciones permanezcan vigilantes e informadas sobre estas tácticas en constante evolución.