El phishing sigue siendo una de las mayores amenazas cibernéticas en circulación hoy. Se envían miles de millones de correos electrónicos todos los días y juntos reclaman miles de víctimas, ya sean empresas o particulares. Sin embargo, si el ataque de phishing es tan conocido, ¿por qué la mayoría de las personas todavía se enamoran del truco? CSO Online informa que el 80% de todos los incidentes de seguridad se atribuyen al phishing[1]. El error humano continúa desempeñando el papel principal en este tipo de violación, por lo que aprender a reconocer el peligro es esencial para reducir el riesgo. ¿Qué es el phishing? El phishing es un ataque cibernético de impersonación de identidad que permite a los delincuentes capturar información confidencial de sus víctimas. La mayoría de las campañas exitosas engañan a los usuarios para que abran enlaces o archivos adjuntos maliciosos al pretender provenir de una fuente confiable. Los atacantes generalmente van después de las credenciales de inicio de sesión y los detalles de la tarjeta de pago. Aunque la mayoría de los usuarios han oído hablar de la estafa, defenderlo es difícil porque los nuevos tipos de phishing parecen constantemente. A medida que la tecnología evoluciona, también lo hacen los métodos y técnicas diseñados para engañar a los usuarios que, la mayoría de las veces, quedan atrapados simplemente por falta de conciencia. Los seis tipos más comunes de phishing y cómo detectarlos reconocen los diferentes tipos de estafas de phishing pueden reducir drásticamente el riesgo de convertirse en una víctima. Ahora hay una gran variedad de ejemplos en circulación. ¿Quieres saber los casos más frecuentes? Aquí están. 1. Correo electrónico Spliting Phishing Topa esta lista como una de las formas de ataque más antiguas y generalizadas. Los delincuentes se disfrazan de entidades de confianza y envían correos electrónicos a granel a tantas direcciones como puedan cosechar. Los piratas informáticos especializados copian la marca exacta de una organización legítima e incluyen un enlace malicioso, documento o archivo de imagen con la intención de persuadir al destinatario para confirmar la información personal o, en algunas campañas, activar una descarga automática. Estos mensajes se entregan con alta urgencia, exigiendo respuestas inmediatas y datos confidenciales. 2. Spear Phishing Spear Phishing es una forma de phishing que se dirige a individuos u organizaciones específicas. Los atacantes usan información legítima sobre su objetivo para convencer al destinatario de tener una conexión real. El objetivo es el mismo que en el clásico phishing de correo electrónico: a través de mensajes falsos, atrae a la víctima a hacer clic en una URL fraudulenta y entregar datos personales. Tanto el phishing de correo electrónico a granel como el phishing de spear se pueden mitigar proporcionando capacitación en seguridad a los empleados, desalentando a los usuarios de publicar detalles confidenciales en las redes sociales y alentar a todos a analizar los saludos, los errores gramaticales y de ortografía, y las URL sospechosas. 3. Ataques de ballenas (ballenas) ballenería es la práctica de perseguir a los altos ejecutivos. Este tipo de ciberataque se basa en la inteligencia de código abierto (OSINT), realizando una investigación exhaustiva sobre las prácticas comerciales de una empresa y la presencia en las redes sociales. Los atacantes digitales «Harpoon» un ejecutivo clave. ¿Cómo funciona en la práctica? Los hackers realizan una llamada telefónica cuidadosamente elaborada a través de una agencia de confianza para ganar la confianza de la víctima y luego enviar correos electrónicos creíbles que parecen provenir de socios confiables de la organización. Una vez que la cuenta del ejecutivo se ha comprometido, los atacantes pueden exfiltrar información confidencial, ordenar transferencias bancarias y filtrar los datos fiscales de los empleados en la web oscura. La vulnerabilidad corporativa puede amplificarse severamente. 4. Vishing Beyond Correo electrónico, los ciberdelincuentes usan otros canales para ejecutar sus ataques. Vishing es una forma de phishing basada en el teléfono. El estafador explota los servidores VOIP (Voice Over Internet Protocol), una tecnología sofisticada que permite a los delincuentes falsificar las identificaciones de llamadas para que la llamada parezca originarse en una fuente legítima. Durante la conversación, se le dice a la víctima que se requiere una acción urgente y que la investigación no puede proceder sin su información personal. Estos datos suelen ser números de tarjeta de pago y otras credenciales que se pueden usar para robar fondos o identidades de cosecha. 5. Smishing SMS Phishing, o «Smishing», es similar a Vishing, pero utiliza mensajes de texto que contienen enlaces o archivos adjuntos. El «gancho» es disfrazar estos mensajes como ofertas especiales, descuentos o premios. Debido a que los números de teléfono personal tienden a ser menos accesibles públicamente, las personas están más inclinadas a confiar en los mensajes de texto. Sin embargo, con los teléfonos inteligentes de hoy, es igual de fácil para los hackers robar datos personales a través de las URL integradas en SMS. 6. Las redes sociales de phishing de redes sociales no son la excepción. El phishing en las redes sociales consiste en hacerse pasar por marcas conocidas e incorporar a las víctimas a compartir información personal y confidencial sobre sus perfiles, rastrear sus preferencias y opciones, y finalmente invitarlas a hacer clic en enlaces maliciosos. Con tantos datos personales expuestos, los atacantes pueden combinar fácilmente los ataques de ingeniería social para obtener acceso a información confidencial. Consejos para identificar y prevenir los ataques de phishing a medida que los canales y los métodos para el phishing se multiplican casi a diario, las empresas deben adoptar medidas que les permitan identificar y prevenir incidentes. La asociación con expertos en ciberseguridad profesionales experimentados será una piedra angular en su camino hacia una organización más segura. Mientras tanto, el siguiente consejo práctico puede ayudar: 1. desconfianza por defecto La primera y más fundamental regla es sospechar. La desconfianza y el estado de alerta constante son dos puntos clave para la prevención y la detección. Cada uno de nosotros sabe con quién nos comprometemos regularmente para trabajar mejor que nadie, así que si tiene dudas, verifique lo que está sucediendo. 2. Verifique antes de hacer clic en el primer signo de sospecha, y antes de responder o hacer clic en cualquier enlace, el enfoque correcto es confirmar que el mensaje es legítimo. Intente llegar al supuesto remitente a través de otro canal y verifique que enviaran la comunicación. Si eso no es posible, comuníquese con su departamento de TI o un supervisor que pueda ayudar a llevar a cabo los cheques necesarios. 3. Endurecer las organizaciones de postura de seguridad de su empresa deben implementar tecnología avanzada de seguridad cibernética para bloquear los intentos de phishing. La puerta de entrada por correo electrónico con controles anti-phishing y anti-spam puede marcar la diferencia. También es importante emplear fuertes métodos de autenticación y verificación, software antivirus y firewalls, para mantener cada dispositivo actualizado y utilizar soluciones avanzadas con inteligencia artificial integrada. 4. Capacitación y educación como se mencionó, la mayoría de los ataques cibernéticos tienen éxito debido al error humano. La única forma de cerrar esa brecha es ofrecer una capacitación exhaustiva de seguridad cibernética a los empleados. Las empresas también deben regular el uso de dispositivos personales, proporcionar conexiones seguras de trabajo remoto y comunicar procedimientos claros para responder a un presunto ataque de phishing. No dejes que te «phish» en enero de 2025, casi la mitad de todos los correos electrónicos de phishing (48%) contenían archivos adjuntos maliciosos[2]. El número es casi inimaginable. Saber cómo detectar estas amenazas es el primer paso para evitar el fraude. Entrenar a su fuerza laboral es la segunda. Tener un socio de seguridad cibernética confiable que le brinde tranquilidad de que sus datos e información están protegidos, ya sea el tercer paso o simplemente una necesidad siempre presente, ciertamente está en el podio de las prioridades. Referencias 1. Keepnet. Top 58 Estadísticas y tendencias de phishing que debe conocer en 2025. (2024, 14 de octubre) .cso en línea. 2. Keepnet. Top 58 Estadísticas y tendencias de phishing que debe conocer en 2025. (2024, 14 de octubre). Guardia. El contenido proporcionado en este documento es solo para fines informativos generales y no debe interpretarse como asesoramiento legal, regulatorio, de cumplimiento o ciberseguridad. Las organizaciones deben consultar a sus propios profesionales legales, de cumplimiento o ciberseguridad sobre obligaciones específicas y estrategias de gestión de riesgos. Si bien las soluciones de detección y respuesta de amenazas administradas de LevelBlue están diseñadas para respaldar la detección y respuesta de amenazas en el nivel de punto final, no son un sustituto para el monitoreo integral de la red, la gestión de vulnerabilidades o un programa completo de seguridad cibernética.