En la actualidad existen tantos casos y ejemplos de phishing que cada vez es más difícil identificar este tipo de ataques. Según el Informe de Spam y Phishing de Kaspersky, este tipo de ciberataque informático duplicó su presencia en 2022 respecto al año anterior, alcanzando los 500 millones de ataques.

Al habitual intento de estafa a través de correo electrónico o SMS, se le suman otros métodos, como por ejemplo las redes sociales, las apps de mensajería instantánea o las herramientas de phishing como servicio. Mantenerse al día en este aspecto y tomar medidas de ciberseguridad es esencial para las empresas. 

En este artículo te mostraremos algunos ejemplos de phishing, qué tipo de ataques existen o qué pasos debemos dar para identificarlos y prevenirlos. 

¿Cómo opera el phishing en la práctica?

Te lo contamos en el siguiente video:

¿Qué es el phishing?

El phishing es un tipo de ataque cibernético basado en la suplantación de identidad que permite a los infractores obtener información confidencial de los usuarios y las empresas. Normalmente, el objetivo es obtener credenciales de acceso y detalles de tarjetas de crédito que permitan obtener beneficio de este acto delictivo. 

A pesar de ser una estafa conocida por la mayoría de usuarios, la dificultad para estos suele residir en la aparición de nuevos tipos de phishing. Nuevos métodos y técnicas aparecen cada día para tratar de engañar a los usuarios jugando con la psicología humana. 

Suplantación de identidad, enlaces fraudulentos, chantaje, desconocimiento… Existen muchos ejemplos de técnicas de phishing. Los hackers juegan con la poca formación y la relajación de los empleados en este aspecto para alcanzar sus objetivos y obtener la información que desean. 

5 Ejemplos de phishing que debes conocer 

Actualmente, hay un gran número de ejemplos de phishing cada vez más perfeccionados. Los ciberdelincuentes tienen claro a quién están atacando y lo que quieren obtener, por lo que no dudan en personalizar sus mensajes para aumentar su credibilidad. Estos son algunos casos de ataques de phishing que se dirigen a empresas de medio y gran tamaño.

1. Phishing CEO

Es un ejemplo de phishing en el que los ciberdelincuentes se hacen pasar por un CEO o alto ejecutivo de una empresa. A través de correo electrónico demandan a sus “empleados” o partners cierta información, escudándose en una situación urgente o en la imposibilidad de acceder a su cuenta de usuario. 

También suelen contactar con el departamento financiero para solicitar una transferencia urgente de fondos o que se debe realizar un pago a través del enlace enviado. Otro caso similar es aquel donde los delincuentes se hacen pasar por alguien de recursos humanos. Este solicita información personal o detalles de inicio de sesión, utilizando la actualización de registros de la empresa como excusa. 

2. Phishing de facturas falsas

Otro ejemplo de phishing que ha surgido últimamente es aquel en el que solicita el pago de facturas falsas. Los atacantes se hacen pasar por una empresa proveedora o cliente para solicitar el pago de una factura fraudulenta. Adjunta dicha factura y un nuevo número de cuenta desconocido donde debe hacerse la transferencia. 

3. Phishing mensajería instantánea

Utilizar aplicaciones de mensajería instantánea para comunicarse de forma interna y externa es cada vez más habitual en el ámbito empresarial. Los atacantes aprovechan esta nueva situación para mandar enlaces fraudulentos, suplantar la identidad de otras personas o crear una situación de negocio amigable para tratar de engañar al receptor. 

Este ejemplo de phishing también es aplicable a las redes sociales como LinkedIn, Instagram, Facebook, WhatsApp etc. y el tradicional fraude por SMS conocido como Smishing. Es habitual que los hackers demanden a sus víctimas algún tipo de pago haciendo uso de la suplantación de identidad o chantaje. 

4. Phishing de cambio de contraseña

También es habitual la suplantación de identidad de grandes empresas como Microsoft, LinkedIn, Google y muchas otras para enviar correos electrónicos de cambio de contraseña. Aunque aparentemente estos correos parecen auténticos, la realidad es que oculta la intención de robar las credenciales de los usuarios. En ocasiones también pueden hacerse pasar por el departamento de IT y obtener así credenciales empresariales. 

5. Phishing de archivos adjuntos

Muchos delincuentes también envían correos electrónicos que contienen archivos adjuntos malintencionados. Aunque parecen legítimos, estos en realidad están infectados por malware, ransomware o keyloggers. También pueden contener archivos HTML para suplantar el inicio de sesión de servicios conocidos o incluir formularios falsos con la única intención de obtener datos de usuarios o tarjetas de crédito. 

Consejos para identificar y prevenir ataques de phishing

Con las vías y métodos de ataque de phishing multiplicándose regularmente, las empresas deben tomar medidas que les permitan identificarlos y prevenirlos. A continuación te dejamos algunos consejos que aplicados a nivel de usuario reducen el riesgo y la exposición a este tipo de ataques. 

1. Desconfía

El primer consejo y más básico de todos es la desconfianza. Desconfiar y estar siempre alerta son dos puntos clave para prevenir e identificar. Basándonos en la filosofía zero trust, podemos partir de que cualquier mensaje que nos llegue, sin importar la vía de la comunicación, podría ser un ataque de phishing. 

Cada usuario conoce mejor que nadie sus interlocutores habituales, así que ante cualquier duda, lo mejor es verificar qué está sucediendo. También podemos estar atentos a típicas señales como:

• Mensajes mal redactados, traducidos o en otro idioma distinto al habitual. 
• Enlaces poco fiables.
• Falta de coherencia entre interlocutor y mensaje (por ejemplo, el remitente es conocido, pero su mensaje no encaja con sus funciones habituales)
• Mensajes alarmistas o demasiados buenos para ser ciertos
• Archivos adjuntos inesperados o extraños
• Dirección de correo electrónico desconocida

2. Verifica

Ante cualquier situación de sospecha, y antes de responder o hacer clic en cualquier enlace, lo correcto es verificar que se trata de un mensaje legítimo. Trata de comunicarte por otra vía con el destinatario y comprueba que ha sido él quién te ha enviado este mensaje. Si no es posible, contacta con el departamento de IT o con un superior que pueda ayudarte a realizar las comprobaciones oportunas. 

3. No hagas clic en ningún enlace

Como hemos visto, muchos ejemplos de phishing incluyen enlaces malintencionados que pueden robar nuestra información fácilmente. Por este motivo, y a no ser que tengas muy claro qué el emisor es realmente quien dice ser, usa el sentido común y tomate unos segundos antes de pulsar en cualquier enlace. 

4. Aumenta las medidas de seguridad de tu empresa

Las empresas deben instaurar tecnología avanzada de ciberseguridad para evitar ataques de phishing. El uso de un gestor de correo electrónico con medidas antiphishing y antispam es vital en este aspecto. Asimismo, es importante emplear métodos de autenticación y verificación avanzados, antivirus, firewalls, mantener actualizados todos los dispositivos o utilizar soluciones informáticas avanzadas con inteligencia artificial integrada. 

5. Formación y educación

El 85 % de los ataques informáticos se producen a causa de errores humanos. Los hackers saben que el eslabón más débil son los usuarios y se aprovechan de ello.

La única forma de cerrar esta puerta a los ciberdelincuentes es ofreciendo formación en términos de ciberseguridad a los empleados, educarles en su puesto de trabajo día a día y crear políticas claras del uso de credenciales corporativas. También hay que regular la utilización de dispositivos personales, proporcionar conexiones seguras de teletrabajo o dejar claro cómo actuar frente a un posible ataque de phishing.