PayPal parecía no tener respiro. El último ataque de phishing lo tomó por sorpresa y eludió incluso los intentos de phishing estándar. Los hackers explotaron una sola característica e hicieron que el ataque pareciera genuino. En lugar de utilizar sus viejas tácticas, correos electrónicos o enlaces falsos, los estafadores aprovecharon el envío de solicitudes de dinero directamente a través de la plataforma.
La aplicación envió a las víctimas una solicitud de pago auténtica que las redirigía a microdatos comprometidos. La transacción parecía oficial, por lo que las víctimas no sospecharon nada. ¿Lo peor? Los atacantes enviaron solicitudes por cantidades lo suficientemente pequeñas como para no levantar sospechas. No cuestionaron esas pequeñas inconsistencias, lo que disparó la tasa de éxito del ataque. Entonces, ¿qué nos dice esto sobre nuestro panorama de seguridad? Nadie está a salvo. Y esto solo con el phishing.
El smishing consiste en estafas por SMS. La desinformación es otro ámbito que no se limita a ningún medio de comunicación o modus operandi. En esta guía, analizaremos el phishing, el smishing y la desinformación. Esto es lo que necesita saber.
¿Qué es el phishing?
Phishing es una forma de ingeniería social que utiliza el engaño para que los destinatarios realicen la acción deseada por el atacante. Puede revelar información financiera, credenciales de inicio de sesión en el sistema y otros datos confidenciales. Los actores maliciosos pueden hacerse pasar por entidades oficiales de organizaciones de renombre, lo que puede confundir a los usuarios.
El phishing solía realizarse principalmente a través del correo electrónico, pero hoy en día los adversarios se están volviendo más creativos porque son conscientes de que sus víctimas están cada vez más alerta. Esta es una diferencia clave entre el phishing y el smishing. A mediados de la década de 1990, el phishing se refería a la "pesca" de víctimas: los atacantes atraían a usuarios desprevenidos.
Sin embargo, el phishing se ha sofisticado mucho en los tiempos modernos y se ha diversificado en diferentes tipos. Ahora tenemos phishing por correo electrónico, spear phishing, smishing, vishing y whaling. Cada tipo de ataque de phishing es distinto y se caracteriza por diferentes canales y modos de ejecución. Aun así, la intención subyacente es engañar a la víctima para que proporcione lo que el atacante quiere.
Impacto del phishing
El phishing es una molestia grave. Si lo ignoras, los atacantes seguirán lanzando nuevos ataques o cambiando de objetivo. Debes abordarlo desde la raíz; de lo contrario, nunca dejarás de ser víctima de él. Un ataque de phishing puede hacer que tus clientes y empleados salgan corriendo. La magnitud del daño dependerá de la cantidad de información que haya recopilado el atacante.
¿Recuerda el incidente de TalkTalk? En ese incidente, se vieron comprometidos 157 000 registros de clientes, lo que le costó a la empresa 60 millones de euros. Con el paso de los años, menos de 5000 clientes no se vieron afectados por la violación. Las consecuencias no solo se extendieron, sino que se prolongaron a lo largo de los años.
Los ataques de phishing pueden interrumpir sus operaciones y crear nuevas vulnerabilidades que usted desconoce. Si un atacante instala malware oculto, que usted pasa por alto, podría correr el riesgo de sufrir interrupciones en el sistema. Es posible que ni siquiera se dé cuenta de dónde está perdiendo productividad, pero los ataques de phishing pueden ser devastadores. Los peores ataques pueden paralizar su organización. Sus clientes no podrán utilizar los servicios en línea y, en algunos casos, su negocio puede estar inactivo durante más de 24 horas.
Esto puede hacer que la gente pierda la confianza en su negocio, lo que reducirá el valor de su organización. Nunca se sabe lo que puede pasar.
¿Qué es el smishing?
El smishing es muy ingenioso. Los atacantes pueden simplemente enviarte mensajes de texto que te incitan a hacer clic en enlaces. Pero, desde la perspectiva del usuario, sabemos que los mensajes de texto actuales pueden parecer spam. Los atacantes lo saben, por lo que personalizan los mensajes SMS. Los mensajes SMS bien elaborados pueden parecer mensajes de un amigo, con enlaces adjuntos que no despiertan sospechas. Es posible que ni siquiera recibas un enlace en tu SMS, y que el atacante te atraiga enviándote una cadena o una serie de mensajes de texto.
Por ejemplo, supongamos que recibes un mensaje de texto de un amigo que no es tu amigo, sino el atacante. Te convence para que converses con él y tú respondes. Como resultado, podría enviarte dos o tres mensajes más. En el cuarto mensaje, podría pedirte que compruebes algo y, entonces, tú, sin sospechar nada, haces clic en ese enlace. Así es como funciona.
Es posible que tu amigo real no esté disponible estos días, tal vez esté en el hospital o haciendo otra cosa. Pero tú no lo sabrías porque el atacante falsificó su identificador de llamadas y ocultó su número de teléfono. Por lo tanto, sus mensajes de texto te fueron reenviados. Así es como el smishing se ha convertido en algo tan aterrador en la actualidad. Así que no caigas en la trampa de pensar que el smishing es una estafa esencial por mensaje de texto. No lo es.
Las ofertas de códigos de descuento, los descuentos especiales y los enlaces tentadores que prometen regalos se pueden compartir, pero los atacantes saben que estas no son las únicas formas de atraer a las víctimas. Por eso son cada vez más innovadores con sus estafas de smishing.
Impacto del smishing
El impacto del smishing no se limita a revelar tus datos o información bancaria. Los bancos nunca te pedirán tu PIN de cajero automático ni te enviarán enlaces para restablecer la contraseña por SMS, pero algunos clientes que no son muy expertos en tecnología caen en estas trampas básicas. El impacto del smishing puede extenderse a otras personas. Si tus datos incluyen a familiares o amigos, el atacante puede empezar a recabar información sobre ellos. Pueden obtener más información con solo responder a sus mensajes.
Es probable que acabes respondiendo, sobre todo si el mensaje es atractivo o parece tener una razón genuina para que respondas. Es probable que no lo ignores, pero el problema es que no puedes verificarlo. ¿Qué pasa si respondes a un mensaje de texto y caes en una estafa de phishing? Lo primero que sucederá es que tu número de teléfono se filtrará. El atacante puede entonces utilizar tu información personal y tu número de teléfono para buscarte en otras plataformas en línea.
Puede utilizar los datos recopilados a través de sus respuestas a mensajes de texto para acceder a los servicios que utiliza. El atacante puede secuestrar esos servicios y agravar aún más los daños. Las consecuencias de caer en las estafas de smishing no se limitan a eso. Son solo la punta del iceberg.
¿Qué es la desinformación?
La desinformación es complicada porque puede resultar difícil discernir si la información falsificada es precisa o temporalmente falsa. Los atacantes son astutos y saben leer las emociones de las personas. Pueden explotar sus debilidades o vulnerabilidades, provocando que actúe de manera diferente. Puede que no falsifiquen y difundan directamente desinformación, pero podrían sondearlo de tal manera que caiga víctima de sus burlas y se deje llevar por sus planes. Ni siquiera se dará cuenta, y así es como funciona la manipulación emocional.
Otra forma en que se produce la desinformación es cuando los atacantes falsifican deliberadamente la información. Por ejemplo, si sale a la luz una noticia sobre un incidente, el atacante puede difundir una versión falsa de la misma y respaldarla con hechos reales, haciendo que parezca muy convincente. Dado que la noticia es reciente y el atacante habla mucho, es probable que la gente le crea. Asumen que no es necesario verificar nada más cuando ven los datos.
Debido a que el incidente es tan reciente, no hay información adicional al respecto disponible en Internet ni en ningún otro lugar. La desinformación puede ser aterradora, dependiendo de cómo se produzca. Una diferencia significativa entre el smishing y la desinformación es que esta última no se limita a los canales de texto. No es algo que se deba tomar a la ligera.
Impacto de la desinformación
El impacto de la desinformación no solo afecta a las personas que te rodean. Puede afectar a las democracias, los gobiernos, los bancos, las agencias de viajes y las entidades privadas o públicas. El miedo, la ira y la desconfianza son sentimientos comunes que experimentan las personas cuando son víctimas de la desinformación. La gente pierde tiempo y energía analizando lo que es verdadero y lo que es falso.
La desinformación puede causar fatiga al tener que lidiar con múltiples fuentes de información. La situación empeora cuando se trabaja en el mundo digitalmente conectado de hoy en día. Con la llegada de herramientas de inteligencia artificial como ChatGPT y Grok AI, los actores maliciosos pueden lanzar ataques más sofisticados, recopilar ideas, obtener información y combinar esos conocimientos con experiencias de la vida real.Hay muchas historias de campañas coordinadas de desinformación orquestadas por actores estatales y no estatales. La influencia de la desinformación puede extenderse más allá de las creencias individuales y afectar a la sociedad. Los datos falsificados pueden utilizarse en sectores como la sanidad y la industria farmacéutica, lo que puede ser muy peligroso y tener profundas implicaciones para la obra civil. Cuando se genera incertidumbre, el entorno que nos rodea se vuelve inseguro. El daño emocional derivado de ser víctima de la desinformación puede durar años. Es posible que nunca te recuperes por completo debido a cómo te engañaron o a cómo reaccionaste ante la situación.
2 Diferencias fundamentales entre phishing, smishing y desinformación
A continuación se indican algunas diferencias fundamentales que debes tener en cuenta con respecto al phishing, el smishing y la desinformación:
1. Modo de ataque
El phishing puede producirse a través de correos electrónicos, pero los atacantes no se limitan a ellos. Pueden intentar atraerle creando sitios web falsos, páginas de inicio de sesión, formularios web en línea o interactuando con usted en otros medios. El smishing suele implicar SMS, pero no siempre se limita a eso. También pueden contactar con usted a través de mensajería instantánea o chat en vivo.
La desinformación no se limita a ningún medio específico. Puede producirse en plataformas de redes sociales, a través de tuits o incluso a través de información errónea difundida por vecinos. A diferencia del phishing o el smishing, no existe una vía específica para la desinformación, lo cual es esencial tener en cuenta.
2. Magnitud del daño y búsqueda
El daño causado por el phishing a menudo puede limitarse a las aplicaciones, sitios web y plataformas con las que interactúa. Si accidentalmente revela su información, al menos puede rastrearla hasta el atacante, la plataforma o la aplicación y tomar medidas para solucionar la situación. En el caso del smishing, al menos tienes los datos del remitente y puedes identificar el origen de los mensajes de texto. Con una orden de registro o una investigación en profundidad por parte de las fuerzas del orden, es posible rastrear el origen de estas estafas, incluso si los autores de las amenazas utilizan números de teléfono falsos. También puede rastrear las estafas de smishing examinando los operadores telefónicos utilizados por los atacantes.
Sin embargo, la desinformación es mucho más difícil de detectar y rastrear. Rastrear a alguien que difunde desinformación puede ser muy difícil si se disfraza. Puede desaparecer después de causar un daño significativo. Desde una perspectiva offline, podría difundir falsedades y desaparecer, mientras que online puede crear cuentas falsas, difundir información errónea y eliminar las cuentas después, sin dejar rastro. Una vez que las cuentas desaparecen, ponerse en contacto con ellos se vuelve casi imposible.
Si alguien parece estar difundiendo desinformación de forma genuina, hay más posibilidades de rastrearlo o confrontarlo. Sin embargo, esto es poco frecuente, ya que los actores maliciosos son brillantes y tienden a cubrir sus huellas de forma eficaz. En algunos casos, en lugar de difundir ellos mismos información falsa, pueden influir en otros para que la difundan por ellos. Estos casos son mucho más complejos de rastrear o investigar, lo que convierte a la desinformación en un ataque particularmente insidioso.
Phishing, smishing y desinformación: diferencias clave
Estas son algunas de las diferencias clave entre el phishing, el smishing y la desinformación:
| Área de diferenciación | Phishing | Smishing | Desinformación |
|---|---|---|---|
| Técnica de manipulación | Pueden utilizar el miedo, la urgencia o la curiosidad para engañarle y que revele información confidencial. | Los ganchos psicológicos están diseñados para provocar una acción inmediata a través de dispositivos móviles, como alertas urgentes sobre su cuenta bancaria o entregas de paquetes. | Las campañas de desinformación manipulan las creencias y percepciones de las personas a lo largo del tiempo. A menudo utilizan contenidos cargados de emotividad o polarizantes para influir en las opiniones y comportamientos de las personas sin que estas se den cuenta de inmediato. |
| Medio de explotación | Los phishers pueden enviar archivos adjuntos maliciosos o explotar vulnerabilidades en cualquier aplicación, servicio o medio con el único fin de robar y secuestrar sus datos. | El smishing aprovecha los protocolos SMS y las vulnerabilidades de las redes móviles, incrustando enlaces maliciosos o mensajes directamente en los mensajes de texto para comprometer la seguridad de su smartphone. | La desinformación puede utilizar algoritmos avanzados y botnets en las plataformas de redes sociales para amplificar narrativas falsas, utilizando el análisis de datos para dirigirse e influir en sus intereses y sesgos específicos. |
| Impacto y percepción | Ser víctima de phishing puede erosionar la confianza en los canales de comunicación digital, lo que hace que uno sea más cauteloso, pero también puede obstaculizar las interacciones en línea. | El smishing puede hacer que desconfíe de las comunicaciones por SMS, lo que le llevará a ignorar mensajes legítimos o a dudar a la hora de interactuar con números desconocidos. Esto puede afectar a sus hábitos de comunicación móvil. | La desinformación tiene un profundo efecto a largo plazo en su percepción de la realidad y en su confianza en las fuentes de información, lo que puede alterar su visión del mundo y sus creencias sociales basadas en verdades manipuladas. |
| Medidas de prevención y cómo desarrollar la resiliencia | Para protegerse contra el phishing, debe implementar un filtrado de correo electrónico sólido, utilizar la autenticación multifactorial y mantenerse informado sobre las tácticas comunes de phishing para reconocer y evitar los correos electrónicos sospechosos. | Para protegerse contra el smishing, hay que desconfiar de los mensajes de texto no solicitados, evitar hacer clic en enlaces desconocidos y verificar la autenticidad del remitente antes de responder o actuar ante solicitudes por SMS. | Para combatir la desinformación es necesario pensar de forma crítica, cotejar la información con fuentes fiables, comprender la alfabetización mediática y fomentar el hábito de cuestionar y verificar la autenticidad de los contenidos. |
Conclusión
Discernir la diferencia entre phishing, smishing y desinformación es clave para mantener a salvo su vida personal y profesional. Con este conocimiento, estará adecuadamente informado y muy alerta para detectar y repeler eficazmente estas amenazas en constante evolución. Nunca subestime la seguridad digital: la prevención comienza con la comprensión. Asegúrese de implementar medidas de seguridad sólidas, manténgase al día sobre los últimos vectores de ataque y fomente una cultura de concienciación en toda su organización.
Prepárese de forma proactiva no solo para proteger sus datos, sino también para proteger la confianza y la percepción que se tiene de usted en Internet.
Mejore su inteligencia sobre amenazas
Descubra cómo WatchTower, el servicio de caza de amenazas de SentinelOne, puede proporcionarle más información y ayudarle a superar los ataques.
Más informaciónFAQs
El phishing utiliza correos electrónicos engañosos para robar información confidencial, el smishing emplea mensajes SMS para estafas similares a través de texto y la desinformación difunde información falsa para manipular creencias y percepciones. Mientras que el phishing y el smishing son ciberataques directos dirigidos a los datos personales, la desinformación suele tener como objetivo influir en la opinión pública o en las opiniones sociales a lo largo del tiempo.
Sí, la desinformación es un tipo de ciberataque. A diferencia del phishing y el smishing, que se dirigen a personas concretas para robarles datos, la desinformación busca engañar y manipular la percepción pública, a menudo a mayor escala. Va en contra de la confianza y puede afectar a las opiniones de la sociedad, por lo que es muy poderosa en manos de la manipulación cibernética.
En sentido amplio, todas las personas y organizaciones de cualquier ámbito están en riesgo; sin embargo, los grupos vulnerables incluyen a las personas mayores, los usuarios menos familiarizados con la tecnología y las organizaciones o personas con acceso a información confidencial. Las empresas, en particular las que manejan datos financieros o personales, son los principales objetivos. Incluso el público en general se vuelve susceptible a las campañas de desinformación durante eventos o crisis a gran escala.
Aunque es difícil erradicar estas amenazas, se pueden prevenir mediante la concienciación y las medidas de seguridad adecuadas. Infórmese y forme a su equipo para que sepan reconocer los correos electrónicos y mensajes de texto maliciosos; establezca protocolos de autenticación sólidos; implemente herramientas de seguridad para detectar y bloquear amenazas; y compruebe la fuente de la información para reducir los riesgos derivados de la desinformación.
Las finanzas, la sanidad, la administración pública y la tecnología son los sectores más afectados porque poseen datos valiosos. Las campañas de desinformación también se dirigen a los medios de comunicación y las relaciones públicas. Los sectores con una alta interacción con los clientes, como el comercio minorista y las telecomunicaciones, son objetivos frecuentes de los ataques de phishing y smishing.
