¿Qué es un ataque de phishing?

 

• Definición
• Los tipos de phishing más frecuentes
  
  • El fraude del presidente
  • El phishing para robo de credenciales
  • El phishing mediante archivo adjunto
• Los buenos reflejos para no dejarse engañar
• Como responsable informático, ¿cómo limitar este riesgo?

 

1. Definición

El phishing (o suplantación de identidad en español) es una técnica fraudulenta mediante la cual un ciberdelincuente envía un correo electrónico haciéndose pasar por un tercero conocido – Google, Amazon o la Seguridad Social, por ejemplo.
Su objetivo es empujar al destinatario a hacer clic en un enlace o descargar un archivo, con el fin de robar información, dinero o instalar un software malicioso.

 

2. Los tipos de phishing más frecuentes

2.a. El fraude del presidente

El fraude del presidente (también llamado estafa del presidente) es una técnica de estafa dirigida en la que un atacante se hace pasar por un dirigente de la empresa (a menudo el CEO o el director financiero) para engañar a un empleado y lograr que realice una transacción bancaria fraudulenta.

🎭 ¿Cómo funciona el fraude del presidente?

• Suplantación de identidad: El estafador envía un correo (o llama) haciéndose pasar por una persona de alto rango en la empresa.

• Escenario de urgencia: Suele invocar una situación urgente, confidencial y sensible (ej.: adquisición, pago a un proveedor estratégico, urgencia judicial...).

• Presión psicológica: Presiona al empleado, generalmente de contabilidad o finanzas, para que actúe rápido sin seguir los procedimientos habituales.

• Transferencia fraudulenta: El objetivo es que la víctima transfiera dinero a una cuenta controlada por los estafadores, a menudo en el extranjero.

🧠 ¿Por qué funciona?

• El correo parece creíble (lenguaje profesional, dirección falsa muy parecida, firma del CEO, etc.).

• El empleado está aislado, bajo presión o impresionado por la jerarquía.

• El ataque es muy dirigido (los estafadores investigan sobre la empresa, sus directivos y sus prácticas internas).

🚨 Consecuencias posibles:

• Pérdidas financieras importantes.

• Daño a la reputación.

• Responsabilidad legal si no existían las protecciones adecuadas.

🛡️ Cómo protegerse:

• Sensibilizar a todos los empleados, especialmente en servicios sensibles (finanzas, RR. HH., etc.).

• Establecer un procedimiento interno estricto de validación para las transferencias.

• Activar protecciones técnicas: SPF, DKIM, DMARC, filtros anti-suplantación.

• Verificar sistemáticamente toda solicitud inusual mediante un canal secundario (teléfono, videollamada, en persona).

 

2.b. El phishing para robo de credenciales

• Usted recibe un correo que genera urgencia: un gasto inesperado, una cuenta suspendida, un cambio de contraseña…

• Haciéndose pasar por un tercero conocido, el atacante le empuja a hacer clic rápidamente en un enlace que lo dirige a un sitio fraudulento.

• Usted introduce sus credenciales en ese sitio y el atacante las recupera: la página parece auténtica, pero en realidad pertenece al atacante.

• Normalmente no se da cuenta: suele aparecer un mensaje de “Credenciales incorrectas” y luego es redirigido al sitio real, lo que hace creer que todo es legítimo.

📧 Ejemplo: un correo que parece provenir de Microsoft, pero cuya dirección remitente (ej.: notification@microsoft-exchange.fr) no pertenece a Microsoft.

🌐 El sitio falso también se parece al de Microsoft, salvo en la URL (account.accountsafe.fr), que no es propiedad de Microsoft.

 

2.c. El phishing mediante archivo adjunto

Este tipo de ataque, más sofisticado y menos frecuente, permite al ciberdelincuente tomar el control del equipo de un colaborador, utilizándolo como punto de entrada al sistema informático de la empresa.

Para ello:

• Envía un documento atractivo por correo (ej.: un informe interno o la tabla de salarios de la empresa).
• O lo envía mediante una plataforma de transferencia de archivos (ej.: Dropbox o WeTransfer).

Si las macros del documento (PowerPoint, Excel o Word) se activan, el atacante obtiene el control del dispositivo.

 

3. Los buenos reflejos para no dejarse engañar

• Reflejo nº1: Verifique el dominio del remitente del correo.
  El correo puede parecer familiar, pero puede haber sido suplantado. Revise el dominio (lo que aparece después de la “@”): si no coincide exactamente con el del remitente legítimo, se trata de phishing.

• Reflejo nº2: En caso de redirección a un sitio web, controle el dominio.
  Si el atacante lo redirige a un sitio falso, la URL no coincidirá exactamente con la del sitio legítimo.

• Reflejo nº3: Verifique la información por un canal alternativo.
  Confirme con el remitente por otro medio: SMS, servicio de atención al cliente o ingresando directamente en el sitio oficial desde su navegador.

 

4. Como responsable informático, ¿cómo limitar este riesgo?

Anticipar y limitar el riesgo de phishing

• Sensibilización de los equipos: el 73% de los ciberataques provienen del phishing de un colaborador (CESIN). Use, por ejemplo, la herramienta de simulación de phishing de Stoïk.

• Autenticación de doble factor (2FA): incluso si el atacante roba credenciales, no podrá usarlas sin el segundo factor.

• Gestor de contraseñas: estos verifican el dominio de los sitios antes de autocompletar credenciales. Si el dominio está suplantado, no se autocompletará y el usuario será alertado.

Actuar en caso de phishing exitoso

• Si un usuario ha entregado credenciales:
  • Cambie la contraseña del servicio comprometido y de cualquier otro donde se haya reutilizado.
  • Active el segundo factor de autenticación en la cuenta afectada.
  • Avise a Stoïk para comprobar que el atacante no haya dejado accesos persistentes.
• Si un usuario ha descargado un archivo malicioso:
  • Apague el dispositivo para limitar la propagación del virus.
  • Avise a Stoïk para que eliminemos el virus y verifiquemos que no haya propagación.