Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Principales formas de estafa a través del email: phishing más comunes

Fecha de publicación 10/05/2023
Autor
INCIBE (INCIBE)
Tarjeta en un teclado

En un   informe publicado en 2023 por la empresa de software de ciberseguridad japonesa Trend Micro, se afirma que el 91 % de las empresas es susceptible de sufrir un ataque de phishing. Por tanto, se deduce que la suplantación de identidad se encuentra a la orden del día en el mundo digital.

Esta práctica, la cual consiste en el robo de información sensible y/o credenciales a través de la falsificación de identidad, tiene múltiples formas y variantes.

Phishing más comunes. Presta atención para no ser “pescado”

A continuación, veremos una serie de modalidades de estos ataques de phishing, las cuales se encuentran muy presentes en la actualidad del cibercrimen: 

Phishing fraude de la Agencia Estatal de Administración Tributaria (AEAT)

Durante el período de la declaración de la renta entre abril y junio, durante los meses previos y la temporada habilitada se puede apreciar un auge de esta modalidad de phishing. Se trata de una campaña de correos maliciosos que tratan de suplantar a la Agencia Tributaria, con el objetivo de obtener las credenciales de acceso del usuario a través de una página fraudulenta que suplanta a la legítima, o trata de infectar su dispositivo. 

Existen variaciones en las cuales puede cambiar el cuerpo del correo o el asunto del mismo.

Ejemplo phishing AEAT

En esta línea, existe una modalidad de smishing, es decir, suplantación de identidad vía SMS, mediante la cual se notifica al usuario de que ha sido seleccionado para recibir una devolución de dinero.

smishing AEAT

Si el usuario abre el enlace adjunto en el mensaje de texto accederá a una página en la que deberá introducir su cuenta bancaria, con pin incluido. Esto hará que los ciberatacantes obtengan las credenciales de la víctima. Así pues, se recomienda prestar atención a esta posible modalidad.

Se recomienda sospechar de este tipo de inicio de sesión, dado que la Agencia Tributaria nunca empleará la modalidad de correo electrónico y contraseña. En caso de que el usuario los introduzca, estos quedarán en manos de los ciberdelicuentes.

Phishing Bussines Email Compromise

El BEC o correo electrónico corporativo comprometido es una modalidad de phishing que sigue el esquema de la ilustración. Consiste en un fraude contra empresas que realizan transferencias digitales de dinero.

Diagrama correo electrónico corporativo comprometido

La causa de este engaño puede ser, o bien que la cuenta de correo del usuario de la empresa esté comprometida, o bien que sea la del proveedor. Sea como sea, uno de los dos interlocutores ha sufrido una intercepción ilegítima la cual ha afectado a ambas partes y solo ha beneficiado a un agente externo: el ciberdelincuente.

Phishing fraude del CEO

En esta modalidad de phishing se percibe que un empleado de alto rango con capacidad para realizar transferencias o acceder a los datos de las cuentas, recibe un correo de su supuesto superior, bien el CEO, presidente o director de la empresa. En dicho mensaje se le pedirá ayuda para realizar una operación financiera de carácter urgente y confidencial.

Si el usuario no detecta que se trata de una suplantación de identidad, podría responder al correo revelando datos de extrema sensibilidad.

Los ciberatacantes explotarán determinados factores para dotar de mayor credibilidad al engaño, tales como aprovechar periodos en los que el verdadero jefe esté ausente o no disponible por una reunión o viaje, acrecentando así la posibilidad de que la víctima no pueda verificar la autenticidad.

Se trata de un tipo de suplantación de identidad que emplea técnicas de ingeniería social, lo cual requerirá que los empleados estén bien concienciados para no picar en el engaño. Se le conoce como whalling, ya que es un tipo de phishing dirigido a peces gordos.


 phishing CEO

Phishing fraude de empresas de mensajería

La siguiente modalidad consiste en una campaña de correos fraudulentos que tratan de suplantar a empresas de mensajería. El ciberdelincuente emplea un correo señuelo el cual tiene como asunto «Re: su número de envío (x) está pendiente». En el cuerpo se informa al usuario de que su paquete no ha podido ser entregado por dirección incorrecta y se han de pagar los costos del envío.

Phishing Correos

A través de un cuerpo de correo similar al de la ilustración, se incitará al usuario a realizar el pago en cuestión, el cual consistirá en una cantidad poco significativa. Esto aumenta las posibilidades de que la víctima pique. Si esta hace clic en el enlace para pagar e introduce sus datos bancarios, estos serán sustraídos, dado que se trata de un enlace malicioso.

Phishing fraude de entidades bancarias

Se trata de una modalidad la cual consiste en una campaña de correos electrónicos fraudulentos que suplantan a entidades bancarias, cuyo objetivo es dirigir al usuario a una web fraudulenta con el objetivo de obtener sus credenciales de acceso e información bancaria.

En el ejemplo del banco BBVA, los ciberdelincuentes elaboran un correo con el asunto «Confirme sus datos», en cuyo cuerpo encontramos una solicitud aparentemente legítima en la cual se insta al usuario a actualizar sus datos de inicio de sesión.


phishing BBVA

Como se puede apreciar en la ilustración, los ciberdelincuentes emplean una dirección de remitente muy similar a la original, aumentando así las posibilidades de que la víctima no se fije.

Conclusiones: el phishing se crea, pero no se destruye, solo se transforma

En base a lo desarrollado anteriormente, podemos afirmar que existen infinitas posibilidades para que los ciberdelincuentes lleven a cabo sus campañas de suplantación de identidad. Con el paso del tiempo estas se vuelven más sofisticadas y aumentan las posibilidades de caer en ellas.

Se puede observar que las argucias de los criminales se adaptan a las necesidades de los usuarios, es decir, dependiendo de la época del año, abundan unas modalidades de phishing u otras. Por tanto, se puede decir que los ciberdelincuentes se mimetizan con los acontecimientos temporales y sociales.

Los empleados deberán estar atentos a estos phishing más comunes para no elevar la cifra de usuarios afectados. Por su parte, a autónomos y empresas que trabajen mediante BYOD se les recomendará estar especialmente alerta. Trabajar con dispositivos personales aumenta exponencialmente el riesgo de sufrir brechas de seguridad en las empresas.

Se recomienda prestar atención a los emails recibidos para no ser víctimas de un ataque de tipo phishing. A continuación, se expone el siguiente checklist con una serie de pautas para prevenir de este tipo de ataques:


Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o del formulario de contacto (seleccionando la opción de usuario de empresa o profesional) que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).