El «phishing» o suplantación de identidad: guía básica para la ciberseguridad de las empresas

¿En qué consiste el «phishing»?

El «phishing» es un tipo de ciberataque en el que los ciberdelincuentes se hacen pasar por entidades de confianza, tales como empresas conocidas o personas de su propia empresa, para engañar a sus víctimas y conseguir que revelen información confidencial, como contraseñas, información financiera o credenciales de acceso. Por lo general, el «phishing» se realiza por correo electrónico, pero también puede ejecutarse mediante mensajes de texto, redes sociales u otros canales de comunicación.

Los correos electrónicos de «phishing» siguen siendo el instrumento más utilizado para obtener información confidencial de empresas, cometer fraudes con tarjetas de crédito y robar identidades. Un clic inconsciente por parte de un empleado en un enlace malicioso incluido en un correo electrónico falso podría colapsar todo el sistema de una empresa, dejándola a ella y a sus clientes en una situación vulnerable. El riesgo de dañar la imagen de cara al público es elevado y, con políticas como el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, las medidas legales y las multas también están presentes.

Lamentablemente, estas estafas son cada vez más sofisticadas, suponen pérdidas económicas más elevadas y son más difíciles de detectar. Las empresas se ven obligadas a asumir la reparación de las infracciones y la reconstrucción de su imagen. Los correos electrónicos de «phishing» y sus equivalentes en las redes sociales, sitios web y mensajes electrónicos son, sin duda, la mayor amenaza para la seguridad de las marcas y las empresas en la actualidad.

Tipos de «phishing»

El «phishing» adopta muchas formas, cada una dirigida a personas y empresas de manera diferente. A continuación, pasamos a detallar los tipos más comunes.

• El «phishing» por correo electrónico: la forma más extendida de «phishing», donde se envían correos fraudulentos a un gran número de destinatarios intentando que hagan clic en enlaces o archivos adjuntos maliciosos.
• El «spear phishing» o «phishing» selectivo: a diferencia del «phishing» masivo por correo, el «spear phishing» se dirige a personas o empresas concretas, utilizando información personalizada para aumentar la probabilidad de conseguir su objetivo.
• El «whaling»: este tipo de «phishing» se concentra en altos ejecutivos o personas que ocupan puestos de poder dentro de una empresa, con el objetivo de robar información confidencial o acceder a sistemas fundamentales.
• Suplantación del correo electrónico corporativo (BEC, por sus siglas en inglés): en lugar de dirigirse a los ejecutivos, el BEC suele suplantar la identidad de un ejecutivo o socio de la empresa para engañar a los empleados y conseguir que revelen información confidencial o ejecuten operaciones como transferencias de fondos.
• El «smishing» o suplantación de identidad por SMS: el «phishing» a través de SMS o mensajes de texto, donde los ciberdelincuentes envían mensajes con enlaces maliciosos o solicitan información confidencial.
• «Vishing» o suplantación de identidad en llamadas telefónicas: «phishing» realizado a través de llamadas telefónicas, donde los ciberdelincuentes se hacen pasar por entidades de confianza para obtener información personal o financiera.

El «spear phishing», el «whaling» y el BEC son especialmente peligrosos para las empresas, porque se basan en engaños ya que se basan en engaños diseñados a medida para determinados cargos y responsabilidades dentro de una empresa. Los ataques de «spear phishing» utilizan datos personales para reforzar su credibilidad, dificultando que los empleados reconozcan los correos fraudulentos. El «whaling» va un poco más allá y se dirige a ejecutivos y responsables de la toma de decisiones, a menudo suplantando la identidad de compañeros de trabajo o socios comerciales para conseguir que compartan datos confidenciales o autoricen operaciones financieras. El BEC es otra técnica avanzada en la que los estafadores secuestran o falsifican cuentas de correo electrónico corporativas para engañar a los empleados y que estos transfieran fondos, cambien los datos de pago o revelen información confidencial de la empresa. Estas amenazas ponen de manifiesto la necesidad de contar con una seguridad sólida del correo electrónico, cursos de formación para el personal y medidas de autenticación para la prevención de fallos de seguridad que resulten en elevados costes.

El «malware» y el «ransomware» en los ataques de «phishing»

Los ataques de «phishing» no se limitan al robo de información personal; son también un método frecuente para distribuir «malware» y «ransomware». Una vez que la víctima hace clic en un enlace malicioso o descarga un archivo fraudulento, el «malware» se instala en su sistema, lo que permite a los ciberdelincuentes acceder a información confidencial. O bien propicia a la instalación de «ransomware», que cifra los archivos de la víctima, para que, a continuación, los ciberdelincuentes exijan un pago elevado para su liberación.

La inteligencia artificial (IA) y el «phishing»

La IA está transformando el panorama del «phishing», haciendo que las amenazas cibernéticas sean más sofisticadas y difíciles de detectar. Las campañas de «phishing» basadas en inteligencia artificial pueden:

Automatizar la personalización: la IA puede recopilar información pública sobre posibles objetivos y crear mensajes de «phishing» más convincentes y personalizados, adaptados a cada persona o empresa.

Imitar fuentes de confianza: mediante el tratamiento del lenguaje natural (NLP, por sus siglas en inglés), la IA es capaz de generar mensajes de «phishing» que imitan fielmente el tono, el lenguaje y el estilo de los comunicados auténticos de las empresas, lo que dificulta aún más su detección. Por ejemplo, la IA reduce los errores gramaticales y los giros poco naturales que solían ser indicios evidentes de mensajes sospechosos.

Lanzar ataques a gran escala: la IA permite a los ciberdelincuentes ejecutar campañas de «phishing» masivas, automatizando la creación y distribución de mensajes fraudulentos y aumentando así la probabilidad de conseguir su objetivo.

En resumen, la IA aumenta tanto la cantidad como la calidad de los intentos de «phishing».

Cómo afecta el «phishing» a empresas y corporaciones

Los incidentes de «phishing» suponen un importante riesgo para las grandes empresas, ya que acarrean problemas económicos, operativos y de cumplimiento normativo. Los ciberdelincuentes utilizan el «phishing» como punto de entrada para lanzar ciberataques que tengan un mayor alcance, aprovechándose de las redes corporativas, las cadenas de suministro y la comunicación entre ejecutivos. Los principales riesgos incluyen:

• Filtración de datos e incumplimiento de la normativa: el «phishing» es el punto de entrada habitual en la filtración de datos, que permite acceder a datos confidenciales de clientes, empleados o propiedad intelectual (PI). Las empresas sujetas a normativas como el RGPD, la Ley de Privacidad del Consumidor de California (CCPA) y otras normativas específicas del sector podrían enfrentarse a cuantiosas multas y obligaciones legales.
• Fraude económico de elevada cuantía: Las sofisticadas técnicas de phishing, tales como el BEC, han supuesto pérdidas millonarias para las empresas debido a transferencias bancarias fraudulentas, estafas con facturas y desviación de nóminas.
• Puntos vulnerables en las cadenas de suministro: Los ciberdelincuentes suelen utilizar el «phishing» para atacar a proveedores, distribuidores o empresas subcontratadas, creando brechas de seguridad que afectan a varias empresas de la cadena de suministro.
• Daños a la marca y a la imagen: Una infiltración que consiga su objetivo perjudica gravemente la reputación de la empresa y provoca la pérdida de confianza de los clientes, socios e inversores.
• Interrupción de las operaciones: El acceso a los sistemas internos mediante «phishing» permite a los atacantes instalar programas de «ransomware», robar credenciales o manipular procesos internos, lo que provoca tiempos de inactividad e interrupciones en la actividad empresarial.

Cómo prevenir los ataques de «phishing»

Las empresas deben adoptar las siguientes medidas para prevenir intentos de «phishing».

Cursos de formación en ciberseguridad para empleados

La formación de los empleados en materia de «phishing» y en cómo detectar correos electrónicos, vínculos y mensajes sospechosos es de vital importancia. Los cursos de formación impartidos con regularidad y las simulaciones de «phishing» permiten reforzar la concienciación. La formación de los empleados para evitar que sean víctimas del «phishing» es solo el primer paso; pero proteger, detectar y reforzar la seguridad de los activos digitales exige una estrategia eficaz y una ejecución impecable.

Actualizaciones periódicas de software

Asegúrese de que sus sistemas, incluidos los clientes de correo electrónico y el software antivirus, se actualicen de forma periódica para protegerse contra los puntos vulnerables que los piratas informáticos podrían aprovechar.

Autentificación multifactorial

La autenticación multifactorial (MFA, por sus siglas en inglés) en todas las cuentas de la empresa constituye una línea de defensa adicional. Incluso si una contraseña se ve comprometida, la MFA dificulta que los delincuentes obtengan acceso a la información confidencial.

Filtrado y autentificación de correo electrónico

Instale soluciones avanzadas de filtrado de correo electrónico para detectar y bloquear los correos electrónicos de «phishing». Implante medidas «antispoofing», es decir, contra la suplantación de identidad en el correo electrónico, como Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) y Domain-based Message Authentication, Reporting, and Conformance (DMARC), para evitar que los ciberdelincuentes suplanten su dominio.

SPF, DKIM y DMARC

SPF es un mecanismo de seguridad del correo electrónico que permite al propietario de un dominio especificar qué servidores de correo están autorizados a enviar mensajes en su nombre. Al incluir las direcciones IP autorizadas en los registros del sistema de nombres de dominio (DNS), el SPF permite a los servidores receptores verificar que el servidor de correo que envía el mensaje está autorizado para hacerlo en nombre del dominio. Si un correo se envía desde un servidor no autorizado, se considera potencialmente malicioso.

• Descubramos cómo funciona. Al recibir un correo electrónico, el servidor del destinatario comprueba si el dominio de la dirección del remitente figura en el registro SPF. Si el mensaje se envía desde una dirección IP que no aparece en dicho registro, el servidor puede rechazarlo o marcarlo como «spam».

DKIM es otro método de autenticación de correo electrónico que utiliza una firma digital para verificar que un mensaje proviene del dominio que dice serlo. Esta firma se añade al encabezado del correo electrónico y el servidor de correo del destinatario la verifica utilizando la clave pública que figura en los registros DNS del remitente. DKIM garantiza que el correo electrónico no ha sido alterado durante su envío y confirma que procede del remitente indicado.

• Descubramos cómo funciona. En el momento en que se envía un correo electrónico, DKIM añade una firma criptográfica en el encabezado del mensaje. El servidor del destinatario utiliza la clave pública de los registros DNS del remitente para descifrar la firma y verificar la autenticidad del mensaje. Si la firma coincide, el correo electrónico se considera que procede de una fuente fidedigna.

DMARC es un protocolo que se desarrolla a partir de SPF y DKIM añadiendo una serie de políticas e informes. DMARC permite al propietario de un dominio determinar cómo los destinatarios de correo electrónico deberían gestionar los mensajes que no superan la verificación SPF o DKIM. Asimismo, dispone de un mecanismo de notificación que permite a los propietarios de dominios saber si su dominio está siendo utilizado con fines fraudulentos. Las políticas DMARC se pueden configurar para supervisar, poner en cuarentena o rechazar los correos electrónicos no autorizados.

• Descubramos cómo funciona. En el caso de que un correo electrónico no supere la verificación SPF o DKIM, el servidor del destinatario revisa la política DMARC del dominio para decidir qué hacer: si entregar el mensaje, enviarlo a la carpeta de spam o rechazarlo por completo. Además, DMARC facilita a los propietarios de dominios informes sobre los correos electrónicos enviados desde su dominio, lo que permite detectar y mitigar los intentos de «phishing».

Proteja su empresa frente a los ataques de «phishing»

Nuestra solución «antiphishing» ofrece a las empresas una defensa personalizada contra las amenazas de «phishing», proporcionando una visión integral del conjunto de riesgos de «phishing» a los que se enfrenta su empresa. Nuestro equipo con experiencia en el centro de operaciones de seguridad (SOC) revisa y confirma las amenazas, identificando patrones y anomalías mientras recopila datos para un análisis forense. Una vez resuelto un ataque de «phishing», la supervisión continua contribuye a garantizar que los sitios fraudulentos no se reactiven.

Nuestros servicios de eliminación de marcas y de «phishing» garantizan una rápida respuesta para la defensa de su marca ante las amenazas de «phishing» de que sea objeto. Llevamos a cabo la eliminación de sitios web con la colaboración de una red global de asesores legales, autoridades competentes y proveedores de servicios de Internet (ISP). Nuestro equipo interno encargado de la protección y defensa de los derechos de PI interviene para recuperar los dominios afectados, mientras que nuestros acuerdos de colaboración con redes sociales, motores de búsqueda y plataformas de comercio electrónico contribuyen a eliminar contenidos fraudulentos. Los análisis forenses realizados a posteriori y la recuperación de datos respaldan aún más si cabe las investigaciones, y la supervisión continua garantiza que los sitios de «phishing» no vuelvan a aparecer.

Domaincasting^SM, basada en nuestra plataforma DomainSec^SM, es la mayor red de bloqueo digital de Internet, que ofrece información en tiempo real para detectar las amenazas. Esta red recopila datos de «phishing» y amenazas cibernéticas procedentes de los ISP, proveedores de seguridad, empresas de telecomunicaciones, registradores y autoridades competentes de todo el mundo. Mediante el uso de la tecnología patentada de búsqueda avanzada con aprendizaje automático (MLDS), Domaincasting detecta nombres de dominio sospechosos más allá de las técnicas habituales de «typosquatting», lo que permite a las empresas mitigar los riesgos de forma rápida y eficaz.