Fishing: qué es y cómo proteger a tu empresa

 
El 91% de las empresas tuvo el riesgo de sufrir un ataque de 'phishing' (suplantación de identidad) en 2023, siendo esta la mayor amenaza de ciberseguridad para las compañías, según el informe 'Las 10 principales amenazas para la ciberseguridad en 2023', Pero este año se estima, que aumente el riesgo, todavía más, de sufrir un ataque de fishing. 

El fishing es una de las amenazas más comunes y peligrosas que enfrentan las empresas en el ámbito de la ciberseguridad; consiste en obtener información sensible de las personas mediante engaños, como sus claves de acceso o sus datos bancarios. 

¿Qué es el fishing?  

El término fishing proviene de la palabra inglesa fishing, que significa pescar, esto hace referencia a la técnica que utilizan los ciberdelincuentes para lanzar anzuelos (correos electrónicos, mensajes, llamadas, etc.) y esperar a que alguien muerda el cebo. El fishing es la forma más sencilla del ciberataque, pero al mismo tiempo, la más peligrosa y efectiva. 

El fishing se basa en la suplantación de identidad, es decir, en hacerse pasar por una persona o entidad legítima, como un banco, una empresa, una administración pública, un amigo, un familiar, etc. El objetivo es generar confianza en la víctima y persuadirla para que realice alguna acción que le perjudique, como facilitar sus datos personales o financieros, acceder a un sitio web fraudulento, descargar un software malicioso, etc. 

El fishing se suele realizar a través de medios electrónicos, como el correo electrónico, las redes sociales, las aplicaciones de mensajería, las llamadas telefónicas, etc. El contenido del mensaje suele ser urgente, alarmante o tentador, para crear una sensación de necesidad o curiosidad en el receptor y motivarle a hacer clic en el enlace o el archivo adjunto. 

Tipos de fishing  

• Fishing generalizado: Es el más simple y masivo. Consiste en enviar el mismo mensaje a un gran número de destinatarios, sin personalizarlo ni dirigirlo a un perfil concreto. Se basa en la probabilidad de que alguno de ellos caiga en la trampa. Por ejemplo, un correo electrónico que simula ser de una empresa de paquetería y que solicita confirmar los datos de envío de un supuesto pedido. 
• Spear fishing: Es un fishing más sofisticado y dirigido. Consiste en enviar mensajes personalizados a un grupo reducido de destinatarios, que suelen tener algún rasgo en común, como pertenecer a la misma empresa, sector, país, etc. Se basa en la investigación previa de las víctimas potenciales, para adaptar el contenido del mensaje a sus intereses, necesidades o hábitos. Por ejemplo, un correo electrónico que simula ser de un proveedor o cliente y que solicita revisar un documento adjunto relacionado con un proyecto o contrato. 
• Whaling: Es un fishing muy específico y selectivo. Consiste en enviar mensajes dirigidos a personas con un alto nivel de responsabilidad o influencia dentro de una organización, como directivos, ejecutivos, gerentes, etc. Se basa en la suplantación de identidad de una persona de confianza o autoridad, como un socio, un asesor, un auditor, etc. El objetivo es obtener información estratégica, financiera o corporativa, o inducir a la víctima a realizar una transferencia de dinero o una autorización de acceso. Por ejemplo, un correo electrónico que simula ser del director financiero y que solicita realizar un pago urgente a una cuenta bancaria. 
• Vishing: Es un fishing que se realiza a través de llamadas telefónicas. Consiste en contactar con la víctima por teléfono y hacerse pasar por una persona o entidad legítima, como un banco, una empresa, una administración pública, etc. El objetivo es obtener información personal o financiera, o convencer a la víctima para que realice alguna acción que le perjudique, como acceder a un sitio web fraudulento, descargar un software malicioso, etc. Por ejemplo, una llamada que simula ser de la seguridad social y que solicita confirmar el número de la tarjeta sanitaria. 
• Pharming: Es un fishing que se realiza a través de la manipulación del sistema de nombres de dominio (DNS). Consiste en redirigir el tráfico de una página web legítima a una página web falsa, que imita el diseño y el contenido de la original. El objetivo es engañar a los usuarios que acceden a la página web legítima y obtener sus datos personales o financieros, o infectar sus dispositivos con software malicioso. Por ejemplo, una página web falsa que simula ser la de un banco y que solicita introducir las credenciales de acceso

Casos y estadísticas de pishing en 2023  

El fishing es un fenómeno global que afecta a millones de personas y organizaciones cada año, siendo España el tercer puesto en el ranking mundial de países más afectados por el pishing. Según el informe de la empresa de ciberseguridad Proofpoint, el fishing aumentó un 14% en 2023, alcanzando un total de 5,7 millones de ataques detectados. Además, el fishing se volvió más sofisticado y diversificado, utilizando diferentes canales, técnicas y objetivos. 

Algunos de los casos más relevantes de pishing en 2023 fueron:

• Blockchain Chainalysis, la plataforma de datos, estima que las estafas a través de phishing en 2023 han sustraído más de 374 millones de dólares en estafas de criptomonedas. 
• Varias webs gubernamentales (una de ellas el Ministerio de Hacienda) tuvieron ataques en cadena, y suplantaron a la  Agencia Tributaria a través de pishing para conseguir información mediante una supuesta actualización de los datos de pago para recibir la ayuda del Estado de 200 euros. La Agencia Tributaria fue la más suplantada por falsas incidencias en las declaraciones de la renta.  
• Los Juegos Olímpicos de Japón enfrentaron 450 millones de ataques cibernéticos a su infraestructura. 
• Según las estimaciones, se dan unos 1.250 ataques cada siete días y solo Estados Unidos y Rusia superan este número. 
• Se suplantó la identidad de BBVA, Santander y WiZink.  
• La compañía aérea Air Europa, en octubre sufrió un ciberataque y se filtraron los datos de tarjetas de créditos asociadas a las compras de billetes de muchos clientes. 

¿Cómo proteger a tu empresa del fishing?  

Según el informe Gartner, un 88% de las empresas experimentaron problemas para implementar medidas efectivas de ciberseguridad en el ámbito del trabajo remoto. Por lo que para proteger a tu empresa del fishing y otras amenazas informáticas, es fundamental contar con un servicio de ciberseguridad profesional y eficaz, que te ofrezca las mejores soluciones y herramientas para prevenir, detectar y responder a los ataques. 

El Security Awareness Service de Kyocera es un servicio de ciberseguridad, que te ayuda a mejorar la concienciación y la formación de tus empleados, a través de cursos online, simulaciones de ataques, informes de resultados y recomendaciones de mejora. 

• Evaluar el nivel de conocimiento y riesgo de tus empleados: El servicio realiza una evaluación inicial de tus empleados, mediante un cuestionario online, que mide su grado de conocimiento y sensibilización sobre las buenas prácticas de ciberseguridad. Además, el servicio realiza simulaciones periódicas de ataques de fishing, que miden el comportamiento y la reacción de tus empleados ante mensajes fraudulentos. 
• Formar y educar a tus empleados: El servicio ofrece una plataforma online de formación continua, que contiene cursos, vídeos, artículos y recursos sobre ciberseguridad, adaptados al nivel y al perfil de cada empleado. Los contenidos son dinámicos, interactivos y actualizados, y abordan temas como el fishing, el ransomware, el malware, las contraseñas, el wifi, el teletrabajo, etc. 

Contáctanos para más información: