Guía para comprender el phishing dirigido

Acciones de prevención y respuesta

Cómo funciona el phishing dirigido. Guía de seguridad digital

Phishing… ese viejo (des)conocido. Entendamoslo de forma amable: el phishing es como recibir una invitación falsa a una fiesta que nunca existió.

Detrás del phishing los atacantes crean correos electrónicos, mensajes de texto, llamadas o publicaciones que se ven increíblemente reales; te manipulan para que hagas clic en un enlace o que proporciones información personal y confidencial. El objetivo es «pescar» tu información sensible, como lanzar un anzuelo en el agua esperando que un pez (¡tú!) muerda el cebo. ????

Ahora, imagínate dos tipos de fiestas. Una es gigante, abierta a todo el mundo, con carteles por toda la ciudad invitando a cualquiera a unirse. La otra es una cena íntima donde sólo se invita a un pequeño grupo de personas cuidadosamente elegidas. En el phishing, tenemos estas dos clases de «fiestas»: la masiva y la dirigida.

Phishing masivo y phishing dirigido

Phishing masivo: Los atacantes envían el mismo mensaje fraudulento a miles, si no es que millones, de personas, esperando que algunos muerdan el anzuelo. No saben mucho sobre ti, solo están jugando un juego de números, como lanzar una red al mar y ver qué peces caen.

Phishing Dirigido o spear phishing: Los atacantes han hecho su tarea: saben quién eres, dónde trabajas y cosas más específicas. Usando esta información, crean un mensaje especialmente diseñado para ti. Podrías recibir un correo que parece ser de tu jefe, pidiéndote que revises un documento urgente. Este ataque es más efectivo porque utiliza información personal para parecer más legítimo y, por tanto, es más probable que caigas en la trampa.

El phishing dirigido ha emergido como una de las amenazas más significativas y sofisticadas. No solo apunta a individuos al azar, sino a organizaciones y personas específicas en ONGs, medios, activistas y personas defensoras de derechos humanos. En esta guía ahondamos en el phishing dirigido para entender por qué es tan efectivo y abordar medidas de seguridad digital para cuidarnos.

phishing dirigido

 ¿Por qué es importante protegernos de phishing?

Te compartimos algunos datos y casos de phishing que ayudan a dimensionar la importancia de esta amenaza:

  • En el primer trimestre de 2023, se observaron 1,624,144 ataques de phishing, estableciendo un récord histórico según el APWG (Anti-Phishing Working Group)
  • Un ejemplo notorio de phishing dirigido involucró la campaña conocida como Operation Pawn Storm, que se centró en grupos específicos como militares, gobiernos, y medios de comunicación a través de correo electrónico meticulosamente diseñado.
  • Desde 2019 se ha estimado que el correo electrónico es responsable de cerca del 95% de infecciones de malware, particularmente desde el phishing (DBIR)​.
  • Amnistía Internacional destacó una operación coordinada de spyware en 2019 contra defensores de derechos humanos en India (activistas, abogados y un periodista). Se usaron 12 correos electrónicos de phishing dirigido, intentando instalar el spyware NetWire, que podía registrar pulsaciones de teclas, grabar audio, robar credenciales, entre otras acciones.
  • El phishing ha sido el anzuelo del espionaje electrónico en algunos casos de infección con el software Pegasus de NSO Group. Consulta aquí ¿Cómo funciona Pegasus? Aspectos técnicos

Phishing e ingeniería social: el arte de manipular

En seguridad digital la ingeniería social se refiere al uso de técnicas de manipulación psicológica para engañar a las personas, vulnerar su seguridad digital u obtener información sensible. En su amplio espectro de estrategias, el phishing es una que destaca por dos aspectos:

Phishing como estrategia de engaño enfocada: El phishing es como un actor de teatro en un escenario, solo que su actuación se da en tus emails o mensajes, fingiendo ser alguien que no es. Te envían un mensaje que parece legítimo, diciendo que hay un problema con tu cuenta o que necesitas verificar algo urgentemente. ¿El objetivo? Que bajes la guardia y actúes como desean sin percatarte.

La psicología detrás del engaño: La efectividad del phishing y de la ingeniería social radica en entender y manipular las respuestas emocionales y psicológicas de las personas. Usan el miedo («tu cuenta se bloqueará»), la urgencia («actúa ahora») o incluso la curiosidad. Es como si alguien tocara el timbre de tu casa diciéndote que hay un paquete urgente para ti, pero en realidad, lo que quieren es que abras la puerta sin preguntar.

Lo que hace al phishing una forma de ingeniería social es su dependencia del engaño y la manipulación. No solo está la tecnología empleada, sino cómo se juega con la mente humana para evadir los mecanismos de seguridad más básicos: el sentido común y un escepticismo saludable.

Tácticas de phishing: los trucos detrás de cámaras

En el mundo del phishing, los atacantes son actores que adoptan distintos roles para engañarte. Veamos algunas de sus tácticas más astutas. Primero, los trucos generales:

  • Intimidación: Aquí juegan con el miedo. Puede que recibas un mensaje diciendo que tu cuenta será bloqueada o que estás en problemas si no actúas ya. 
  • Escasez: «¡Última oportunidad para reclamar tu premio!» Suena urgente, ¿verdad? Cuando algo parece escaso, lo queremos más. El truco es hacerte actuar antes de “agotarse”.
  • Urgencia: Esta es la táctica del «ahora o nunca». Te hacen sentir que debes actuar inmediatamente, sin tiempo para pensar o verificar la información. Es como esa oferta que expira en una hora y te hace tomar decisiones apresuradas.

Los trucos más asociados al phishing dirigido:

  • Familiaridad: Este truco es más personal. Pueden hacerse pasar por un colega o contraparte que conoces, utilizando información que encontraron sobre ti. Es como recibir una invitación a un evento de alguien que crees conocer bien.
  • Confianza: A veces, los phishers juegan un largo juego. Pueden construir una relación contigo a lo largo del tiempo, solo para traicionarte al final. Piensa en un amigo por correspondencia que de repente necesita tu ayuda económica o cierta información.
  • Consenso/aprobación social: ¿Alguna vez has hecho algo solo porque todos lo hacían? Los atacantes lo saben y pueden enviarte un mensaje diciendo que «todos en la oficina» están compartiendo cierta información. Es la presión de grupo, pero en tu bandeja de entrada.
  • Autoridad: Imagina que recibes un correo de tu «jefe» o de alguien que parece ser una figura de autoridad. Te piden hacer algo rápidamente. Este truco funciona porque estamos más o menos programades para obedecer algunas figuras de poder sin cuestionar demasiado.
  • Investigación profunda: Los atacantes se convierten en verdaderos detectives de tus redes sociales y cualquier rincón de Internet donde hayas compartido información. Con esos detalles crean mensajes a medida para ti, para engañarte mejor.
  • Suplantación de Identidad Interna: Imagina recibir un correo o mensaje de WhatsApp de alguien de tu equipo de trabajo pidiéndote revisar un documento urgente. Todo parece normal, excepto que en realidad, es falso. Esta técnica usa tu confianza en las personas que conoces para bajar tu guardia y hacer clic donde no debes.
  • Explotación de eventos actuales: ¿Recibiste un correo sobre una crisis reciente? Los atacantes utilizan noticias y eventos de actualidad para crear un contexto de urgencia o relevancia, haciendo que sus correos falsos parezcan más creíbles y legítimos.

Es importante decir que no cualquier atacante estaría dispuesto o tiene los recursos y motivación suficiente para desarrollar un phishing dirigido bien elaborado, por lo cual recibir phishing dirigido tienen a darnos una idea de potenciales atacantes según sus capacidades.

Potenciales consecuencias

Cuando te adentras en el mundo del phishing dirigido, piensa en ello como si dejaras abierta la puerta de tu casa: las consecuencias pueden ser verdaderamente peligrosas.

  • Malware (Intervención de sistemas/dispositivos): Imagina que por error dejas entrar un robot que puede provocar estragos. Eso es el malware, un programa malicioso que se instala sin que te des cuenta, capaz de robar información, dañar tu sistema o monitorear tu actividad.
  • Perfilamiento: Los atacantes recogen pequeños pedazos de tu información personal y hábitos en línea. Usan esos detalles para construir un perfil detallado sobre ti, lo cual les permite personalizar aún más sus ataques.
  • Robo de credenciales de acceso: Como si alguien consiguiera las llaves de tu casa, correo, redes sociales… y entrara cuando quisiera. Es el robo de tus contraseñas y otros accesos.
  • Doxing: Imagina que alguien pone un anuncio gigante con tu información personal en la plaza del pueblo. Así es el doxing, la divulgación de datos sensibles, sin tu consentimiento.
  • Compromiso de la seguridad física: A veces, la información robada puede llevar a amenazas en el mundo real, como si dejaras un mapa hacia tu casa en la parada de autobús.
  • Pérdida de información sensible: Como si alguien entrara a tu casa y se llevara documentos importantes. Puedes perder información que comprometa campañas, personas o tus cuentas.
  • Impacto financiero directo: El phishing dirigido puede llevar al robo directo de dinero de tus cuentas o a transacciones no autorizadas.

Desafíos para la detección

Identificar el phishing dirigido presenta varios desafíos que pueden complicar la protección contra estos ataques personalizados. Primero, la explotación de la confianza es central; los estafadores se camuflan como colegas o amigos para engañarte. Este engaño se hace más insidioso con pretextos elaborados, creando historias convincentes que pueden persuadirte a actuar contra tu mejor juicio, por ejemplo, buscando ayuda de tu colectiva u organización. 

Además, la manipulación emocional juega con tus sentimientos, utilizando el miedo o la urgencia para nublar temporalmente tu pensamiento crítico. Además, estados emocionales como el estrés, la ansiedad o el duelo pueden disminuir nuestra vigilancia, haciéndonos más susceptibles a no cuestionar lo que normalmente nos parecería sospechoso.

Otro desafío es la suplantación de entidades legítimas, donde los correos imitan a organizaciones reales, y el uso de información pública recogida de las redes sociales para personalizar ataques. Esta personalización se vuelve aún más compleja con técnicas como el sondeo de información, donde interacciones inofensivas son usadas para recopilar datos que perfeccionen futuros ataques.

La explotación de eventos actuales añade una capa de urgencia, empujándote a actuar precipitadamente. Además, la constante variabilidad de tácticas —impulsadas a veces por avances en inteligencia artificial— demanda que nuestras estrategias de detección y prevención evolucionen y procuremos mantenernos al tanto de las novedades y cambios en el panorama.

¿Cómo protegerte de ataques de phishing?

Siete recomendaciones generales

1. Entrenarse: Practicar tus habilidades de detección es clave.

  • Shira.app: Imagina tener un entrenador personal para phising. Esta herramienta te ayuda a evaluar y entrenar tu capacidad para identificar ejercicios de phishing, especialmente en diferentes plataformas y diseñado para periodistas y personas defensoras de DD. HH.
  • Google Phishing Quiz: Pon a prueba tus conocimientos con este cuestionario interactivo con ejemplos increíbles de correo electrónico malicioso.

2. Sospechar: Siempre mantén una pizca de duda, especialmente con correos o mensajes que salen de la nada o que llevan un sentido de urgencia innecesaria. Piensa en ello como ese sexto sentido que te avisa cuando algo no huele bien. Observa:

  • Errores ortográficos y gramaticales: Los mensajes de phishing a menudo contienen errores obvios en la ortografía, gramática o diseño, que pueden ser señales de alerta.
  • Enlaces sospechosos: Los enlaces en el mensaje pueden parecer legítimos, pero al pasar el cursor sobre ellos (sin hacer clic), puedes ver una URL diferente o sospechosa.

    3. Abstenerse: Evita hacer clic en enlaces o descargar archivos adjuntos de correos inesperados. Es como esos carteles que dicen «No tocar» en un museo; mejor observa, pero no interactúes.

    4. Verificar: Antes de hacer clic en cualquier enlace o compartir información personal, haz una pausa y verifica. Confirma la fuente antes de tomar cualquier acción. Si un correo parece ser de tu banco, pero algo te parece raro, llama al banco o verifica con el remitente por otro canal. 

    Utiliza herramientas como URLScan.io, VirusTotal y ShouldIClick? para comprobar la seguridad de un enlace o de archivos sospechosos. Es como preguntar «¿quién eres y de dónde vienes?» antes de abrir la puerta.

    5. NUNCA entregar ciertos datos: Protege tus contraseñas, códigos de verificación y datos personales como si fueran tu tesoro más preciado. No los compartas, no importa cuán convincente sea la historia que te cuenten o si parece provenir de servicio técnico, esos códigos de seis dígitos no se comparten.

    6. Mantenerse al tanto: El mundo del phishing está siempre cambiando, así que mantenerte alerta es importante para identificar las técnicas maliciosas en diferentes momentos. Una fuente es Alerta phishing (de Protege.la): Mantente al tanto de las últimas campañas de phishing y aprende a protegerte. Es como tener un sistema de alerta temprana para las estafas digitales.

    7. Visualizar PDF sospechosos: En caso de requerir abrir archivos que estén potencialmente infectados por malware se puede utilizar “Danger Zone” para convertirlos a un formato libre de peligros. También puedes usar en tu Android Secure PDF Viewer, una aplicación que permite visualizar PDF de forma restricta y segura.

    ¡Caí en un ataque de phishing, ¿qué puedo hacer?

    Si ya has caído en las redes del phishing dirigido, no te preocupes, todavía hay pasos que puedes seguir para minimizar el daño:

    • Identifica la información comprometida: Reflexiona sobre qué información se comprometió y qué riesgos implica.
    • Documenta el incidente: Guarda copias de los mensajes de phishing, toma capturas de pantalla y anota todos los detalles cronológicos del incidente. Será útil para la investigación del caso y tomar medidas.
    • Cambia tus contraseñas: Si diste información de inicio de sesión, cambia las contraseñas de todas tus cuentas, especialmente si reutilizaste contraseñas (¡lo cual no se recomienda!).
    • Verifica tus cuentas: Revisa tus cuentas bancarias y de tarjetas de crédito en busca de actividad inusual. Si encuentras algo sospechoso, contacta de inmediato a tu banco.
    • Informa a tu organización y las autoridades: Reporta el incidente a la autoridad competente en tu país o una organización de confianza.
    • Alerta a tus contactos: Si los atacantes podrían haber tenido acceso a tu lista de contactos, avísales para que estén alerta y no caigan en la misma trampa.
    • Haz un análisis de malware: Ejecuta un software de seguridad confiable para verificar si tu dispositivo ha sido infectado con malware.
    • Mantente vigilante: Revisa tus cuentas regularmente en busca de actividad sospechosa.

    Apoyo en seguridad digital

    En caso de necesitar ayuda para realizar alguna de estas actividades puedes escribirnos a seguridad@socialtic.org

    Recuerda que la prevención y la respuesta rápida son esenciales en la lucha contra el phishing.

    Mantente alerta, utiliza las herramientas a tu disposición y nunca dudes en buscar ayuda cuando lo necesites. Al compartir lo que has aprendido, no solo te proteges, sino que también contribuyes a la seguridad de otras personas en la red.

    Con estas herramientas y conocimientos, podemos enfrentar los desafíos del phishing dirigido y seguir navegando por internet con confianza.

    Tabla de Contenido