¿Qué es el phishing personalizado?
El phishing personalizado es un tipo de ataque de phishing dirigido que consiste en enviar un correo electrónico u otro mensaje electrónico a una persona, organización o empresa específicas para intentar que revelen información privada. El mensaje está especialmente diseñado para parecer auténtico y provenir de una fuente de confianza, lo que hace que los ataques de phishing sean especialmente peligrosos.
¿Cómo funciona el phishing personalizado?
Un ataque de phishing personalizado comienza cuando un atacante identifica un objetivo específico e investiga detalles personales, como su empleador, amigos, ciudad natal, compras en línea recientes, etc. La información personal recopilada ayuda al atacante a disfrazarse y crear un mensaje de aspecto auténtico que parece provenir de una fuente de confianza, como un empleador, un amigo o una empresa conocida.
¿Por qué es efectivo el phishing personalizado?
El phishing personalizado es un tipo de ataque de phishing especialmente efectivo, ya que las víctimas están dirigidas específicamente y los mensajes que acaban atrapándolas están diseñados para tener una apariencia bastante auténtica. Incluso los mejores protocolos de ciberseguridad no mantendrán a raya los correos electrónicos de contactos conocidos. Puede pensar que detectar un ataque de phishing personalizado sería fácil, pero se sorprendería de lo convincentes que pueden llegar a ser estos mensajes.
El papel de las tácticas de ingeniería social es muy importante en la eficacia del phishing personalizado. Los ataques de phishing personalizado de más éxito incluyen mensajes que parecen tan auténticos que es fácil que la víctima caiga en la trampa. Los elementos de diseño en el mensaje pueden parecer extremadamente auténticos, y la dirección de correo electrónico que usa el atacante puede ser una dirección real: el atacante podría haber cometido un robo de identidad y haber usado la dirección de correo electrónico de otra víctima para lanzar un ataque de phishing personalizado.
Un ejemplo común de phishing personalizado se da cuando un mensaje aparentemente normal parece provenir de la cuenta de correo electrónico de un empleado, o incluso del director ejecutivo, de una empresa conocida. A veces, el mensaje aparentemente inofensivo puede disfrazarse de una notificación de una aplicación conocida como Microsoft Teams o Google. En cada caso, se aborda específicamente a una víctima potencial y se incluye información personal en el mensaje.
A partir de ahí, el ataque de phishing personalizado funciona como un ataque de phishing normal. Se incluye un enlace o archivo adjunto malicioso en el mensaje, y el remitente a menudo usa frases urgentes como «revíselo de inmediato» o «su cuenta se eliminará si no actúa ahora». Esta urgencia lleva a las víctimas a centrarse en la solicitud o notificación en sí misma y no en la ilegitimidad de la apelación.
No está claro cuántas personas o empresas son objeto de ataques de phishing personalizado cada día. Según un informe, un 88 % de las empresas se enfrentaron a ataques de phishing personalizado en 2019, y la mayoría de los encuestados informaron acerca de más de 10 ataques ese año.
Ejemplos de phishing personalizado
El phishing personalizado afecta a las grandes y pequeñas empresas por igual, y algunas personas famosas también han sido objetivo de ataques. Nadie está a salvo de un ataque de phishing personalizado, ni siquiera los empleados de Twitter o Jeff Bezos.
Facebook y Google
Uno de los mayores ataques de phishing personalizado registrados se dirigió a dos de las empresas tecnológicas más grandes del mundo: Facebook y Google. El atacante se hizo pasar por un empleado de Quanta, una empresa de tecnología taiwanesa que ambas empresas usan como proveedor, y emitió facturas falsas a sus departamentos financieros, que finalmente pagaron Facebook y Google.
El atacante robó 100 millones de dólares antes de que se descubriera la estafa. Gracias a la ingente cantidad de recursos de las empresas tecnológicas, pudieron encontrar y procesar al atacante, recuperando casi la mitad de los fondos robados.
Ubiquiti Networks
En 2015, la empresa de redes informáticas Ubiquiti Networks fue estafada con 46,7 millones de dólares a través de un ataque de phishing personalizado. Los atacantes se dirigieron al departamento financiero de la empresa, haciéndose pasar por empleados y realizando solicitudes fraudulentas. Aunque la empresa pudo recuperar parte del dinero robado, gran parte se perdió para siempre.
Twitter
En 2020, a varios usuarios de Twitter famosos, como Jeff Bezos, Elon Musk y Kanye West, les piratearon las cuentas de Twitter como resultado de una estafa de phishing personalizado. Los hackers se hicieron pasar por trabajadores de TI con el fin de engañar a los empleados de Twitter para que les dieran las credenciales de seguridad para una herramienta interna de la empresa, lo que les permitió restablecer las contraseñas y la autenticación de dos factores para más de 45 cuentas.
Los hackers utilizaban estas cuentas comprometidas para twittear mensajes que promovían una estafa de bitcóin, en la que se prometía a los seguidores recibir el doble de la cantidad de bitcóin que enviaron a una cuenta determinada. Como los tweets provenían de cuentas de Twitter verificadas y de nombres famosos, la estafa robó con éxito bitcoines a varias personas.
Epsilon
En 2011, el proveedor de servicios de correo electrónico australiano Epsilon fue víctima de un ataque de phishing personalizado. Los correos electrónicos sospechosos estaban dirigidos a los empleados que gestionaban las operaciones de correo electrónico y llevaron a los atacantes a acceder a cientos de direcciones de correo electrónico de clientes y comprometer los sistemas de seguridad de la empresa. Se produjeron varios ataques más de phishing personalizado, dirigidos a docenas de clientes de Epsilon.
Estafa de colaboración de Google Drive
En 2020, una nueva estafa de phishing personalizado golpeó a Google, dirigida esta vez a usuarios individuales en lugar de a la propia empresa. Esta estafa aprovechó la función de colaboración de Google Drive, en la que Google envía a los usuarios un correo electrónico notificándoles que alguien quiere que colaboren en un proyecto. Incluso la revista Wired fue atacada y recibió una notificación de colaboración de Google vinculada a una cuenta de correo electrónico rusa fraudulenta.
¿Qué diferencia hay entre el phishing y el phishing personalizado?
La diferencia entre un ataque de phishing y de phishing personalizado es que, mientras que un ataque de phishing arroja una red amplia e intenta atraer a muchas víctimas a la vez, el phishing personalizado se dirige a personas o empresas específicas. Ambos tipos de ataques usan mensajes que parecen provenir de fuentes legítimas, convenciendo así a las víctimas de que los mensajes son genuinos y de confianza.
Los correos electrónicos de ataques de phishing incluyen mensajes más amplios y menos específicos; están dirigidos a muchas personas, por lo que los mensajes deben diseñarse de manera más general. Solo un pequeño porcentaje de víctimas necesita responder para que el ataque de phishing tenga éxito.
Los ataques de phishing personalizado aplican el mismo principio, pero se dirigen a una persona o grupo en particular. Los atacantes investigan a las víctimas en busca de información que puedan usar y redactan sus correos electrónicos y mensajes con cuidado. Si bien los ataques de phishing y de phishing personalizado a menudo se lanzan desde direcciones de correo electrónico aparentemente auténticas, la información incluida en los mensajes de phishing personalizado suele ser mucho más personal y se centra en el objetivo específico.
Otros tipos de phishing
Existen otros tipos de ataques de phishing, cada uno con un enfoque ligeramente diferente de la estafa de phishing clásica.
-
El angler phishing utiliza publicaciones en las redes sociales, mensajes directos y notificaciones para atraer a las víctimas.
-
El whaling ocurre cuando alguien se hace pasar por el director ejecutivo de una empresa, lo que aumenta la legitimidad y la urgencia del ataque.
-
El barrel phishing, también conocido como phishing de doble barril, se dirige a individuos concretos en un proceso de ataque de dos etapas. Primero, se envía un mensaje inocente para ganarse la confianza de la víctima. Luego, el verdadero ataque comienza con un mensaje que incluye un enlace o archivo adjunto malicioso.
-
El vishing, o phishing por voz, ocurre por teléfono en lugar de por correo electrónico. El atacante se hace pasar por una autoridad, como el IRS, e insta a la víctima a proporcionar detalles confidenciales como su número del seguro social.
-
El smishing hace referencia a ataques de phishing que ocurren a través de mensajes SMS o de texto.
-
El pharming hace referencia a ataques que redirigen a los usuarios a sitios web maliciosos creados a través de un proceso conocido como secuestro de DNS. Los ataques de pharming funcionan atrayendo a las víctimas a sitios web falsos que parecen legítimos.
-
El evil twin phishing (también conocido como ataque de gemelo malvado) ocurre cuando los hackers configuran redes Wi-Fi falsas que parecen legítimas y alientan a las víctimas a iniciar sesión con sus credenciales reales.
-
El catfishing hace referencia a la creación de una identidad o persona ficticia en las redes sociales para ganarse la confianza de la víctima. Las tácticas del catfishing generalmente se usan para engañar a la víctimas con el fin de obtener beneficios financieros.
Cómo evitar ataques de phishing personalizado
El mejor modo de protegerse frente a los ataques de phishing personalizado es informarse sobre los conceptos básicos de ciberseguridad; por ejemplo, cómo detectar un correo electrónico sospechoso y qué hacer cuando recibe uno.
Los correos electrónicos sospechosos pueden tener errores gramaticales que los hablantes nativos no cometerían, errores tipográficos que sugieren descuido, solicitudes de información confidencial (que las empresas legítimas nunca hacen por correo electrónico), o archivos adjuntos no solicitados. Los enlaces o los archivos adjuntos en los correos electrónicos de phishing personalizado a menudo parecen legítimos porque parecen provenir de una fuente conocida y de confianza.
Algunas señales reveladoras de un correo electrónico de phishing personalizado: (a) urgencia inusual o un tono poco profesional en la línea de asunto; (b) errores tipográficos; (c) un saludo genérico o ningún saludo; (d) pequeños errores gramaticales; (e) falta de claridad sobre los enlaces; (f) espaciado extraño o fuentes que no coinciden.
Para mayor seguridad contra los ataques de phishing personalizado, verifique la dirección de correo electrónico cuidadosamente. Si un nombre está mal escrito o se usa un dominio inusual, podría indicar un correo electrónico fraudulento. El archivo adjunto también puede tener un nombre inusual o sin sentido. Si el mensaje parece ser de alguien que conoce o de una fuente oficial, pero incluye solicitudes extrañas o inusuales, póngase directamente en contacto con la persona para confirmar que el correo electrónico es legítimo.
También debe seguir los protocolos básicos de seguridad de correo electrónico y de Internet, como evitar enlaces sospechosos, crear contraseñas seguras, utilizar navegadores seguros y privados y mantener actualizado su software. Y asegúrese de hacer una copia de seguridad de sus datos para que no los pierda en caso de que su cuenta se vea comprometida.
Además, el uso de un software de seguridad reforzará las capacidades antiphishing de su cliente de correo electrónico preferido. El mejor software antivirus puede ayudarlo a evitar que se convierta en víctima de un ataque de phishing personalizado.
Protéjase frente a ataques de phishing personalizado con AVG Antivirus
AVG AntiVirus Free tiene seis capas de seguridad que protegen sus datos y mantienen alejados a los posibles atacantes. Cuenta con un escudo web integrado que le advierte sobre sitios web sospechosos y un escudo de correo electrónico que bloquea correos electrónicos peligrosos y enlaces sospechosos.
Los ataques maliciosos van más allá del phishing; los hackers utilizan varios tipos de malware, como spyware o ransomware, para corromper su dispositivo y robar sus datos. A medida que proliferan las amenazas en línea, la prevención y la seguridad son más importantes que nunca. AVG AntiVirus Free lo mantiene protegido de forma ininterrumpida contra la variedad de amenazas en línea que existen hoy en día.
AVG AntiVirus Free protege su dispositivo para garantizar que no se convierta en una víctima del phishing personalizado u otros ataques en línea. Convierta su dispositivo en una fortaleza y asegúrese de que sus documentos y datos personales permanezcan seguros. Obtenga la protección líder del sector de AVG, totalmente gratis.