¿Qué es el phishing?

Obtenga información sobre el phishing, qué buscar en un ataque y cómo protegerse con herramientas y consejos para mantenerse seguro en línea.

Defenderse ante el phishing

Suplantación de identidad definida

El objetivo de los ataques de suplantación de identidad es robar o dañar datos confidenciales engañando a los usuarios para que revelen su información personal como contraseñas y números de tarjetas de crédito.

Puntos clave

La suplantación de identidad (phishing) es un tipo de ciberataque en el que los atacantes se hacen pasar por fuentes de confianza para robar información confidencial.
Estos ataques sirven para engañar a los individuos para que proporcionen información mediante mensajes falsos diseñados para parecer auténticos.
Los ataques de suplantación de identidad (phishing) se pueden detectar por sus direcciones de correo electrónico sospechosas, saludos genéricos, lenguaje urgente o amenazante y solicitudes para hacer clic en vínculos desconocidos.
La mejor forma de evitar ataques de suplantación de identidad es usar la autenticación multifactor resistente a la suplantación de identidad (PR-MFA), tener cuidado con los vínculos de mensajes y los datos adjuntos, y mantenerse informado de las tácticas de suplantación de identidad más recientes.

Tipos comunes de ataques de suplantación de identidad (phishing)

Los ataques de suplantación de identidad proceden de estafadores enmascarados como fuentes de confianza que intentan facilitar el acceso a todos los tipos de datos confidenciales. Aunque este tipo generalizado de ciberataque continúa evolucionando junto con las tecnologías emergentes, las tácticas siguen siendo coherentes:

Comunicación engañosa
Los atacantes son expertos en manipular a sus víctimas para entregar datos confidenciales ocultando mensajes y datos adjuntos malintencionados en lugares donde las personas no son muy exigentes, como en sus bandejas de entrada de correo electrónico. Es fácil suponer que los mensajes que llegan a su bandeja de entrada son legítimos, pero sea precavido:los correos electrónicos de suplantación de identidad suelen parecer seguros y sencillos. Para evitar que le engañen, tómese su tiempo y analice los hipervínculos y las direcciones de correo electrónico de los remitentes antes de hacer clic.

Sensación de necesidad
Los usuarios son víctimas de phishing porque piensan que deben actuar. Por ejemplo, las víctimas pueden descargar malware enmascarado como un currículo porque están contratando de forma urgente o escribiendo sus credenciales bancarias en un sitio web sospechoso para recuperar una cuenta a la que se les indicó que expiraría pronto. Crear una falsa sensación de necesidad es un engaño habitual porque funciona. Para mantener los datos seguros, trabaje con un examen intensivo o instale la tecnología de protección de correo electrónico que hará el trabajo duro por usted.

Falsa confianza
Los usuarios malintencionados engañan a los demás creando un falso clima de confianza: incluso los usuarios más perspicaces son víctimas de sus estafas. Mediante la suplantación de fuentes de confianza como Google, Wells Desktop o UPS, los phishers pueden engañarle para que tome medidas antes de darse cuenta de que se le ha duplicado. La mayoría de los mensajes de phishing pasan desapercibidos si no se aplican medidas avanzadas de cybersecurity. Proteja su información privada con tecnología de seguridad de correo electrónico diseñada para identificar contenido sospechoso y deshacerse de él antes de que llegue a su bandeja de entrada.

Manipulación emocional
Los usuarios malintencionados utilizan tácticas psicológicas para convencer a sus objetivos y hacer que actúen sin pensar. Después de crear un clima de confianza haciéndose pasar por una fuente familiar y generar una falsa sensación de urgencia, los atacantes se aprovechan de las emociones, como el miedo y la ansiedad, para conseguir lo que quieren. Los usuarios suelen tomar decisiones precipitadas cuando se les dice que van a perder dinero, que tendrán problemas legales o que ya no podrán acceder a un recurso muy necesario. Tenga cuidado con cualquier mensaje que requiera que “actúe ahora”—puede ser fraudulento.

Entre los tipos más comunes de ataques de suplantación de identidad se incluyen:

Phishing de correo electrónico
Este tipo de ataque, que es la forma más habitual de phishing, utiliza tácticas como hipervínculos falsos para atraer a los destinatarios de correos electrónicos y hacer que compartan su información personal. Los atacantes suelen hacerse pasar por un gran proveedor de cuentas como Microsoft o Google, o incluso por un compañero de trabajo.

Phishing de software malintencionado
Este tipo de ataque de phishing frecuente implanta software malintencionado camuflado como un archivo adjunto de confianza (como un currículum vítae o un extracto bancario) en un correo electrónico. En algunos casos, abrir un archivo adjunto con software malintencionado puede paralizar los sistemas de TI por completo.

Phishing de objetivo definido
Mientras que los ataques de phishing abarcan un radio amplio, el phishing de objetivo definido tiene como objetivo personas específicas y se aprovecha de la información recopilada al investigar sus trabajos y sus vidas sociales. Estos tipos de ataques son muy personalizados, por lo que resultan especialmente eficaces para eludir las medidas básicas de ciberseguridad.

Phishing de altos cargos
Cuando los usuarios malintencionados tienen como objetivo un "pez gordo", como el directivo de una empresa o una persona famosa, el ataque se denomina phishing de altos cargos. Estos estafadores suelen investigar en profundidad a sus objetivos con el propósito de encontrar el momento oportuno para robar sus credenciales de inicio de sesión u otra información confidencial. Si tiene mucho que perder, los atacantes de suplantación de altos cargos (whaling) tienen mucho que ganar.

Suplantación de identidad con SMS (smishing)
El phishing por SMS o smishing (una combinación de las palabras "SMS" y "phishing") hace referencia al envío de mensajes de texto que se hacen pasar por comunicaciones de confianza de empresas como Amazon o FedEx. Las personas son especialmente vulnerables a las estafas por SMS, ya que los mensajes de texto se reciben en texto sin formato y se entienden como algo más personal.

Suplantación telefónica de identidad (vishing)
En las campañas de phishing por voz, los atacantes, desde centros de llamadas fraudulentos, intentan engañar a los usuarios para que proporcionen información confidencial por teléfono. En muchos casos, estas estafas utilizan ingeniería social para engañar a las víctimas y hacer que instalen software malintencionado en sus dispositivos en forma de aplicación.

Los peligro de la suplantación de identidad (phishing)

Un ataque de phishing exitoso puede tener consecuencias graves. Esto podría parecer dinero robado, cargos fraudulentos en tarjetas de crédito, pérdida de acceso a fotos, vídeos y archivos, incluso ciberdelincuentes que se hacen pasar por usted y ponen en peligro a otros.

Los riesgos para una empresa podrían incluir la pérdida de fondos corporativos, la exposición de la información personal de los clientes y compañeros de trabajo, o el robo o la inacción de archivos confidenciales. Una vulneración de datos también podría tener un impacto negativo duradero en la reputación de una empresa. En algunos casos, los daños pueden ser irreparables.

Algunos ejemplos reales de seguimiento de inteligencia contra amenazas de Microsoft incluyen:

Se observó a la amenaza rusa Star Blizzard enviando mensajes de spear-phishing a periodistas, grupos de reflexión y organizaciones no gubernamentales para robar información confidencial.
Se ha denunciado que Sapphire Sleet con sede en Corea del Norte, ha robado más de USD$10 millones en criptomoneda, sobre todo haciéndose pasar por un inversor de capital riesgo y en segundo lugar, por reclutadores profesionales.
Se detectó que el actor de amenazas conocido como Storm-2372 realizó una campaña de suplantación de identidad (phishing) de código de dispositivo, donde aprovecharon las experiencias de la aplicación de mensajería para capturar tokens de autenticación.

Cómo reconocer los ataques de phishing

Los actores de amenazas pueden dirigirse a una amplia gama de individuos, especialmente aquellos con acceso a información confidencial. Muchos de estos empleados tienen roles estratégicos, como TI, finanzas y en el nivel ejecutivo. Sin embargo, los actores de amenazas también pueden pretender ser un supervisor que "solicita" credenciales a sus empleados, por lo que todos deben estar atentos a los mensajes sospechosos.

El principal objetivo de las estafas de phishing es robar credenciales e información confidencial. Desconfía de cualquier mensaje (por teléfono, correo electrónico o mensaje de texto) que te solicite datos confidenciales o que verifiques tu identidad.

Los atacantes se esfuerzan en imitar entidades de confianza y utilizarán los mismos logotipos, diseños e interfaces que las marcas o personas con las que ya estás familiarizado. Mantente alerta y no hagas clic en un vínculo ni abras un archivo adjunto a menos que estés seguro de que el mensaje es legítimo.

Estas son algunas recomendaciones para reconocer un correo electrónico de phishing:

Amenazas urgentes o llamadas a la acción, como abrir inmediatamente.
Remitentes nuevos o poco habituales (cualquiera que le envíe un correo electrónico por primera vez).
Ortografía y gramática deficientes, a menudo debido a traducciones extranjeras poco precisas.
Vínculos o archivos adjuntos sospechosos: textos con hipervínculos que revelan vínculos procedentes de una dirección IP o un dominio diferentes.
Errores ortográficos sutiles, como micros0ft.com o rnicrosoft.com.

Prevención de ataques de suplantación de identidad (phishing)

Estos son algunos pasos prácticos que puede seguir para protegerse frente a ataques de suplantación de identidad:

Reconocer los signos. Entre los ejemplos se incluyen saludos desconocidos, mensajes no solicitados, errores ortográficos y gramaticales, una sensación de urgencia, vínculos o datos adjuntos sospechosos y solicitudes de información personal.
Informar de cualquier cosa sospechosa. Informar de mensajes sospechosos al departamento de TI de su organización o marcarlos a través de herramientas de informes designadas.
Instalar software de seguridad. Implemente software diseñado para detectar y bloquear intentos de suplantación de identidad (phishing), como programas antivirus o firewalls.
Requerir autenticación multifactor (MFA). Este paso agrega una capa adicional de seguridad. Vaya aún más lejos con MFA resistente a la suplantación de identidad (PR-MFA), que protege contra la ingeniería social.
Manténgase informado a través de la educación y el aprendizaje. Las sesiones de aprendizaje periódicas pueden ayudarle a usted y a sus compañeros de trabajo a identificar e informar de los intentos de suplantación de identidad a través de los canales adecuados. Los métodos de ataque evolucionan constantemente, por lo que es mejor mantenerse al día de las tendencias actuales en ciberseguridad y las actualizaciones de la inteligencia sobre amenazas.

Respuesta a un ataque de suplantación de identidad (phishing)

Cuando se produce un intento de suplantación de identidad (phishing), es fundamental actuar rápidamente para minimizar los posibles daños:

No responda. Incluso una respuesta simple puede confirmar a un atacante que su dirección de correo electrónico está activa, lo que podría pedirle que siga intentándolo.
Cambie sus contraseñas. Si sospecha que sus credenciales se han visto comprometidas, cambie las contraseñas inmediatamente. Implemente MFA si no lo está usando actualmente.
Envíe una alerta al equipo de TI. Si se les informa del intento de suplantación de identidad, se puede solicitar una respuesta a incidentes para ayudar a mitigar los daños en toda la red de la organización.
Informar del intento de suplantación de identidad (phishing). Use las herramientas de informes designadas o siga las instrucciones proporcionadas por su equipo de TI.
Supervise sus cuentas. Compruebe periódicamente cualquier cuenta con datos confidenciales, como una cuenta financiera, para detectar cualquier actividad sospechosa.
Instruya a sus compañeros de trabajo. Informe a su equipo sobre el intento de suplantación de identidad (phishing) y lo que debe buscar. Este sencillo paso puede reforzar colectivamente las defensas.

Al aplicar estos pasos y tomar medidas inmediatas, puede reducir significativamente el riesgo de daños adicionales y proteger los datos personales y de la organización.

Tendencias de suplantación de identidad (phishing)

Los actores de amenazas usan una variedad de malware para llevar a cabo sus esquemas de phishing. Entre las más comunes se incluyen:

Ransomware es uno de los tipos de malware más comunes. Restringe el acceso a los datos mediante el cifrado de archivos o el bloqueo de pantallas del equipo y a continuación, intenta extorsionar dinero a las víctimas solicitando un rescate a cambio de acceso a los datos.

Spyware infecta un dispositivo y a continuación, supervisa la actividad en el dispositivo y en línea, recopilando cualquier información confidencial usada, como las credenciales de inicio de sesión y los datos personales.

Los Bots permiten a los atacantes infectar y tomar el control de los dispositivos. Las redes de bots son redes de bots que usan servidores de comandos y control (C&C) para distribuir una red aún más amplia con el fin de llevar a cabo actividades malintencionadas.

Los virus son una de las formas más antiguas de malware. Se adjuntan a sí mismos para limpiar archivos y propagarse a otros archivos y programas.

Los troyanos se ocultan como software normal. Una vez instalados, propagan código malintencionado que puede tomar el control de un dispositivo y crear una puerta trasera para otro malware.

Los ataques también han adoptado malware generado por inteligencia artificial, que es más sofisticado y difícil de detectar, ya que puede imitar el comportamiento legítimo del software y regenerar el código para eludir la seguridad.

Esta rápida evolución del malware ha solicitado a los profesionales de seguridad que desarrollen técnicas similares para aprovechar las ventajas de la inteligencia artificial para la ciberseguridad:

Las soluciones de detección y respuesta extendidas (XDR) unen herramientas como la detección y respuesta de puntos de conexión (EDR), la inteligencia artificial y el aprendizaje automático (ML) y otras herramientas en una única plataforma basada en la nube.

La detección y respuesta administradas (MDR) combina tecnología con experiencia humana para reforzar la ciberseguridad.

Las soluciones de administración de eventos e información de seguridad (SIEM) mejoran la detección de amenazas y la respuesta a incidentes mediante el análisis de datos de varios orígenes.

Al combinar estas soluciones, las organizaciones obtienen funcionalidades integrales de detección de ciberamenazas, detección y análisis basados en IA y respuesta automatizada en todo su entorno digital.

Protéjase frente a ataques de suplantación de identidad (phishing)

Protegerse a sí mismo y a su empresa frente a ataques de suplantación de identidad requiere una combinación de medidas de seguridad sólidas, educativas y de seguridad. Los programas de aprendizaje y concienciación habituales pueden ayudarle a usted y a sus compañeros de trabajo a reconocer y responder a los intentos de suplantación de identidad (phishing). Asegúrese de usar contraseñas seguras y únicas, implementar MFA e informar de mensajes sospechosos al departamento de TI.

Las organizaciones pueden proteger sus aplicaciones y dispositivos de suplantación de identidad (phishing) y otras ciberamenazas con Microsoft Defender para Office 365. Ayuda a proteger el correo electrónico y las herramientas de colaboración, lo que proporciona protección avanzada y mejora la posición de seguridad general de la empresa. Defender para Office 365 también ofrece funcionalidades de detección y respuesta a amenazas impulsadas por IA, reparación automatizada y formación en simulación de ciberataques para ayudar a las organizaciones a adelantarse a las amenazas en evolución.

Precauciones

Sugerencias rápidas para evitar la suplantación de identidad (phishing)

Desconfiar de los nombres para mostrar

Compruebe la dirección de correo electrónico del remitente antes de abrir el mensaje: el nombre para mostrar puede ser falso.

Revisar el texto en busca de erratas

Los correos electrónicos de phishing suelen contener errores ortográficos y gramaticales. Si algo le parece raro, márquelo.

Mirar antes de hacer clic

Mantenga el puntero sobre los hipervínculos en contenido original para inspeccionar la dirección del vínculo.

Leer el saludo

Si el correo electrónico se dirige al “cliente” con valor en lugar de a usted, tenga cuidado. Es probable que sea fraudulento.

Revisar la firma

Compruebe la información de contacto en el pie de página del correo electrónico. Los remitentes legítimos siempre la incluyen.

Tenga cuidado con las amenazas

Las frases basadas en el miedo como “Su cuenta se han suspendido” son frecuentes en los correos electrónicos de suplantación de identidad.

RECURSOS

Obtenga información sobre cómo la Seguridad de Microsoft (Microsoft Security) puede protegerse contra la suplantación de identidad (phishing)

Solución

Soluciones de protección y prevención contra la suplantación de identidad (phishing)

Ayude a detectar y corregir los ataques de suplantación de identidad (phishing) con una autenticación y seguridad de correo electrónico seguras.

Más información

Solución

Operaciones de seguridad unificada

Supere las ciberamenazas con una plataforma de operaciones de seguridad eficaz.

Más información

Una mujer sentada en un escritorio trabajando en un portátil

Portal de protección contra amenazas

Noticias sobre ciberseguridad e IA

Descubra las tendencias más recientes y los procedimientos recomendados para la protección contra suplantación de identidad (phishing) y la inteligencia artificial para la ciberseguridad.

Obtener los recursos más recientes

La suplantación de identidad es un tipo de ciberataque donde los atacantes intentan engañar a las personas para que faciliten información confidencial, como nombres de usuario, contraseñas, números de tarjetas de crédito u otros datos personales. Esto suele hacerse enmascarando como una entidad de confianza en comunicaciones electrónicas, como correos electrónicos, mensajes de texto o sitios web.
En la mayoría de los casos, el atacante envía un mensaje al destinatario por correo electrónico, SMS (mensaje de texto), teléfono o un sitio web. El mensaje está adaptado y parece provenir de una fuente legítima, solicitando urgentemente al destinatario que le envíe información confidencial o que haga clic en un vínculo que los llevará a un sitio web falso diseñado para robar credenciales.
La mejor manera de protegerse frente a ataques de suplantación de identidad es asegurarse de que los dispositivos están configurados para la autenticación multifactor resistente a la suplantación de identidad (PR-MFA). También debe informar de cualquier contenido de aspecto sospechoso al equipo de seguridad de su organización. También puede mantenerse informado participando en programas de aprendizaje y concienciación para saber cómo reconocer y responder a los intentos de suplantación de identidad (phishing).
Los ataques de suplantación de identidad más comunes son:
Phishing de correo electrónico (más común): los atacantes envían correos electrónicos que parecen ser legítimos, lo que insta a los destinatarios a que actúen rápidamente para evitar perder el acceso a los recursos de la empresa.

Smishing: suplantación de identidad (phishing) a través de SMS, urna a los destinatarios a hacer clic en un vínculo o proporcionar información.

Phishing de objetivo definido: un método dirigido en el que los atacantes suplantan a una fuente de confianza, como su jefe, para robar información.

Vishing: suplantación de identidad (phishing) a través de llamadas telefónicas para recopilar información confidencial.
La suplantación de identidad es una de las formas más eficaces de robar información y puede tener consecuencias graves tanto para las personas como para las organizaciones. Los ataques de suplantación de identidad (phishing) correctos pueden exponer información personal y profesional, y pueden provocar acceso no autorizado a datos confidenciales, pérdidas financieras y daños en la reputación.