Según los expertos, las estafas por correo electrónico más peligrosas suelen parecerse a los mensajes más comunes en su bandeja de entrada.
Desde facturas falsas hasta mensajes urgentes que se hacen pasar por ejecutivos de empresas, los ataques de phishing son cada vez más personalizados, más sofisticados y más eficaces.
Los expertos dijeron Semana de noticias que a pesar de las campañas de concientización y las nuevas tecnologías de seguridad, los ciberdelincuentes están firmemente por delante de la detección utilizando la urgencia, el engaño y cada vez más la inteligencia artificial para engañar a las víctimas. Hablaron sobre los correos electrónicos fraudulentos en los que es más probable que caiga la gente.
“El tipo más común de correo electrónico de phishing siguen siendo las facturas, que representan alrededor del 30 por ciento de todos los intentos de phishing”, dijo Denis Vyazovoy, jefe de producto de AdGuard VPN. Semana de noticias. “Los correos electrónicos que solicitan un pago son responsables de aproximadamente la misma proporción, mientras que los correos electrónicos de seguimiento completan las tres categorías principales”.
En 2021, 323.972 personas informaron haber sido víctimas de phishing en EE. UU., según el Centro de quejas de Internet (IC3) del FBI. Esa cifra se redujo a 193.407 en el informe más reciente del FBI para 2024, pero aún supera con creces a otros delitos cibernéticos denunciados.
Tácticas y temas comunes
Vyazovoy explicó que muchas estafas se basan en ingeniería social básica, lo que crea una sensación de urgencia para anular el pensamiento racional. Las líneas de asunto suelen incluir frases como “se requiere acción”, “responder ahora” o “¿está disponible?”. Otros están disfrazados de mensajes internos confidenciales, actualizaciones de cuentas bancarias o invitaciones de calendario legítimas relacionadas con el trabajo.
“Una nueva tendencia de phishing en aumento relacionada con la popularidad del trabajo remoto implica invitaciones de calendario falsas”, dijo. “Estas estafas aparecen automáticamente en su calendario sin aprobación y, a menudo, incluyen enlaces que se hacen pasar por reuniones de Zoom o actualizaciones de software”.
La personalización del correo electrónico ha alcanzado nuevos niveles con la ayuda de la inteligencia artificial que se está creando, que permite a los estafadores imitar fielmente la comunicación corporativa y el estilo de escritura, dijeron los expertos.
“El Spear phishing también es una amenaza creciente a medida que estos ataques se vuelven más sofisticados y difíciles de detectar”, afirmó Alex García-Tobar, director ejecutivo de la empresa de seguridad de correo electrónico Valimail. Semana de noticias. “Los piratas informáticos utilizan la ingeniería social para crear correos electrónicos persuasivos adaptados a individuos o departamentos”.
Las estafas más exitosas
La recolección de credenciales y el compromiso del correo electrónico empresarial (BEC) siguen siendo las dos estrategias de phishing más dañinas, según el experto en ciberseguridad Michael Ko, director ejecutivo y cofundador de la plataforma de seguridad y autenticación de correo electrónico Suped.
En las estafas de recolección de credenciales, los correos electrónicos se hacen pasar por marcas confiables como Microsoft, Google o Docusign y solicitan a los destinatarios que hagan clic en un enlace con pretextos urgentes (como “su cuenta está bloqueada”) que conducen a portales de inicio de sesión falsos.
Las estafas BEC, por otro lado, están más dirigidas.
“Los estafadores se hacen pasar por un ejecutivo de alto nivel… con una solicitud urgente y confidencial de ‘pagar esa factura vencida’ o ‘el dinero para una adquisición secreta'”, dijo Ko. Semana de noticias.
Ko también destacó la creciente amenaza del “quishing” (phishing a través de códigos QR) y el “vishing”, o phishing de voz, donde los estafadores utilizan voces generadas por IA para hacerse pasar por personas reales. Dijo que las tasas de clics en campañas de phishing son alarmantemente altas.
“Algunos informes muestran que la campaña de phishing promedio tiene una tasa de clics del 17,8 por ciento”, dijo Ko. “Peor aún, los ataques de phishing altamente dirigidos pueden engañar a más del 50 por ciento de los destinatarios. El tiempo medio para que un usuario haga clic en un enlace malicioso es de sólo 21 segundos”.
Engaño de la inteligencia artificial
Según muchos expertos, la inteligencia artificial ha reducido la barrera de entrada de los ciberdelincuentes y ha hecho que sus ataques sean más difíciles de detectar.
“Hoy en día, los atacantes utilizan métodos muy sofisticados para engañar a la gente haciéndoles creer que los correos electrónicos de phishing que recibieron eran de la empresa que se hacen pasar”, dijo Arne Möhle, cofundador del servicio de correo electrónico cifrado Tuta Mail. Semana de noticias. “Creen que el dominio, la dirección de correo electrónico de envío hacen que el correo electrónico luzca bien diseñado con logotipos y colores de la empresa suplantada, etc.”.
dijo Rosario Mastrogiacomo, directora de seguridad de la empresa de gestión de identidad SPHERE. Semana de noticias que las páginas de inicio de sesión falsas que imitan plataformas como Microsoft 365 o portales de nómina son ahora un elemento básico de las campañas de phishing. Estas páginas suelen aparecer después de que los usuarios hacen clic en enlaces integrados en notificaciones de documentos compartidos aparentemente inofensivos o mensajes de restablecimiento de contraseña.
“También estamos viendo correos electrónicos que parecen ser de un ejecutivo solicitando transferencias bancarias, compras con tarjetas de regalo o cambios en la información bancaria”, dijo Mastrogiacomo. “Estos a menudo evitan los filtros de spam utilizando formato de texto sin formato y lenguaje adaptado a los estilos de comunicación interna”.
Fraude multicanal, voces falsas y el auge del ‘Quishing’
El phishing ha evolucionado mucho más allá del correo electrónico. Los mensajes de texto SMS y las plataformas de mensajería como WhatsApp son ahora métodos de entrega comunes.
“En general, es lo mismo de siempre: mensajes de Microsoft, PayPal, bancos, empresas de logística… pero sin errores de ortografía y en general mejores”, dijo Artem Bovtiukh, ingeniero senior de seguridad de TI en MacPaw. Semana de noticias. “Y no se trata sólo del correo electrónico: el phishing por SMS es algo muy común ahora, al igual que las aplicaciones de mensajería como WhatsApp”.
El phishing de códigos QR, o “quishing”, también se está generalizando, añadió Bovtiukh, apoyando a Ko.
Robeson Jennings, vicepresidente senior de inteligencia y servicios globales de la firma de ciberseguridad ZeroFox, dijo Semana de noticias que los ataques más exitosos combinan estos múltiples vectores.
“Los correos electrónicos de phishing se están convirtiendo cada vez más en parte de un esquema más amplio”, afirmó Jennings. “Estamos viendo una ola en esta estrategia de ingeniería social de múltiples capas”.
Después de un mensaje inicial de phishing, los estafadores pueden continuar con un mensaje de texto o una llamada telefónica, a veces usando voces clonadas por IA para hacerse pasar por rostros confiables en la organización. Los expertos advirtieron que hay que tener cuidado con esto.
Hazañas estacionales y psicológicas
Los estafadores conocen muy bien los momentos en que las personas tienen más probabilidades de caer en la trampa, como las vacaciones o las temporadas de búsqueda de empleo.
“A medida que nos acercamos a las vacaciones, los correos electrónicos de phishing más frecuentes se aprovecharán de marcas confiables y escenarios urgentes”, dijo Shaila Rana, profesora de Purdue Global que se especializa en ciberseguridad e inteligencia artificial. Semana de noticias. “Piense en las notificaciones de entrega de paquetes que afirman que las entregas han fallado y necesitan verificación de dirección”.
Rana también citó un ejemplo extraño que aprovechó la manipulación emocional: una campaña de phishing que se hacía pasar por el soporte de LastPass con el asunto “Solicitud heredada abierta (URGENTE SI NO INMORTAL)”.
“También han proliferado programas de trabajo desde casa y ofertas de trabajo falsas”, afirmó Rana. “Está dirigido a solicitantes de empleo remotos”.
Porque la gente todavía se enamora de él.
“El phishing es uno de los tipos de fraude por correo electrónico más comunes y eficaces porque se basa en el engaño y la familiaridad”, afirmó Anne Cutler, experta en ciberseguridad de Keeper Security. Semana de noticias.
Los atacantes suelen hacerse pasar por colegas, bancos o incluso familiares. Pequeñas variaciones en el texto, como reemplazar la letra “m” por “rn”, pueden engañar incluso a los lectores más atentos.
“Estas estafas a menudo alcanzan su máxima frecuencia en torno a eventos que involucran transacciones digitales”, añadió.
El hilo conductor de todas las estafas es la manipulación psicológica: urgencia, poder, miedo y confianza.
“El objetivo principal es presionar al destinatario para que actúe rápidamente sin tomarse el tiempo para pensar o verificar nada”, dijo Vyazovoy.
