layout: post title: “Phishing” date: 2025-08-18 categories: [blog] —

Title

Phishing

¿Qué es el phishing?

Para hablar de phishing, primeramente debemos hablar de ingeniería social. La ingeniería social es el arte de engañar o manipular a las personas. Dentro de la ingeniería social, tenemos técnicas como el phishing. El phishing es una técnica que involucra mucho de psicología, y es que el factor humano es, mayoritariamente, el más vulnerable. Entendamos que podríamos agrupar a las víctimas en tres grupos: el primero podría ser el grupo gubernamental, el segundo el grupo empresarial y el tercero los individuos comunes en una sociedad, como yo, tú o tu vecino. No es novedad que, desde hace mucho tiempo, vivimos en una época donde la información es catalogada como el nuevo oro, como lo fue en una era clásica. Todas las empresas están utilizando herramientas con el logo “IA”. Bueno, esa IA es un modelo creado y entrenado con mucha información (datasets), lo que se etiqueta técnicamente como Big Data (Este término hace referencia a volúmenes extremadamente grandes y complejos de datos que no pueden ser manejados fácilmente), recopilada de distintas fuentes. Hoy en día, la información es poder y uno de los activos más importantes, y está en todos lados, desde los likes que damos en redes sociales, los cuales son analizados para generar estrategias de marketing, perfilarnos o hasta empresas que analizan su propia información para mejorar y hacer más eficientes procesos internos. Las empresas y los gobiernos tienen una mayor ventaja desde un punto de vista de recursos tecnológicos, ya que pueden emplear herramientas para cuidar sus activos e información. No así las personas, que ya partimos con la desventaja de no estar necesariamente familiarizados con estos términos, o simplemente se nos hacen ajenos porque tal vez aún no nos ha pasado nada o no tenemos los conocimientos (que podría ser algo que se podría tomar en consideración como una asignatura, como lo son las matemáticas o el lenguaje en las escuelas, teniendo en cuenta los tiempos en los que estamos viviendo). Y como no necesariamente tenemos esa concientización, quedamos expuestos a las técnicas que utilizan los ciber-delincuentes, que son bastante sofisticadas. Pero también hay que admitir que, si bien los gobiernos y las empresas cuentan con la ventaja de recursos y tecnología, también tienden a ser el principal blanco de los ataques, ya que sus activos de información son más grandes e importantes que los que puede manejar una persona común. Como consecuencia, tienden a tener mayor valor. ¿Y por qué elegiría usar técnicas de phishing contra una empresa cuando está llena de herramientas de ciberseguridad que pueden ser empleadas para hacer intrusiones en sistemas? Bueno, la razón es la que mencionamos al comienzo de este texto: al existir tanta protección desde un punto de vista tecnológico, y cuando estas son bien implementadas, logran una robustez importante, logrando dificultar o incluso impedir una intrusión con esas herramientas. En ese momento, los atacantes buscan entrar por el eslabón más débil: las personas. Muchas veces es más fácil lograr que una persona haga clic en algún enlace dentro de un email, un SMS o hacer que utilice una USB tirada en la calle, que traspasar reglas de firewall, IPS, honeypots, etc. Existen formas más eficientes para los ciber-delincuentes que un ataque de phishing mediante correo electrónico. Por ejemplo, gadgets como cables USB para teléfonos móviles que permiten robar toda tu información, memorias USB que instalan malware y dan acceso completo a tu sistema. Sin embargo, en esta ocasión, me enfocaré simplemente en los ataques mediante correo electrónico. Debemos entender que hay muchos aspectos a considerar o motivaciones detrás de estos ataques. Como personas comunes, nuestros datos, como el correo electrónico o el número telefónico que dimos tan amablemente a esa empresa que nos ofreció la suscripción, un producto, servicio o un curso al cual nos apuntamos, pueden ser víctimas de un ataque informático, y nuestra información podría haber sido robada. Ahora esa empresa está preparando una campaña automatizada con una temática relacionada con algo que está aconteciendo actualmente en el lugar geográfico donde se robaron los datos. Por ejemplo, si se hizo público un beneficio gubernamental para todos los ciudadanos, entonces, basados en esa información, empieza la pesca. La idea es abarcar el mayor grupo de personas posible, y el resto es probabilidad: tal vez, de 100 correos enviados, 10 ataques sean efectivos y afecten a personas con el robo de su información u otros activos. Existen ramas específicas que abarcan estos tipos de ataques, conocidas como ingeniería social, que también son utilizadas junto con OSINT (que se refiere al uso de fuentes públicas para recaudar información).

Técnicas utilizadas para ejecutar este tipo de engaño:

Email (phishing)
SMS (smishing)
Llamadas (vishing)
Redes sociales
PhaaS (phishing as a service)
Códigos QR (quishing)

Así como la IA se usa para generar productividad, también existen quienes la utilizan con otras intenciones, como generar deepfakes, generación automática de contenido, simulación de voz o personificación con fines criminales. Spear phishing es un término conocido que se refiere a ataques dirigidos hacia una persona, empresa o nación. El uso de la IA ha intensificado la sofisticación de cómo funcionan estas campañas, hasta el punto en que se dificulta poder reconocerlas fácilmente, ya que utilizan información y reaccionan en tiempo real en base al comportamiento de la víctima y su información.

Ataques avanzados derivados del uso de IA:

Fraude del CEO: De una manera muy simple, mediante el uso de tecnología, permite la personificación de una persona. Esto se utiliza para suplantar a alguien con un cargo importante, como un CEO de una empresa. A través de una videollamada, te encuentras cara a cara con quien parece ser uno de los cargos más relevantes de tu compañía. Lo ves claramente en la pantalla, su voz es la misma, y te pide llevar a cabo una acción que generalmente se traduce en la pérdida de información o dinero. No fuiste capaz de distinguir el ataque hasta que las consecuencias salen a la luz. Suena a película, pero es justamente de lo que se aprovechan estas técnicas: nuestro exceso de confianza y el hecho de que, por lo general, no tomamos medidas y precauciones hasta que somos víctimas de algún ataque. En ciberseguridad se habla de un término que es “Zero trust” (confianza cero), que no es más que nunca creer de inmediato en cosas que parecen ser demasiado buenas para ser ciertas o que no son habituales en nuestro día a día. Siempre debemos tomar precauciones, como corroborar la información de primera fuente. Si te está escribiendo un conocido para pedirte dinero (algo que generalmente no hace), lo mejor es llamarlo y confirmar que es quien dice ser. De la misma manera, si te escribe alguien que suele prestarte dinero, también llámalo y confirma con él, ya que podría estar siendo víctima de un ataque que le permitió acceso a su teléfono. Si alguna empresa te envía un correo solicitando información u ofreciendo algún producto o servicio, sería una buena práctica llamar o comunicarse con esa empresa directamente a sus canales de atención al público y validar la información recibida. Por lo general, las campañas masivas no tienden a insistir o acosar mucho a las víctimas, pero en las campañas dirigidas, la probabilidad de caer es mucho más alta, ya que las técnicas son realmente avanzadas.

¿Qué podemos hacer para prevenir este tipo de ataques?

Vectores a considerar:

Suplantación de identidad de puestos de autoridad
Suplantación de identidad de proveedores de servicio
Un beneficio que parece demasiado bueno para ser real
Generar urgencia en una situación

No hay una forma 100% efectiva para protegernos de este tipo de ataques. Como en toda la seguridad informática, lo 100% seguro no existe. Por eso, las empresas usan análisis de riesgo para identificar posibles brechas de seguridad y, dependiendo de su nivel de riesgo, estas son tratadas o aceptadas. Lo primero es ser conscientes de que esto existe y luego educar a nuestro entorno para que todos tengan ese nivel de alerta ante situaciones poco usuales o extrañas. Un ejemplo sería que, en tu círculo cercano, se pusieran de acuerdo para usar algún tipo de código que solo ustedes conozcan, de modo que ante situaciones críticas sea fácil reconocer y validar que la otra persona es quien dice ser.

Como este post es sobre el phishing mediante email, estos son algunos factores a considerar:

La dirección de correo del remitente
Errores tipográficos
Imágenes que se vean distintas a las que ocasionalmente se reciben de parte del remitente
Revisar enlaces o botones dentro de los correos a donde somos redirigidos
Archivos adjuntos

Los enlaces que nos redirigen a sitios web suelen tener como objetivo robar nuestras credenciales y aparentan ser el inicio de sesión de algún sitio donde tengamos usuario y contraseña. Los archivos adjuntos pueden ser aún más nocivos, ya que pueden tener malware incrustado que se instala en nuestro sistema al abrir el archivo.

Link Lab phishing –> https://villacisjimmy.github.io/blog/projects/project4/

09 September 2025 [J x 2]

← Volver al inicio