Phishing: tres tendencias claves y cómo protegerse

12/03/2025

Phishing: tres tendencias claves y cómo protegerse
Diseñado por Freepik

Por Graciela Martínez

El phishing sigue evolucionando con nuevas tácticas para engañar a los usuarios y comprometer su información. Este año, queremos destacar tres tendencias que se destacan en el panorama de ciberataques: el crecimiento del smishing, el aumento del uso de hosting en la nube para phishing y la inteligencia artificial como herramienta para ataques más sofisticados.

De acuerdo con último reporte compartido por APWG  observamos que el número de phishings distintos reportados se han mantenido entre 290.000 y 370.000 por mes, desde el año 2023 como lo muestra la siguiente gráfica.

1. Smishing: aumentan fraudes por SMS

      El smishing, una variante del phishing que usa mensajes de texto (SMS) para engañar a los usuarios, en el 2024 representó el 39% de las amenazas de la telefonía móvil. Y de acuerdo con Proofpoint ha tenido un crecimiento de más del 300% a partir del 2023.

      Los atacantes suplantan bancos, empresas de mensajería, entidades gubernamentales, entre otras, para inducir a las víctimas a hacer clic en enlaces maliciosos e introducir información personal o bajar programas maliciosos a su dispositivo.

      Los ataques de smishing son una forma de ingeniería social, porque usan técnicas para manipular a las personas para que revelen información confidencial o realicen acciones sin reflexión previa.

       ¿Cómo funciona?

      Los atacantes envían un mensaje de texto que parece provenir de una fuente legítima, como un banco, una empresa de mensajería o una entidad gubernamental.

      El mensaje suele incluir un enlace malicioso que dirige a una página falsa, un número de teléfono fraudulento para engañar a la víctima y un mensaje urgente diseñado para generar miedo o presión, como “Tu cuenta será bloqueada si no actualizas tus datos ahora”.

      Factores de éxito del smishing

      Escala: existen más de 6 mil millones de suscriptores de telefonía celular en el mundo. De acuerdo al Banco Mundial el número de suscripciones móviles supera la población mundial, lo que puede deberse a que muchas personas poseen múltiples líneas móviles.

      Tasa: las tasas de clics de los SMS rondan el 20%, frente al 3-5% del correo electrónico.

      Confianza en los SMS: las personas tienden a confiar más en los mensajes de texto que en los correos electrónicos, porque los SMS se asocian a comunicaciones personales. Además, confían en las operadoras.

      Inmediatez y urgencia: los mensajes de smishing incluyen el factor de urgencia, para que la víctima actúe rápidamente sin tiempo para pensar y analizar la situación.

      Personalización y credibilidad: los mensajes de smishing pueden contener información personal de la víctima, lo que aumenta su credibilidad.

      Recomendaciones para evitar ser víctima de un Smishing

      • No confiar en mensajes inesperados, especialmente de números desconocidos.
      • Evitar hacer clic en enlaces que reciba por SMS, ya que pueden llevar a sitios web maliciosos.
      • Verificar la identidad del remitente. Si recibe un mensaje de texto de una empresa o entidad, verifique su autenticidad contactándolos directamente a través de un canal oficial (teléfono, correo electrónico, sitio web).
      • Nunca proporcione información personal o financiera a través de mensajes de texto o de otro medio. Ninguna organización le solicitará información confidencial a través de ningún medio.
      • Reporte los mensajes de smishing al CSIRT de la empresa o entidad suplantada.
      Leer también:
      Cómo prevenir un ataque de inyección de SQL

      2. Phishing en hosting en la nube

        Cada vez más ciberdelincuentes alojan sus sitios de phishing en redes de hosting en la nube, lo que les permite expandirse rápidamente y evadir bloqueos. En 2024, 77% de los sitios de phishing se alojaron en infraestructuras en la nube, según Netcraft.

        De acuerdo con un estudio de Interisle, Cloudflare continúa siendo la red más utilizada para alojar sitios de phishing por tercer año consecutivo.

        Los ciberdelincuentes registran masivamente dominios similares a las organizaciones legítimas, los cuales son utilizados luego en campañas masivas de phishing. El éxito de esta práctica se debe a la escala de llegada a las víctimas y a la dificultad que presenta a la hora de ser detectados por sistemas de seguridad.

        3. Phishing con IA: personalizados y precisos

          Los ataques de phishing impulsados por IA están aumentando y se vuelven más difíciles de detectar debido a que los atacantes utilizan IA para crear mensajes, ya sean escritos o hablados, que parecen generados por humanos.

          Según Zscaler ThreatLabs, estos ataques han aumentado significativamente, lo que complica la tarea de los sistemas de seguridad tradicionales para bloquearlos.

          Un informe de Comcast Business indica que entre el 80% y el 95% de los ataques cibernéticos comienzan con un ataque de phishing. Además, desde la aparición de ChatGPT en 2022, el volumen total de ataques de phishing ha aumentado un 4% según SlashNext.

          Se prevé que los ataques de phishing basados en IA, como los deepfakes de phishing dirigido (whaling), se dupliquen en frecuencia para 2024-2025, según las proyecciones del FBI IC3. Esto refleja la creciente sofisticación y el uso de herramientas de IA en la ciberdelincuencia.

          Recomendaciones

          Para mitigar los riesgos del phishing, es fundamental que las organizaciones implementen medidas de seguridad robustas y fomenten una cultura de seguridad en línea.

          Desde CSIRT LACNIC, promovemos la capacitación en seguridad, educando a empleados,funcionarios  y a nuestra comunidad objetivo sobre cómo identificar intentos de phishing y smishing,y siempre reportar eventos de seguridad para que los equipos de respuesta a incidentes de seguridad puedan gestionarlos de inmediato.

          Dejo aquí algunas recomendaciones.

          Desde el punto de vista de una organización.

          • Capacitar a los empleados. Enseñarles a identificar y reportar intentos de phishing, incluyendo actividades como simulacros.
          • Implementar Múltiple Factor de Autenticación (MFA) para accesos a infraestructuras, sistemas y datos corporativos e información personal.
          • Mantener los sistemas al día. Aplicar las actualizaciones de seguridad inmediatamente a que sean liberadas, de no ser posible se deberá implementar medidas de mitigación.
          • Implementar monitoreo de los sistemas para detectar actividades sospechosas de forma proactiva.
          • Contar con un equipo CSIRT y un plan de gestión de incidentes

          Desde el punto de vista del usuario.

          • Utilizar contraseñas robustas, y habilitar la autenticación de dos factores siempre que sea posible.
          • Utilizar un gestor de contraseñas.
          • No reutilizar credenciales de acceso en diferentes plataformas.
          • Tener respaldo de la información almacenada en sitios y que los mismos no estén comunicados entre sí.
          • No acceder a enlaces de sitios no conocidos o descargar archivos adjuntos de correos electrónicos desconocidos.
          • No bajar software pirata.
          • Mantener los sistemas actualizados y realizar las actualizaciones desde los sitios oficiales.

          El phishing sigue evolucionando, por lo que es clave que tanto usuarios como organizaciones se mantengan alerta y adopten medidas de protección adecuadas.

          Las opiniones expresadas por los autores de este blog son propias y no necesariamente reflejan las opiniones de LACNIC.

          Subscribe
          Notify of

          0 Comments
          Oldest
          Newest Most Voted
          Inline Feedbacks
          View all comments