El phishing por correo electrónico es un tipo de ataque de phishing en el que los delincuentes informáticos utilizan un mensaje de correo electrónico para engañar a sus objetivos. Habitualmente, los responsables de estos ataques crearán nombres de dominio falsos que se asemejen mucho a los de organizaciones legítimas de confianza. Por ejemplo, un correo electrónico de phishing podría provenir de un dominio como “paypa1.com”,en lugar del auténtico “paypal.com”;o podría utilizar un subdominio para parecer convincente, como “support.apple.com.fake.com”. Estos detalles, que los atacantes enmascaran con una amplia variedad de técnicas, suelen pasarle inadvertidas a la víctima, por lo que el mensaje parece más creíble.
El phishing selectivo forma parte de un ataque centrado en determinadas personas, en vez de lanzarse una amplia red mediante correos electrónicos masivos. Armados con detalles como el nombre de la víctima, su lugar de trabajo, su puesto y, a veces, hasta muestras de sus correos electrónicos, los atacantes personalizan sus mensajes para que parezcan más auténticos. El phishing selectivo es una buena táctica dentro de ataques coordinados para vulnerar las defensas de una empresa. Es particularmente peligroso dado su enfoque personalizado, que lo hace más difícil de detectar que los correos electrónicos masivos de phishing.
El smishing (phishing por SMS) utiliza mensajes SMS para engañar a sus víctimas y conseguir que revelen información confidencial. Estos SMS fraudulentos suelen hacerse pasar por empresas conocidas como Amazon o FedEx y redactan el mensaje como una alerta o notificación urgente.
El phishing de redes sociales se ha convertido en terreno abonado para este tipo de ataques. Los estafadores aprovechan la mensajería de plataformas como WhatsApp, Facebook, Twitter o LinkedIn para enviar enlaces de phishing o solicitar información confidencial. Estos intentos de phishing suelen disfrazarse de consultas de servicios al cliente o notificaciones de la propia red social.
El compromiso del correo electrónico empresarial (BEC) es también una forma de phishing selectivo con el objetivo de defraudar a las empresas, a las que cuesta miles de millones al año, siguiendo estrategias como facturas falsas, fraudes del director ejecutivo, compromiso de la cuenta de correo electrónico (EAC), suplantación de abogados o robo de datos y mercancías.
Los ataques de apropiación de cuentas (ATO) implican que los delincuentes informáticos hayan obtenido acceso a las credenciales mediante phishing y utilicen las cuentas comprometidas para cometer otros fraudes o robar datos.
El vishing (phishing de voz) emplea llamadas telefónicas para que el interlocutor les revele información confidencial.
La caza de ballenas (contra personas de alto perfil) se basa en una exhaustiva investigación de sus víctimas y la elaborada redacción de mensajes de correo electrónico personalizados para engañarlas y que autoricen grandes transacciones o divulguen información confidencial.
El pharmingredirige a los usuarios de un sitio web legítimo a otro fraudulento, lo que frecuentemente consigue aprovechando vulnerabilidades del sistema de nombres de dominio (DNS).
Otros tipos de ataques son el phishing de clonación, que duplica correos electrónicos legítimos y reemplaza sus enlaces o archivos adjuntos por otros maliciosos;el phishing evil twin, que configura redes Wi-Fi falsas para interceptar datos;el phishing de HTTPS, que oculta sitios web maliciosos tras un protocolo HTTPS seguro;el phishing de ventanas emergentes, que engaña a sus víctimas haciendo aparecer ventanas emergentes de sitios web falsos;los ataques man-in-the-middle, que interceptan las comunicaciones online y pueden incluso alterarlas; yel phishing de aplicaciones de mensajería, que utiliza populares aplicaciones de mensajería, como WhatsApp, Telegram o Vibe, para engañar a los usuarios y que revelen información confidencial.
Los ataques de phishing presentan diversas formas, cada una de las cuales se basa en diferentes medios y técnicas para engañar a personas u organizaciones. La vigilancia, la concienciación y las medidas de seguridad informática son cruciales para atajar estas tácticas de phishing en permanente evolución.