El phishing es uno de los tipos de ciberataques más utilizados en México y en el mundo para robar datos personales y financieros. En este tipo de ataques, los ciberdelincuentes suelen utilizar ingeniería social para engañar a los usuarios y hacer que les entreguen información sensible, como contraseñas, números de identificación o datos bancarios. 

En este artículo de VIRMAR Ciberseguridad, te decimos cuáles son las tácticas de phishing más comunes y qué marcas e instituciones suelen ser blanco de estos ataques en México.

Tácticas utilizadas para hacer phishing

El phishing puede tomar diversas formas, pero la mayoría de los ataques comparten una característica en común: la suplantación de identidad. Los ciberdelincuentes imitan la apariencia de instituciones legítimas para engañar a los usuarios y obtener acceso a su información privada.

Suplantación de sitios web oficiales

Una de las tácticas más comunes en los ataques de phishing es la creación de sitios web falsos que imitan a los originales. Estos sitios suelen parecer idénticos a los portales oficiales de instituciones financieras, comercios en línea o plataformas de redes sociales. 

Los atacantes envían enlaces a estos sitios falsos a través de correos electrónicos, mensajes de texto o redes sociales, esperando que los usuarios ingresen sus credenciales, que luego son robadas.

Mensajes de texto y WhatsApp falsificados

Otra técnica popular en México es el uso de mensajes de texto y WhatsApp para llevar a cabo ataques de phishing. Los ciberdelincuentes envían mensajes que parecen venir de compañías de telecomunicaciones, bancos o instituciones gubernamentales, solicitando información personal o incitando a descargar una aplicación maliciosa. Este tipo de mensajes suelen incluir enlaces acortados, lo que dificulta a los usuarios identificar la fuente real del mensaje.

Correos electrónicos fraudulentos

Los correos electrónicos fraudulentos son una táctica clásica de phishing. Suelen parecer comunicaciones legítimas de bancos, proveedores de servicios o incluso del gobierno. 

Estos mensajes contienen enlaces a sitios web falsos o archivos adjuntos maliciosos que, al ser abiertos, instalan software malicioso en el dispositivo de la víctima. Un signo de advertencia de este tipo de correos es el uso de lenguaje urgente, como puedes observar en los ejemplos de la siguiente sección. 

Marcas o instituciones más utilizadas para hacer phishing

Los ciberdelincuentes suelen imitar a instituciones de confianza para aumentar las probabilidades de que sus víctimas caigan en la trampa. En México, las marcas más suplantadas pertenecen principalmente al sector financiero, a organismos gubernamentales y a empresas de telecomunicaciones.

Entidades financieras

Los bancos y otras entidades financieras son uno de los blancos preferidos de los ataques de phishing. Los atacantes imitan correos electrónicos o mensajes de texto de bancos conocidos solicitando que los usuarios actualicen su información o verifiquen actividades sospechosas en sus cuentas. Una táctica común es dirigir a las víctimas a sitios falsos donde se les pide ingresar sus credenciales bancarias.

Ejemplo de phishing relacionados con entidades financieras

Este es un ejemplo de correo fraudulento donde el gancho es una frase de alerta: “Tu acceso ha sido bloqueado temporalmente por seguridad”. Regularmente, este tipo de correos electrónicos tratan de emular el lenguaje formal de instituciones serias como Santander; sin embargo, en ocasiones presentan errores ortográficos y gramaticales, como se puede apreciar en este ejemplo, un rasgo que te puede ayudar a detectarlos.

Entidades gubernamentales

Los organismos gubernamentales son otros de los blancos recurrentes de los ciberdelincuentes, de entre ellos destacan el Servicio de Administración Tributaria (SAT) y la  Comisión Federal de Electricidad (CFE). 

En el caso del SAT, los ciberdelincuentes suelen enviar correos electrónicos o mensajes de texto falsos en los que informan a las víctimas de supuestas deudas fiscales o problemas con su declaración de impuestos. Por otro lado, en el caso de la CFE envían correos o mensajes informando de una supuesta falta de pago en el servicio eléctrico, instando a los usuarios a ingresar sus datos bancarios en un sitio web falso para evitar el corte del suministro.

Ejemplos de phishing relacionados con entidades gubernamentales

Las “notificaciones” de advertencias alarmistas sobre retrasos en el pago de impuestos al SAT son las más utilizadas por los ciberdelincuentes para llamar la atención de sus víctimas: “Hemos detectado un retraso en el pago de su factura electrónica”. 

Si recibes un correo de este tipo, NO HAGAS CLIC EN NINGÚN ENLACE y, si deseas aclarar tu situación fiscal es mejor que te comuniques con tu contador o directamente al SAT a una de sus vías de contacto oficiales: 

MarcaSAT: 55 627 22 728Sitio web: www.sat.gob.mx

En el caso de la CFE, los atacantes también suelen mandar supuestas notificaciones de pagos pendientes, como se puede apreciar en este ejemplo. En él se puede apreciar cómo es que instan a sus víctimas a hacer clic a enlaces que contienen archivos adjuntos maliciosos que, al abrirse, instalan un software malicioso en el dispositivo.

Entidades de telecomunicaciones

Finalmente, las empresas de telecomunicaciones, como las redes sociales o las empresas de paquetería, también suelen ser suplantadas en ataques de phishing. Los delincuentes envían mensajes que parecen venir de estas plataformas, solicitando a los usuarios que inicien sesión para resolver un supuesto problema de seguridad. Al ingresar sus datos en sitios falsos, los usuarios entregan sus credenciales a los ciberdelincuentes, quienes luego acceden a sus cuentas.

Ejemplos de phishing relacionados con entidades de telecomunicaciones

Una red social que continuamente es utilizada por los ciberdelincuentes para engañar a sus víctimas es LinkedIn. En sus correos fraudulentos instan a los usuarios a hacer clic en algún botón que, como vemos en el ejemplo, los lleva a un sitio web falso esperando que los usuarios ingresen sus datos (correo electrónico y contraseña), que luego son robados.

Una forma de detectar este tipo de fraudes es observando el dominio en el url y revisar que coincida con el oficial de la red social. En este ejemplo se puede apreciar que el url es linkedincdn.com, cuando el verdadero es simplemente linkedin.com.

Correo electrónico fraudulento:

Sitio web falso: 

Otra empresa que comúnmente es blanco de los cibercriminales es Amazon, una empresa que envía los productos de venta en su plataforma a través de su propio servicio de paquetería. Y son precisamente las supuestas fallas o retrasos en este servicio lo que los delincuentes usan como motivo para enviar correos engañosos a sus víctimas. 

Al igual que en el ejemplo anterior, aquí se puede observar cómo instan al usuario a ingresar sus datos para iniciar sesión en un sitio web falso. También se puede apreciar que el dominio que utilizan es amezon.me en lugar de amazon.com.   

Correo electrónico fraudulento:

Sitio web falso: 

Métodos de prevención y detección

Para reducir el impacto de los ataques de phishing en México, es esencial implementar estrategias de prevención y detección que ayuden a los usuarios y organizaciones a identificar estas amenazas a tiempo y a proteger su información personal.

Educación de usuarios

La educación es una de las herramientas más efectivas contra el phishing. Es crucial que las organizaciones capaciten a sus empleados y usuarios sobre cómo detectar intentos de phishing, identificando señales de alerta como enlaces sospechosos, errores gramaticales en correos electrónicos y solicitudes de información sensible. Además, fomentar la práctica de no compartir información personal en respuesta a mensajes no solicitados puede reducir significativamente el riesgo de ser víctima de estos ataques. Un ejemplo de este tipo de capacitación es Proofpoint Security Awareness Training (PSAT), uno de los servicios que ofrece VIRMAR Ciberseguridad, cuyo PDF con la explicación de todo lo que contiene lo puedes cargar aquí: 

Herramientas antiphishing

El uso de software y herramientas antiphishing es fundamental en la prevención de estos ataques. Existen soluciones que bloquean sitios web fraudulentos, filtran correos electrónicos sospechosos y proporcionan alertas en tiempo real. Las extensiones de navegador que identifican sitios falsos y la implementación de soluciones de seguridad en red son ejemplos de herramientas que ayudan a proteger a los usuarios mientras navegan en internet o interactúan con correos electrónicos. En VIRMAR Ciberseguridad ofrecemos la herramienta antiphishing Proofpoint Secure Email Relay. Descarga el PDF con toda su información a continuación:

Protocolos de seguridad

Implementar protocolos de seguridad sólidos es esencial para la prevención del phishing. Las organizaciones deben usar tecnologías como la autenticación de dos factores, la encriptación de datos y los certificados SSL para proteger la información y garantizar que las comunicaciones entre usuarios y servicios sean seguras. Además, las auditorías regulares y la actualización continua de sistemas y software de seguridad son claves para reducir vulnerabilidades explotables por ciberdelincuentes. En VIRMAR Ciberseguridad ofrecemos las soluciones de Proofpoint Endpoint DLP y ITM que te pueden ayudar en estos casos. Descarga el PDF con toda la información aquí:

Protégete del phishing

El phishing es una amenaza creciente en México, pero con la combinación correcta de educación, herramientas tecnológicas y protocolos de seguridad, es posible reducir significativamente el riesgo. La colaboración entre usuarios, organizaciones y entidades gubernamentales es esencial para crear un entorno digital más seguro y proteger la información sensible de los ciberdelincuentes.

CONOCE NUESTROS SERVICIOS

Preguntas frecuentes

¿Qué técnicas emplean los ciberdelincuentes en los ataques de phishing más efectivos?

Los ciberdelincuentes utilizan técnicas de ingeniería social para ganarse la confianza de las víctimas, como la suplantación de sitios web y correos electrónicos que imitan a entidades legítimas. También suelen emplear mensajes urgentes que buscan presionar a las víctimas para que proporcionen información sensible rápidamente.

¿Cómo identificar un ataque de phishing asociado a marcas conocidas?

Las señales comunes incluyen correos electrónicos con errores ortográficos, URLs sospechosas o acortadas, y solicitudes de información personal urgentes. Además, si el mensaje no coincide con el formato habitual de comunicación de la marca, es probable que se trate de un intento de phishing.

¿Cuál es la relación entre las marcas reconocidas y la efectividad de los ataques de phishing?

Las marcas reconocidas generan confianza en los usuarios, lo que facilita a los ciberdelincuentes engañar a las víctimas utilizando la imagen de estas empresas en correos y sitios web falsos. Cuanto más confiable sea una marca, mayor será la efectividad del ataque si se simula ser parte de ella.

¿Qué medidas de prevención se pueden tomar ante ataques de phishing que involucran marcas populares?

Las organizaciones deben educar a sus usuarios sobre cómo identificar mensajes fraudulentos, implementar autenticación de dos factores (2FA) y utilizar software antiphishing. También es importante verificar siempre las URL de los sitios web antes de proporcionar cualquier información personal.

¿De qué manera influye la reputación de una marca en la susceptibilidad de los ataques de phishing?

La reputación de una marca juega un papel crucial, ya que los usuarios suelen confiar en las comunicaciones que parecen proceder de entidades conocidas. Por ello, los ciberdelincuentes explotan esta confianza utilizando la identidad visual y mensajes similares para hacer sus ataques más creíbles.

¿Cómo pueden las empresas proteger su imagen de marca contra su uso en ataques de phishing?

Las empresas deben invertir en campañas de concientización para educar a sus clientes sobre los canales oficiales de comunicación. Además, implementar tecnologías de autenticación robustas y colaborar con proveedores de servicios para bloquear dominios falsos es fundamental para proteger la imagen de marca.