Evite los ataques de phishing con Avast Mobile Security para iPhone y iPad
- Seguridad
- Privacidad
- Rendimiento
¿Cree que podrías detectar una estafa? El phishing personalizado es muy engañoso. Está diseñado para parecer un mensaje electrónico verdadero, por lo que las campañas de phishing son capaces de engañar hasta a los más precavidos. Siga leyendo para aprender más sobre ataques de phishing personalizado y cómo evitarlos, y sobre cómo protegerse con software antivirus potente que contenga herramientas inteligentes capaces de detectar amenazas.
El phishing personalizado es una estafa realizada a través de un mensaje electrónico o comunicación electrónica que tiene como objetivo a personas o grupos específicos, que pretende conseguir información personal o infectar sus dispositivos electrónicos con malware. El phishing personalizado se diseña de tal forma que parecen correos electrónicos de fuentes familiares o muy conocidas.
Este artículo contiene:
Una vez identificado un individuo o grupo (por ejemplo, una organización o una empresa) al que atacar, el atacante crea y envía un mensaje, normalmente un mensaje electrónico, pretendiendo ser de una fuente fiable y conocida.
El mensaje electrónico está diseñado meticulosamente para que parezca real y sea capaz de engañar hasta a los destinatarios más perspicaces. Con el falso correo electrónico se intenta conseguir que la víctima revele datos personales y, normalmente, suele incluir un enlace a una página web muy bien camuflada que pide información personal o está lleno de software malicioso.
Así es como funcionan los ataques de phishing personalizado:
Un atacante identifica a una persona o un dato en concreto que le interesa.
El atacante investiga a la víctima con el objetivo de ganarse su confianza o contactar con ellos de forma fiable.
El atacante «personaliza el phish», normalmente, por correo electrónico, para que la víctima revele la información o datos que le interesan.
Son similares, pero la diferencia entre el phishing y el phishing personalizado es la forma en la que los dos vectores de ataque eligen a sus víctimas. En el caso del phishing, el objetivo es un grupo muy grande de gente con estafas generales que, habitualmente, son fáciles de detectar. En cambio, en las estafas de phishing personalizado, el objetivo son individuos o grupos concretos a los que se ataca de forma personalizada con ataques que parecen muy reales.
Generalmente, si comparamos el phishing personalizado con el phishing, el primero es mucho más peligroso, ya que está mucho más dirigido y es más engañoso. El phishing personalizado está enfocado a grupos concretos, por lo cual el ataque está bien investigado y se desarrolla con cuidado, y eso hace que sea mucho más difícil de detectar.
Muy lejos de la conocida y bastante genérica estafa del «príncipe nigeriano», los cibercriminales utilizan el phishing personalizado para ataques totalmente intencionados en individuos específicos, con el objetivo de acceder a información concreta. Un ejemplo de ello son las numerosas estafas de phishing de los IDs de Apple, que son muy difíciles de detectar.
Otro caso similar al phishing personalizado es el whaling, en el que las víctimas del ataque son empleados con mucho poder (CEO, CFO u otro tipo de ejecutivos) y se trata de conseguir información delicada y valiosa. Se le llama «whaling» (caza de ballenas) por el tamaño de la «captura», es decir, empleados de mucho poder o personas famosas.
Otra práctica especialmente engañosa se denomina pharming. A diferencia del phishing, los ataques de pharming manipulan el tráfico de páginas web reales y redirigen a las víctimas a páginas web fraudulentas que instalan malware o roban información personal delicada.
Todos eso tipos de ataque encuentran a sus víctimas potenciales mediante varias formas de ingeniería social. Por ejemplo, utilizando mensajes electrónicos y páginas web falsas, creando perfiles falsos en redes sociales, haciéndose pasar por fuentes respetables o fidedignas, etcétera. Las amenazas pueden llegar de muchas formas, por lo que es esencial la alfabetización digital para poder evitarlas.
En el caso del phishing, el objetivo puede ser cualquier persona; en cambio, en el phishing personalizado, el objetivo son personas o grupos concretos.
Los ataques de phishing personalizado están hechos a la medida del individuo o grupo en concreto al que se quiere atacar; están bien planeados para simular que vienen de fuentes fidedignas. Tal y como lo hacen los agente dobles en las películas policíacas (equipados con disfraces y pasaportes falsos), la estafa del phishing personalizado requiere mucho esfuerzo. Así es como funcionan los ataques de phishing personalizado:
Un atacante identifica e investiga a una víctima: Al tener un objetivo tan concreto, en los ataques de phishing personalizado es necesario investigar a las víctimas potenciales y crear estafas efectivas. Tal y como pasa con cualquier forma de robo de identidad, frecuentemente se utilizan las redes sociales para encontrar víctimas, recoger información de contacto y preparar la estafa basándose en esa información personal.
Se crea un mensaje personalizado para engañar a la víctima: Cuanto más personalizado sea el mensaje de la estafa, más posibilidades tendrá de ser convincente. Los cibercriminales utilizan el spoofing y otro tipo de herramientas junto con la información recogida en su investigación para engañar a sus víctimas potenciales. Los atacantes diseñan mensajes electrónicos falsos con la misma apariencia que los de las compañías legítimas. Además, los ataques suelen crearse utilizando detalles muy concretos de las víctimas y, gracias a ello, suelen ser más exitosos.
Una vez ganada la confianza de la víctima, se procede a atraparla: Es fácil caer en un ataque de phishing personalizado, ya que los mensajes electrónicos bien detallados dan confianza. Las estafas fracasan a menudo, y son fáciles de detectar cuando tiene un objetivo amplio. En cambio, cuando hay detalles personales, las víctimas no detectan las estafas realizadas utilizando el phishing personalizado. Atraídas por el señuelo, entran en enlaces falsos a páginas web en las que dan sus datos personales o descargan malware, por ejemplo, un keylogger.
Para ayudar a crear estafas de phishing personalizado, los atacantes suelen comprar información sobre víctimas potenciales en la web oscura. La información personal y valiosa suele venderse en la web oscura después de haberse filtrado en un escape de datos u otro tipo de hackeo.
Personas conocidas del campo de la tecnología, la política y la cultura pop han sido víctimas de estafas de phishing personalizado, con consecuencias muy graves. Estos son algunos de los ejemplos de phishing personalizado más famosos.
¿Es un tuit de Jeff Bezos, el fundador de Amazon, prometiendo enviarle bitcoines demasiado bueno para ser verdad? ¿Y qué le parecería si leyera un tuit similar de Elon Musk o Kanye West? En 2020, Twitter reveló que los hackers habían conseguido más de 45 cuentas de Twitter de gente influyente utilizando campañas de phishing personalizado.
En unas cuantas horas, los hackers utilizaron esas cuentas para tuitear un fraude de bitcóin básico: le prometían a las víctimas el doble de bitcoines que la cantidad que fueran a ingresar en la cartera de bitcoines que aparecía en el tuit. La estafa llegó de cuentas verificadas de gente influyente, por lo que tuvo éxito.
Este ataque de phishing personalizado atrapó a Jeff Bezos en su red.
Según la nota de prensa post-mortem publicada por Twitter, los hackers utilizaron técnicas de «phishing personalizado telefónico» para hacerse pasar por trabajadores técnicos y engañaron a trabajadores de Twitter para poder conseguir las credenciales que necesitaban para acceder a una herramienta interna de la empresa. Gracias a esta herramienta, resetearon las contraseñas y la autentificación de dos factores de las cuentas objetivo.
Los políticos suelen tener servicios de seguridad de primer nivel en todos los sitios a los que acuden, pero eso no es impedimento para los cibercriminales. 2016 fue un año muy duro para el Partido Demócrata estadounidense: además de perder la opción a ganar la presidencia de los EE. UU. también fueron víctimas de un phishing personalizado muy bien planificado.
Debido al ataque de phishing personalizado, miles de direcciones de correo electrónico de empleados del Partido Demócrata fueron filtrados, incluyendo las direcciones de los líderes Hillary Clinton y Bernie Sanders. Esos correos electrónicos tenían datos delicados y con potencial para hacer daño que utilizaron contra ellos tanto la oposición como los medios de comunicación. Algunos opinan que ese ataque influenció el resultado de las elecciones.
Los hackers estafaron a los Demócratas creando una cuenta de Gmail falsa y enviando mensajes electrónicos informando de que había una actividad inusual en su red y pidiendo a los empleados que cambiaran sus contraseñas haciendo clic en un enlace. El resto es historia política.
El phishing personalizado es efectivo porque, a diferencia de las estafas a gran escala y nivel técnico bajo, estos tienen un objetivo muy concreto al que han investigado a fondo. Los ataques de phishing personalizado utilizan información personal de las víctimas para crear estafas creíbles.
Los ataques de phishing personalizado juegan con las emociones de las personas. Los mensajes suelen tener un tono urgente, y instan a la víctima a «actuar rápido, antes de que sea demasiado tarde».
En los ataques de phishing personalizado los hackers utilizan cualquier información que ayude a que los ataques sean convincentes. Actualmente intercambiamos mucha información online: nuestras direcciones de correo electrónico, puesto de trabajo, redes sociales y laborales y mucho más. Todo ello se puede utilizar para fabricar una estafa de phishing personalizado muy convincente.
El phishing personalizado es muy efectivo, pero puede minimizar el riesgo guardando su información y seguir unas pautas para prevenir el robo de la identidad.
Otra forma de evitar los espacios donde suelen cazar los phishers es utilizar un software antivirus potente y seguro. El Free Antivirus Avast ofrece seis capas de protección impenetrable contra las amenazas más peligrosas. Además, nuestro software gratuito ofrece un sistema antivirus inteligente que detecta y bloquea ataques de phishing, y también virus, spyware, ransomware y otras formas de malware.
La prevención es la mejor arma para defenderse de los ataques de phishing personalizado. Los hackers dependen de la falta de atención de sus víctimas. Por lo tanto, detectar sus trucos ayudará a neutralizar la amenaza. Asimismo, se puede aumentar la seguridad con algunas estrategias efectivas que ayudan a reforzar la ciberseguridad.
Así se pueden prevenir los ataques de phishing personalizado:
Educación y conocimiento. Practique una correcta ciberhigiene: no haga clic en enlaces extraños, no comparta sus contraseñas, no comparta demasiada información en las redes sociales y aprenda a identificar los correos electrónicos sospechosos.
Software para la protección del correo electrónico. Sume un software que proteja sus dispositivos electrónicos a sus conocimientos. El mejor software antivirus puede detectar y bloquear ataques de phishing y otros tipos de ciberamenazas, tales como archivos adjuntos maliciosos en los correos electrónicos, spyware y ataques de ransomware.
Contraseñas fuertes. Las contraseñas protegen de todo, desde cuentas bancarias online hasta redes sociales y correos electrónicos. Por tanto, que se roben o se filtren contraseñas puede acarrear serios problemas. Use estrategias para crear contraseñas fuertes y complejas. Y utilice un administrador de contraseñas para crear contraseñas imposibles de crackear para todas sus cuentas.
Copias de seguridad. Aun siendo cuidadoso, puede ser víctima de los hackers. Si tiene que restaurar su sistema completamente, guarde un clon de su disco duro o una copia de seguridad de todos sus archivos en un USB, un disco duro externo o un almacén en la nube.
Software actualizado. Los hackers están renovando sus métodos y aplicando nuevas tecnologías constantemente. Por eso, es necesario actualizar el software regularmente y aplicar nuevos parches de seguridad para tapar agujeros y bloquear vulnerabilidades de seguridad.
Correo electrónico verificado. Si recibe un correo sospechoso, busque un verificador online de correos seguro para verificar la dirección. Hay muchas opciones a elegir, pero tal y como se hace con cualquier elemento a descargar, investigue su legitimidad antes de instalarlo. Ademas, utilice la autentificación multifactorial en su correo electrónico y redes sociales para tener otra capa de seguridad.
El phishing personalizado es sutil e incluso engaña a los expertos. Vigilar atentamente los mensajes electrónicos y otro tipo de comunicaciones sospechosas es su mejor estrategia de prevención.
Para evitar que haya amenazas que se nos escapen, es indispensable tener un software antivirus robusto como Avast Free Antivirus. Nuestra función antivirus inteligente detecta y bloquea intentos de phishing y otras ciberamenazas. Lo suministra una de las redes de detección de amenazas más grande del mundo, y, gracias a ello, estará protegido ante las amenazas más recientes.
Con protección potente y completa y una interfaz moderna, Avast Free Antivirus es una opción excelente.