Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

TemáTICas Phishing

Imagen de cabecera de la tematica phishing

Uno de los fraudes más conocidos y extendidos por la Red. Se trata de un engaño basado, generalmente, en la suplantación de una empresa o entidad de confianza y reconocida, como puede ser una entidad bancaria, una red social, una empresa energética, una compañía telefónica o un organismo público. El objetivo de los ciberdelincuentes que lanzan este tipo de ataques es hacerse con claves de acceso o información sensible, como pueden ser datos fiscales o bancarios.

Índice de contenidos

  1. ¿Qué es un phishing?
  2. ¿Cómo identificar una campaña de phishing?
  3. La importancia del factor humano
  4. Entrenamiento antiphishing

¿Qué es un phishing?

Los phishing son un tipo de fraude que se comete generalmente a través del correo electrónico, aunque pueden utilizar otros medios, como mensajes SMS (smishing), redes sociales, aplicaciones de mensajería instantánea o llamadas telefónicas (vishing), y cuyo objetivo principal es robar información confidencial y credenciales de acceso. Los ciberdelincuentes para engañar a las víctimas suelen suplantar la identidad de empresas y organizaciones reconocidas, comúnmente aquellas de las que pretenden robar la información, como por ejemplo, entidades bancarias o públicas, empresas del sector energético o de logística, etc.

Los ciberataques de tipo phishing contienen en el cuerpo del mensaje un enlace que lleva a una página web fraudulenta, generalmente con la misma estética que la página web legítima a la que intenta suplantar (web spoofing). En dicha web se solicita la información confidencial que los ciberdelincuentes desean sustraer, generalmente información personal, credenciales de acceso e información financiera. Para ofrecer más veracidad al fraude, la web fraudulenta suele utilizar un nombre de dominio similar al legítimo, siempre buscando como objetivo que las potenciales víctimas caigan en el engaño.

Una vez que la víctima del ataque ha facilitado toda la información que los ciberdelincuentes le solicitan, suele ser redirigida a la página web legítima de la empresa suplantada, con el fin de que el fraude pase el mayor tiempo desapercibido, hasta que la víctima se da cuenta y denuncia el hecho.

Phishing: no muerdas el anzuelo

Phishing: no muerdas el anzuelo

Blog

Una de las amenazas de ciberseguridad más frecuentes en las pymes es el phishing. El término phishing viene del inglés fishing, que se pronuncia igual, y que significa pescar.

>Busca otro al que engañar, yo no voy a picar

Busca otro al que engañar, yo no voy a picar

Blog

Aprende a identificar los correos maliciosos denominados phishing en los que los delincuentes suplantan la identidad legítima de una entidad para conseguir datos confidenciales.

Campaña de correos fraudulentos suplantando al Tribunal de Cuentas

Campaña de correos fraudulentos suplantando al Tribunal de Cuentas

Avisos de seguridad

El Tribunal de Cuentas ha informado sobre una campaña de correos electrónicos fraudulentos suplantando la identidad del mismo, con el objetivo de obtener información confidencial de las empresas.

Una campaña de phishing suplanta a DHL solicitando un pago para entregar un paquete falso

Campaña de phishing suplantando a servicios de paquetería

Avisos de seguridad

Recientemente se ha detectado una campaña de phishing suplantando a la empresa de paquetería DHL a través del correo electrónico.

Detectada campaña de phishing suplantando al Banco Santander

Múltiples campañas de phishing que afectan al Banco Santander

Avisos de seguridad

Se han detectado en las últimas horas múltiples campañas de envío de correos electrónicos fraudulentos de tipo phishing que tratan de suplantar a la entidad financiera Banco Santander. En dichos correos se utiliza como excusa el realizar un proceso de verificación o actualización de datos para evitar el bloqueo o suspensión de la cuenta.

¿Cómo identificar una campaña de phishing?

Las campañas fraudulentas de tipo phishing suelen contar con varios factores comunes que, gracias a su identificación, es posible detectarlas y evitar que puedan afectar a la seguridad de la empresa:

  • Analizar el remitente. Los correos de tipo phishing en ocasiones contienen remitentes que no coinciden con la organización a la que supuestamente representan. Este es el primer indicador que ha de comprobarse. En otras ocasiones, los ciberdelincuentes utilizan la técnica email spoofing, que consiste en falsear el remitente, haciendo que parezca proceder de la entidad legítima cuando en realidad no es así.
  • Generar sensación de urgencia. las que tendrán que hacer frente a no ser que sigan las instrucciones que facilitan, siendo generalmente estas acceder a una página web fraudulenta e introducir información confidencial. Los ciberdelincuentes suelen utilizar como ganchos la cancelación del servicio o cuenta, multas, sanciones por no acceder en tiempo y forma, etc. Durante la pandemia provocada por el COVID-19 los ciberdelincuentes se han adaptado para utilizar señuelos basados en esta temática y cualquier aspecto que pudiera englobarla, como los ERTE o ayudas gubernamentales.
  • Enlaces falseados. Los enlaces suelen aparentar que corresponden a la web legítima o sencillamente contienen un texto haciendo referencia a que sea seleccionado o “clicado”. Para comprobar a dónde apunta realmente el enlace, se puede situar el ratón encima, y ver el cuadro de diálogo que figura en la parte inferior de la pantalla con la verdadera dirección, o utilizar herramientas online.
  • Comunicaciones impersonales. Las comunicaciones de entidades legítimas suelen referirse a su destinatario utilizando nombre y apellidos. Por el contrario, los ciberdelincuentes no suelen conocer esos datos personales, por lo que las comunicaciones son impersonales.
  • Errores ortográficos y gramaticales. Una auténtica comunicación de cualquier entidad no contendrá errores ortográficos o gramaticales, ya que la comunicación con sus clientes es un aspecto muy cuidado.
¿Dudas sobre la legitimidad de un correo? Aprende a identificarlos

¿Dudas sobre la legitimidad de un correo? Aprende a identificarlos

Blog

A veces recibimos correos en los que podemos dudar de la legitimidad del remitente. En este artículo te mostramos las pautas necesarias para distinguir los correos fraudulentos.

Glosario de términos de ciberseguridad: una guía de aproximación para el empresario

Glosario de términos de ciberseguridad: una guía de aproximación para el empresario

Guías

En este glosario encontrarás una explicación sencilla para los términos técnicos utilizados en los artículos del blog de la sección Protege tu empresa.

La importancia del factor humano

Los empleados son fundamentales para prevenir este tipo de fraudes, ya que son ellos quienes gestionan las herramientas de la empresa que utilizan los ciberdelincuentes para perpetrar este tipo de fraude, como el correo electrónico, aplicaciones de mensajería instantánea, dispositivos móviles, etc. Por ello, es fundamental que cuenten con los conocimientos necesarios para identificar este tipo de campañas maliciosas y poder adoptar las medidas oportunas para no caer en la trampa.

Luchando contra la ingeniería social: el firewall humano

Luchando contra la ingeniería social: el firewall humano

Blog

A la hora de implementar medidas de ciberseguridad en una empresa, no todas son tecnológicas. Se requiere del compromiso de todo el personal para constituir un firewall humano.

Ingeniería social: técnicas utilizadas por los ciberdelincuentes y cómo protegerse

Ingeniería social: técnicas utilizadas por los ciberdelincuentes y cómo protegerse

Blog

La ingeniería social es una de las técnicas más utilizadas por los ciberdelincuentes para atacar las organizaciones, te explicamos qué es y cómo proteger tu empresa de esta técnica.

Concienciación y formación. Políticsa de seguridad para la pyme

Concienciación y formación. Políticas de seguridad para la pyme

Políticas de seguridad para la pyme

Nada más importante que conocer los riesgos para poder evitarlos: ¡enseña para prevenir!

Entrenamiento antiphishing

Una de las mejores formas que existen para aprender a identificar ciberataques de tipo phishing es entrenar a los empleados mediante campañas especialmente diseñadas para ello, sin riesgo de comprometer información confidencial. Para ello, en nuestro kit de concienciación te recomendamos el uso de la herramienta Gophish. Además, dispones de un completo manual con los pasos necesarios para llevar a cabo el entrenamiento.

Kit de concienciación

Kit de concienciación

Kit de concienciación

Posters, trípticos, videos, presentaciones, consejos y simulación de ataques dirigidos , todo gratis para formar y concienciar a tus empleados sobre ciberseguridad.