El phishing sigue ocasionando problemas. Lejos de quedar en el pasado, esta técnica de ingeniería social que consiste en atacantes que engañan a usuarios haciéndose pasar por entidades confiables para obtener información personal, como contraseñas o datos financieros, se reformuló y adoptó nuevas formas. De hecho, algunas cifras indican que el volumen de estafas de este tipo está aumen-tando. En 2022 APWG registró 4,7 millones de ataques de phishing, un incre- mento considerable contra los 780 mil de 2019. Y en el segundo trimestre de 2023, la consultora Statista detectó alrededor de 1,28 millones de sitios de phishing únicos en todo el mundo.
Un estudio de 2023 indica que las estafas de phishing representaban casi el 36% de todas las filtraciones de datos. Y según otra investigación, el 71% de todas las empresas experimentaron un ataque de phishing exitoso en ese mismo año.
Estos indicadores demuestran que el phising continúa siendo una de las principales herramientas que utilizan los atacantes para acceder de forma no autorizada a las infraestructuras informáticas y a los datos críticos de las personas y las empresas.
Por ejemplo en 2023 según un relevamiento el 43% de todos los ataques exitosos orientados a organizaciones emplearon ingeniería social, y el 79% de ellos se canalizaron a través de correo electrónico, SMS, redes sociales y aplicaciones de mensajería.
Este tipo de ataques no solo generan daños a la reputación de las organizaciones, sino que también pueden causar importantes pérdidas económicas derivadas del robo de información y datos confidenciales.
Actualmente los tres objetivos principales de los ataques de phishing incluyen:
No obstante lo antedicho, según un estudio en el 50% de los casos los enlaces de phishing todavía suelen conducir a páginas falsas para la introducción de datos. Y el correo electrónico sigue siendo el canal más común para enviar mensajes maliciosos (92% de los casos), aunque las aplicaciones de mensajería y las redes sociales se usan cada vez más para canalizar estos ataques.
Nuevas modalidades
El phishing fue evolucionado desde simples estafas por correo electrónico hasta métodos sofisticados que involucran inteligencia artificial (IA), redes sociales y plataformas móviles.
Las nuevas versiones buscan explotar la psicología y la confianza humanas. De esta manera fueron surgiendo modalidades como el spear phishing, en la que los atacantes emplean meticulosas técnicas de investigación para recopilar información sobre sus objetivos y crean correos electrónicos altamente sofisticados y personalizados. Otra clase de phishing novedosa es la “caza de ballenas”, que se dirige a ejecutivos de alto nivel y está diseñado “para explotar la autoridad y el acceso y los privilegios que poseen estos individuos”; en estas estafas los atacantes pueden hacerse pasar por colegas, socios comerciales o autoridades reguladoras.
En paralelo surgieron otras modalidades como el phishing móvil, por SMS (smishing) y de voz (vishing); también apareció el phishing a través de motores de búsqueda y en redes sociales.
Otra tendencia cada vez más vista es que los ciberdelincuentes crean correos electrónicos y mensajes engañosos que imitan comunicaciones legítimas de proveedores de servicios en la nube. E incluso empezaron a aparecer casos de phishing en Internet de las cosas (IoT), aprovechando que estos dispositivos suelen carecer de funciones de seguridad sólidas.
Panorama actual y futuro
Actualmente en los mercados oscuros se venden cada vez más kits de phishing ya listos para preparar y ejecutar ataques de esta naturaleza. Y también avanza el modelo el phishing como un servicio subcontratado.
Algunos analistas entienden que la dirección principal de la evolución del phishing es la automatización de la preparación y ejecución de ataques utilizando herramientas de inteligencia artificial (por ejemplo para mantener diálogos relevantes con sus objetivos, generar mensajes de phishing convincentes y crear falsificaciones de voces, imágenes y videos”.
El uso de inteligencia artificial (IA) en las estafas de phishing está en auge y permite a los delincuentes analizar grandes volúmenes de datos y obtener información sobre los estilos y preferencias de comunicación personal. De esta forma elaboran mensajes súper personalizados que parecen muy realistas. Al mismo tiempo los atacantes utilizan cada vez más la tecnología deepfake para crean audios y videos falsos y convincentes y hacerse pasar por personas de confianza.
Desde Plusmobile instamos a las organizaciones a permanecer alertas a este tipo de amenazas y a concientizar al personal sobre las nuevas formas que están adoptando estos ciberataques.
