3.4 millones de correos por día: 4 técnicas de phishing y cómo protegerse de ellas
Una de las herramientas más comunes y efectivas usadas por los ciberdelincuentes sigue y seguirá evolucionando con ataques más sofisticados y difíciles de detectar. Sobre todo, con el uso global de la inteligencia artificial.
Con objetivos muy variados, el phishing explota algo simple pero efectivo: la naturaleza humana. Aquella que tiene la tendencia a confiar en los demás, a actuar por curiosidad o a responder emocionalmente a mensajes urgentes.
Se trata de un negocio criminal extremadamente lucrativo y, si tiene éxito, puede ser devastador para una organización. Desde la sustracción de dinero, cargos fraudulentos, documentos personales y suplantación de identidad en las personas, hasta pérdida de fondos corporativos, bloqueo y filtración de información, y un daño irreparable en la reputación en las empresas, el phishing promete seguir progresando.
“Son cada vez más fáciles de perpetrar con kits de phishing disponibles en la Dark Web. Además, los atacantes cuentan con direcciones de correo masivas fáciles de obtener y de envío prácticamente gratuito. Y esto pasa a menudo, ya que se estiman en más de 3.400 millones los envíos diarios”, explica Walter Montenegro, gerente de ciberseguridad en Cisco Chile.
Un ataque de phishing se basa en un esfuerzo de ingeniería social en el que los piratas informáticos crean una comunicación falsa que parece legítima y simula provenir de una fuente confiable. Los atacantes utilizan correos electrónicos o mensajes de texto aparentemente fidedignos para engañar a usuarios y que realicen una acción como descargar malware, visitar un sitio infectado o divulgar credenciales de inicio de sesión para robar dinero o datos.
“Las técnicas incluyen suplantación de identidad, donde los ciberdelincuentes se hacen pasar por una persona o empresa de confianza para engañar a las víctimas; archivos maliciosos, donde se adjuntan infectados con malware a los correos electrónicos; enlaces maliciosos, correos en los que se incluyen enlaces a sitios web o páginas fraudulentas que pueden descargar malware o robar datos; y smishing, donde se envían mensajes de texto que pueden contener enlaces maliciosos o solicitar información personal”, aclara Montenegro.
Dada su complejidad y evolución, hoy es uno de los delitos cibernéticos más grandes y costosos en Internet que lleva a comprometer el correo electrónico empresarial (BEC), apropiación de cuentas de correo electrónico (ATO) y ransomware. Más recientemente, la inteligencia artificial (IA) lo ha hecho más fácil para que los atacantes lleven a cabo ataques sofisticados y dirigidos corrigiendo errores ortográficos y personalizando los mensajes.
El aprovechamiento de la IA por parte de los ciberdelincuentes representa una amenaza novedosa para la ciberseguridad. Por esta razón, es fundamental estar al tanto de estas técnicas avanzadas para poder tomar medidas adecuadas y protegerse de ellas. Aquí hay algunos consejos para protegerse:
-
Sea escéptico de los correos electrónicos y las páginas web que no conoce.
-
No haga clic en los enlaces de los correos electrónicos ni abra los archivos adjuntos de fuentes desconocidas.
-
Instale un software antivirus y antimalware actualizado.
-
Mantenga actualizado el software de su ordenador.
-
Utilice un servicio de verificación de correo electrónico para identificar los correos electrónicos fraudulentos.
-
Instale una extensión de navegador que bloquee los anuncios engañosos.
-
Sea consciente de las técnicas de phishing y suplantación de identidad.
“Además, hay que asegurarse de habilitar un multifactor de autenticación, soluciones de detección y respuesta de endpoints y proteger el correo electrónico de los usuarios haciendo uso de IA/ML y Global Threat Intelligence. Y es que la única forma de enfrentar el cibercrimen, es comprender las amenazas que existen para la construcción de una cultura más robusta, además de la resiliencia necesaria para un futuro más agresivo en las tácticas”, sentencia Montenegro.