Autor: JUAN CARLOS PARIS, Cybersecurity Expert. – PANAMÁ

El phishing es una de las ciberamenazas más antiguas y prevalentes que existen en la actualidad. Aunque comúnmente se asocia con el correo electrónico, esta técnica de ingeniería social ha evolucionado significativamente, abarcando una amplia gama de métodos y plataformas. En este artículo, exploraremos las diferentes modalidades de phishing, su origen, las tendencias actuales en 2024 y los riesgos asociados.

El origen de la palabra «Phishing»

La palabra «phishing» proviene de la analogía con la pesca («fishing» en inglés), donde los atacantes lanzan «anzuelos» esperando que los usuarios desprevenidos «muerdan» el cebo. Este término comenzó a usarse en la década de 1990 cuando los ciberdelincuentes utilizaban mensajes fraudulentos para obtener información sensible de los usuarios de servicios como AOL (America Online).

«Más allá del correo electrónico, el phishing ha evolucionado para infiltrarse en cada esquina de nuestra vida digital, desde mensajes de texto hasta llamadas telefónicas y redes sociales, haciendo imperativo adoptar un enfoque multidimensional para nuestra seguridad cibernética.»

Clasificaciones del Phishing

El phishing utilizado por ciberdelincuentes para engañar a los usuarios y obtener acceso a información confidencial, puede ser clasificado de diversas maneras para entender mejor sus métodos y objetivos. Una de las formas de categorizar los ataques de phishing es Por Técnica Utilizada, que incluye métodos como el spoofing de dominio y los ataques man-in-the-middle, entre otros. Cada técnica se selecciona basada en su eficacia para engañar a diferentes tipos de usuarios en variadas situaciones.

Otra categoría es Por Objetivo del Ataque, que define lo que los atacantes esperan obtener, desde robo de credenciales hasta instalación de malware. También se puede clasificar el phishing Por Contexto o Entorno, lo que refleja los diferentes escenarios en los que se puede presentar, como ataques corporativos o en redes sociales. Por último, el phishing también se clasifica Por Canal de Distribución, que contempla los medios a través de los cuales se llevan a cabo los ataques, incluyendo publicidad online y foros en internet, etc.

Comprender estas categorías ayuda a las organizaciones y usuarios a identificar y prevenir eficazmente los ataques de phishing, adaptando sus estrategias de seguridad según el tipo específico de amenaza que enfrentan.

Aquí te presento una clasificación mas simple basada en dos criterios: modalidad (el medio utilizado para ejecutarlo) y la víctima destino.

Por modalidad de ejecución:

  1. Phishing por correo electrónico El método más conocido y utilizado. Los atacantes envían cientos o miles de correos electrónicos fraudulentos que parecen provenir de fuentes legítimas con el objetivo de obtener credenciales, información personal o instalar malware por parte de sus víctimas con la esperanza que al menos uno o varios muerdan el anzuelo.
  2. Phishing por mensajes de texto (Smishing) Utiliza mensajes de texto (SMS) y mensajes directos (DM) en cualquier sistema, juego o producto en línea para engañar a las víctimas. Suele incluir enlaces maliciosos o pedir información confidencial. Aumento significativo con la proliferación de teléfonos móviles.
  3. Phishing por voz (Vishing) Los atacantes utilizan llamadas telefónicas para obtener información personal. Pueden hacerse pasar por representantes de bancos, empresas u organizaciones gubernamentales. Frecuentemente utilizado para obtener datos bancarios.
  4. Phishing en redes sociales Los ciberdelincuentes crean perfiles falsos o hackean cuentas legítimas. Envían mensajes directos o publican enlaces maliciosos. Aprovechan la confianza y la interacción social.
  5. Phishing en sitios web (Pharming) Redirecciona a los usuarios desde sitios legítimos a sitios fraudulentos sin que lo noten. Utiliza vulnerabilidades en DNS o enrutadores.
  6. Phishing en aplicaciones móviles Las aplicaciones móviles fraudulentas imitan aplicaciones legítimas. Una vez instaladas, roban información personal o financiera.
  7. QRishing Utiliza códigos QR maliciosos que, al ser escaneados, dirigen a los usuarios a sitios web fraudulentos. Común en lugares públicos donde se colocan códigos QR falsos.
  8. Search Engine Phishing Los atacantes crean sitios web fraudulentos que se posicionan en los motores de búsqueda. Las víctimas encuentran estos sitios a través de búsquedas legítimas y acceden a páginas que parecen confiables pero están diseñadas para robar información.

Por tipo de víctima destino del Phishing:

La clasificación de phishing según la víctima destino se refiere al tipo de objetivos a los que se dirigen los ataques. A continuación, se describen las principales categorías:

  1. Phishing clásico Campañas de phishing masivas dirigidas a cientos de miles de posibles víctimas. Utilizan mensajes genéricos y no personalizados. Objetivo: obtener la mayor cantidad de víctimas posible.
  2. Spear Phishing Ataques altamente personalizados dirigidos a individuos específicos o a organizaciones. Utilizan información obtenida de redes sociales y otras fuentes públicas para hacer el ataque más convincente. Objetivo: obtener información sensible o comprometer a la organización específica.
  3. Wailing (estafa al C-Level) Ataques dirigidos a altos directivos y ejecutivos de organizaciones (C-Level). Los atacantes investigan profundamente a sus objetivos para hacer el ataque extremadamente creíble. Objetivo: obtener acceso a información crítica de la empresa o realizar transferencias financieras fraudulentas.

«La combinación de diferentes tipos de phishing en un solo ataque es una estrategia cada vez más común entre los ciberdelincuentes, lo que refleja una evolución hacia enfoques más sofisticados y multifacéticos en sus intentos de engaño. Al combinar diversas modalidades, los adversarios no solo amplían su alcance, sino que también aumentan la efectividad de sus campañas, maximizando así las posibilidades de éxito.»

Tendencias en 2024

Mirando hacia el futuro, podemos anticipar que las técnicas de phishing continuarán evolucionando en complejidad y alcance. Para el año 2025, se esperan varias tendencias clave que podrían transformar aún más el panorama del phishing:

1) Phishing Hiperpersonalizado: A medida que los ciberdelincuentes ganen acceso a más datos personales a través de brechas de seguridad y compras de datos en el mercado negro, esperamos ver ataques de phishing cada vez más personalizados. Utilizarán información detallada sobre hábitos, intereses y comportamientos individuales para crear mensajes increíblemente convincentes.

2) Integración de Inteligencia Artificial y Machine Learning: Los adversarios utilizarán IA y machine learning para automatizar la creación de campañas de phishing y optimizar sus técnicas basadas en la efectividad de ataques anteriores. Esto podría incluir la generación automática de contenidos que imitan de manera convincente el estilo de comunicación de entidades confiables.

«Con la integración de inteligencia artificial, los adversarios no solo personalizan ataques, sino que simulan comportamientos humanos con una precisión desconcertante, desdibujando las líneas entre lo auténtico y lo fraudulento.»

3) Phishing Multicanal: Aunque el correo electrónico sigue siendo una vía común, el phishing se expandirá a través de más plataformas, incluyendo mensajería instantánea, aplicaciones de redes sociales, y plataformas de juegos en línea. Los ciberdelincuentes buscarán explotar cualquier canal de comunicación digital que los usuarios utilicen frecuentemente.

4) Phishing de Dispositivos IoT: Con el crecimiento del Internet de las Cosas (IoT), los ataques de phishing podrían dirigirse a dispositivos menos convencionales como electrodomésticos inteligentes, sistemas de automóviles conectados y más, buscando explotar vulnerabilidades para acceder a redes domésticas o empresariales.

5) Deepfakes y Phishing de Voz: La tecnología de deepfake, que permite crear audios y videos falsos convincentes, podría ser utilizada para imitar a personas conocidas o figuras de autoridad en intentos de phishing, tanto en llamadas telefónicas (vishing) como en video mensajes.

6) Ataques de Phishing como Servicio: El modelo de «Phishing as a Service» (PaaS) ganará popularidad, ofreciendo a cualquier persona, incluso a aquellos sin habilidades técnicas avanzadas, la capacidad de lanzar ataques de phishing a cambio de una tarifa. Esto aumentará el volumen y la diversidad de los ataques.

7) Explotación de Eventos Actuales y de Tendencia: Los ciberdelincuentes seguirán explotando eventos de actualidad, como crisis sanitarias, cambios políticos, y desastres naturales para diseñar campañas de phishing oportunas y aprovechar el miedo o la urgencia de las personas.

Reflexión Final

El phishing ha evolucionado más allá del correo electrónico, convirtiéndose en una amenaza omnipresente en nuestro mundo digital. Conocer las diferentes modalidades, estar al tanto de las tendencias actuales y comprender los riesgos asociados es crucial para protegerse contra este tipo de ataques. La educación y la concienciación son nuestras mejores defensas en la lucha contra el phishing.

No debemos pensar que el phishing se limita únicamente al correo electrónico. Incluso una carta enviada por correo físico puede ser un intento de phishing. Los adversarios, como me gusta llamar a los atacantes, seguirán evolucionando en este tema, y cada vez será más complejo distinguir la verdad de la mentira. Es fundamental estar siempre alerta y educado sobre las nuevas tácticas y técnicas utilizadas por estos adversarios para proteger nuestra información y nuestros activos digitales.

Enlace al artículo original

JUAN CARLOS PARIS – Cybersecurity Expert 🛡 | Cloud ☁️ | AI | TEDx | Data Protection Officer 🔐 | Social Engineer | Technology Specialist | National and International Speaker I Cybersecurity within everyone’s reach..