Guía completa de medidas antiphishing

Blog

Descubra medidas integrales contra el phishing para proteger a su organización de las ciberamenazas en evolución. Aprenda estrategias, herramientas y buenas prácticas para mantenerse seguro.

por Milena Baghdasaryan

Tiempo de lectura: 6 min
Guía completa de medidas antiphishing
Índice-

El phishing es un ciberataque en el que los delincuentes se hacen pasar por entidades de confianza para robar información o datos. Se sabe que este tipo de ataques son más sofisticados y perjudican económicamente a las empresas. Según el informe 2024 Verizon Data Breach Investigations Report, el phishing es responsable del 36% de las violaciones de datos. IBM estima que el coste medio de un ataque de phishing es de 44,9 millones, una cifra conocida por ser una de las formas más caras de ciberdelincuencia.

Numerosos proveedores de buzones de correo y organismos reguladores prestan cada vez más atención a las medidas antiphishing y los mecanismos de defensa proactivos. La norma de seguridad de datos del sector de las tarjetas de pago (PCI DSS) v4.0, por ejemplo, incluye ahora requisitos antiphishing. Esta medida subraya el cambio que se está produciendo en la seguridad de los pagos a escala mundial y se alinea estrechamente con las normativas globales de CSC para mejorar la confianza de los clientes y la protección de datos más allá de las fronteras.

Puntos clave

  • Las medidas antiphishing son ahora un requisito de numerosas entidades y normas reguladoras, como la PCI DSS v4.0.
  • La aplicación eficaz de medidas antiphishing reduce al mínimo los riesgos financieros, de reputación y normativos. 
  • Entre las principales medidas contra el phishing figuran la formación de los empleados, el uso de protecciones técnicas y la autenticación del correo electrónico. 
  • La IA desempeña un papel cada vez más importante en la protección contra los ataques de phishing.

Entender el phishing 

El phishing es un ciberataque en el que los piratas informáticos engañan a las víctimas para que faciliten información confidencial. Lo hacen a través del correo electrónico, mensajes de texto, llamadas telefónicas y otros medios de comunicación. 

Entre las técnicas de phishing más comunes se encuentran las estafas por correo electrónico, los sitios web falsos, el phishing por SMS y el phishing por voz.

Estafas por correo electrónico

La mayoría de los ataques de phishing se realizan por correo electrónico. En un ataque de phishing por correo electrónico, los hackers suelen registrar un dominio falso muy similar al dominio oficial que utiliza una organización de confianza. Los hackers pueden utilizar la sustitución de caracteres, nombres de dominio de aspecto similar o falsificar el mismo dominio para engañar al destinatario.

Sitios web falsos 

Otra técnica común de phishing es el uso de sitios web falsos. Los piratas informáticos utilizan estos sitios web para robar las credenciales de inicio de sesión necesarias para acceder a sitios web legítimos. Los piratas informáticos envían un correo electrónico desde un nombre de dominio que parece legítimo, pero que en realidad es falso. El correo electrónico incluye un enlace malicioso. Si la víctima hace clic en este enlace, será conducida a una página de inicio de sesión en la que se le pedirá que introduzca datos confidenciales, como su nombre de usuario y contraseña. 

Phishing por SMS 

El phishing por SMS (también conocido como smishing) es un ataque común de ingeniería social en el que los piratas informáticos envían mensajes de texto falsos para engañar a los destinatarios y conseguir que descarguen programas maliciosos, envíen dinero o faciliten datos confidenciales. 

Suplantación de identidad por voz 

El phishing de voz (también conocido como vishing) es cuando los atacantes utilizan llamadas telefónicas para obtener información sensible. El vishing se diferencia de otros tipos de phishing en que los hackers se comunican con sus víctimas en lenguaje natural. 

¿Qué son las medidas antiphishing?

Las medidas antiphishing incluyen estrategias, técnicas y tecnologías destinadas a proteger a los usuarios de los ataques de phishing. Están diseñadas para detectar, bloquear y mitigar diversos tipos de phishing, al tiempo que sensibilizan a las comunidades técnicas y no técnicas por igual.

Panorama actual de las amenazas de phishing

El phishing es un método de ciberataque que los delincuentes utilizan para recibir información confidencial, como credenciales de inicio de sesión, datos de pago e información personal. Entre los proveedores de ataques se incluyen:

  • Phishing por correo electrónico: Conocido como correos electrónicos falsos de "marcas de confianza".
  • Spear Phishing: Ataques dirigidos utilizando información personal.
  • Smishing y Vishing: Se conocen como ataques a través de SMS y phishing de voz.
  • Clone Phishing: Correos electrónicos legítimos duplicados con enlaces maliciosos incluidos.

El phishing plantea un reto global a las empresas de comercio electrónico. Según la Oficina del Comisario de Información del Reino Unidodel Reino Unido, el 79% de las empresas declararon haber sufrido un ataque de phishing el año pasado, lo que pone de relieve la necesidad de concienciación en materia de ciberseguridad. Con la expansión transfronteriza de las empresas, el cumplimiento de normativas globales KYC es esencial, ya que los ataques de phishing pueden comprometer este cumplimiento y poner a las empresas en riesgo financiero.

La implantación de medidas antiphishing ya no es una opción, sino un requisito. PCI DSS v4.0, por ejemplo, ofrece ahora defensas proactivas dentro del requisito 5.4, que establece que las entidades pueden detectar y responder a los ataques de phishing. Este cambio puede ayudar a proteger entornos de pago que requieren tanto controles técnicos como la concienciación de los usuarios.

Por qué son importantes las medidas antiphishing:

  • Riesgo financiero: El pago medio por ransomware es de 1,5M$, y suele realizarse a través de phishing (Sophos, 2024).
  • Daño a la reputación: Más del 60% de los clientes pueden perder la confianza en una empresa tras una filtración de datos.
  • Presión normativa: El cumplimiento normativo, como GDPR, HIPAA y KYC global, exige marcos antiphishing más sólidos.

Este nuevo requisito anima a las empresas a aplicar las medidas de protección adecuadas para reducir cualquier posible pérdida de datos o ciberataque mediante la inclusión de estas medidas de prevención de la suplantación de identidad en las listas de comprobación del cumplimiento. 

Medidas básicas contra el phishing 

Se anima a las empresas a adoptar enfoques antiphishing que funcionen con herramientas técnicas, cambios de comportamiento y políticas organizativas. He aquí algunas medidas a tener en cuenta:

Métodos técnicos 

Los métodos técnicos incluyen filtros de correo electrónico, filtrado DNS y autenticación de correo electrónico. 

1. Garantías técnicas

Los sistemas automatizados pueden bloquear cualquier tipo de ataque de phishing antes de que llegue a los usuarios y a los sistemas en línea. 

  • Filtrado de correo electrónico: Utilice sistemas de correo electrónico impulsados por IA para ayudar a detectar y aislar cualquier tipo de mensaje sospechoso.
  • Autenticación multifactor (MFA): Exija MFA para todos los sistemas sensibles, como los basados en aplicaciones (Google Authenticator) o tokens de hardware (YubiKey).
  • Gestión de parches: Asegúrese de que los sistemas se actualizan para corregir las vulnerabilidades dando prioridad a las amenazas de día cero.

2. Protocolos de autenticación de correo electrónico

Aplique las siguientes normas para evitar la suplantación de identidad y garantizar la integridad del remitente:

  • SPF (Marco de directivas del remitente): Ayuda a validar las direcciones IP autorizadas a enviar correos electrónicos para un dominio.
  • DKIM (DomainKeys Identified Mail): Añade una firma criptográfica para ayudar a verificar la autenticidad del mensaje.
  • DMARC (autenticación de mensajes basada en dominios, informes y conformidad): Utiliza datos SPF y DKIM para ayudar a imponer el rechazo de mensajes no autenticados.

Métodos conductuales

Entre los métodos de comportamiento habituales se encuentran la formación de los empleados y los protocolos de información. 

1. Formación y sensibilización de los empleados

El phishing puede dirigirse a las personas, por lo que los equipos deben conocer la primera línea de defensa:

  • Estimular las pruebas de phishing: Asegúrate de que se realizan campañas trimestrales utilizando plataformas como KnowBe4 o Proofpoint.
  • Talleres: Enseñe al personal y a los equipos a detectar señales de alarma en los entornos de trabajo, como indicios, enlaces sospechosos o direcciones falsas.
  • Verificación: Anime a sus empleados a verificar cualquier comunicación inesperada y utilice herramientas de notificación fiables, como el botón "Informar de phishing" de Outlook.

2. Protocolos de notificación (por ejemplo, el botón "Denunciar phishing" de Outlook)

La mayoría de los proveedores de correo electrónico, incluidos Gmail, Outlook y otros, disponen de funciones de notificación integradas que le ayudarán a denunciar el phishing antes de que los piratas informáticos lleguen a miles de víctimas. Esto puede ser tan sencillo como utilizar el botón "Informar de phishing" de Outlook o informar al equipo de TI de su organización de cualquier patrón o comportamiento sospechoso. Participar en simulaciones y talleres de phishing también ayuda a los empleados a adquirir habilidades prácticas que pueden incluir como experiencia laboral en sus currículos.

Detección avanzada e integración de IA

Con los atacantes evolucionando sus estrategias, las defensas también deben evolucionar. Las nuevas herramientas aprovechan la IA, el aprendizaje automático y la detección en tiempo real para ayudar a detectar y bloquear los intentos de phishing con mayor eficacia. 

Aprendizaje automático y análisis del comportamiento

Plataformas como Darktrace analizan el comportamiento de los usuarios para ayudar a detectar cualquier anomalía, como las horas de inicio de sesión o el reenvío sospechoso de correos electrónicos. 

Detección en tiempo real

TensorFlow de Google ayuda ahora a Gmail a escanear miles de millones de correos electrónicos al día y a detectar enlaces y archivos adjuntos maliciosos en cuestión de segundos. 

Análisis forense visual y de metadatos

  • Análisis de cabeceras de correo electrónico: Revisa las direcciones "De", responde a cualquier desajuste y las cadenas de redireccionamiento.
  • Supervisión del comportamiento del usuario: Señala descargas no autorizadas, busca patrones extraños y movimientos rápidos de archivos, que son signos de cuentas comprometidas.

Intercambio de información sobre amenazas

Únase a los Centros de Análisis e Intercambio de Información (ISAC) o a plataformas como MISP, que ofrecen información sobre indicadores de phishing y ayudan a mejorar las defensas. 

Estudio de caso: MGM Resorts (2023)

En 2023, MGM Resorts sufrió un peligroso ataque basado en phishing. Los piratas informáticos utilizaron la ingeniería social para obtener acceso interno a archivos e información y, a continuación, desplegaron un ransomware. ¿El resultado?

MGM Resorts sufrió una semana de paradas, cortes de servicio y pérdidas de 100 millones de dólares. 

Las lecciones aprendidas:

  • La falta de formación de los empleados y de AMF dejó a los empleados y a los sistemas vulnerables debido a la falta de conocimientos 
  • DMARC y la supervisión podrían haber detectado antes cualquier actividad o acceso malintencionado.
  • Unas herramientas antiphishing completas podrían haber ayudado a evitar el ataque inicial. 

Palabras finales

El phishing no es sólo una molestia, sino una amenaza de alto nivel para los datos financieros, la reputación y el cumplimiento de la normativa. La inclusión de medidas contra el phishing en la norma PCI DSS v4.0 y en otros requisitos de cumplimiento de la normativa mundial refleja la necesidad de que las empresas adopten una postura proactiva en materia de seguridad. 

Combinando la formación de los empleados, las defensas técnicas y la inteligencia global sobre amenazas, las empresas pueden cumplir las normas de conformidad adecuadas y, además, estar al tanto para crear pagos seguros e pago y nómina seguras..

La seguridad es un aspecto importante, con el aumento de las tácticas de phishing, la vigilancia continua y la adaptación son los únicos caminos a seguir.

CTA

Últimos mensajes de Milena Baghdasaryan (ver todos)
¿Qué es el Email Spoofing?RFC 5322DKIM Domain Alignment Failures - RFC 5322 Correcciones