Ciberseguridad

El phishing se hace más selectivo

España lidera el ranking de países con más recepción de spam.

España lidera el ranking de países con más recepción de spam.

España, con el 8,38% del total de ataques, sigue siendo en el segundo trimestre de 2020 el principal país receptor de correos electrónicos peligrosos (con archivos adjuntos maliciosos o enlaces a sitios de phishing), según los estudios de Karpersky, que también ha detectado una serie de nuevos trucos de phishing, desde correos electrónicos de despido enviados en nombre del departamento de RR.HH. hasta ataques disfrazados de notificaciones de entrega.

En el segundo trimestre del año, los phishers realizaron cada vez más ataques dirigidos, centrándose principalmente en las pequeñas empresas. Para atraer la atención, los estafadores falsificaron correos electrónicos y sitios web de organizaciones cuyos productos o servicios podían ser adquiridos por las potenciales víctimas. En el proceso de fabricación de estos activos falsos, los estafadores a menudo ni siquiera trataron de hacer que el sitio pareciera auténtico.

Esos ataques de phishing dirigidos pueden tener graves consecuencias. Una vez que un estafador ha obtenido acceso al buzón de un empleado, puede utilizarlo para llevar a cabo otros ataques contra la empresa para la que trabaja el empleado, el resto de su personal o incluso contra sus proveedores.

A la vez que enviaban sus tradicionales mensajes de spam sin mencionar la pandemia, los phishers adaptaron sus viejos esquemas para hacerlos relevantes según la agenda de noticias actual, así como para inventar nuevos trucos. La pandemia de Covid-19 ha aportado un buen número de “excusas” a los estafadores para solicitar información personal. Entre ellas se cuenta el hecho de disfrazar sus mensajes como servicios de entrega, servicios postales, financieros o de recursos humanos.

El phishing es uno de los tipos de ataques de ingeniería social más antiguos y flexibles. Se utiliza de muchas maneras y con diferentes propósitos para atraer a los usuarios incautos a un sitio y engañarlos para que introduzcan su información personal. Esta última suele incluir credenciales financieras, tales como contraseñas de cuentas bancarias, detalles de tarjetas de pago o detalles de inicio de sesión en redes sociales. Toda esta información en las manos equivocadas abre las puertas a diversas operaciones maliciosas, como el robo de dinero.