Tras su evolución y sofisticación, el phishing se ha convertido en la amenaza cibernética con mayor éxito, tras utilizar la Inteligencia Artificial (IA) y otros canales de comunicación, como los mensajes de texto SMS (smighing) y las llamadas telefónicas (vishing). Así lo señalaron especialistas de la empresa mayorista HD Latinoamérica, en un webinar organizado en el marco del Mes de la Concientización en Ciberseguridad.

“Actualmente la IA permite a los ciberdelincuentes realizar estafas personalizadas con mucho éxito, lo que representa mayores desafíos para la protección de la información de empresas y usuarios residenciales”, advirtió en el evento Fausto Escobar, especialista en ciberseguridad de HD Latinoamerica. Agregó que existen otras variantes del phishing como el spear phishing, la suplantación de identidad por correo electrónico, BEC, y el phishing en redes sociales que se ha ido proliferando.

Sin embargo, según Escobar, no todo es mala noticia, ya que los usuarios de redes empresariales y residenciales pueden identificar un correo mal intencionado, ya sea porque contiene errores ortográficos, o bien, relacionados con invitaciones repentinas a reuniones por parte de directivos. Y si este último fuera el caso, es porque algún usuario de la red corporativa está vulnerado o ya ha sido vulnerado, lo que conlleva también a una afectación en el prestigio de la empresa, pues puede que sus correos se vayan a spam y su dominio se vaya a la lista blanca y no fluya su proceso de entrega de manera óptima.

El spam (correo no deseado) es otra de las amenazas más recurrentes, de acuerdo a estadísticas, el 85% de los correos son no deseados a nivel mundial y el 95% de estos incluye malware, phishing, correos publicitarios, de tal forma que sólo el 5% de correos es válido, panorama que debe alertar a las empresas, ya que la productividad de sus colaboradores puede verse afectada. “Existen cuatro tipos de spam: de tipo comercial, publicitario, phishing o spam malicioso”, señaló el especialista de esta empresa de ciberseguridad.

Otro dato resaltado en este webinar es que el 80% de todos los ataques por ransomware provienen del correo electrónico, y es la amenaza que más ha afectado por su capacidad de extraer información, misma que puede o no ser recuperada, independiente del pago que exigen los atacantes.

¿Cómo y dónde surgió el phishing?

El phishing como técnica de suplantación de identidad tiene sus inicios en la década de los noventa, y su término se acuñó en 1996 en un grupo de noticias de Usenet llamado AOhell. El 2 de enero de este mismo año, se suscitó el primer ataque de phishing en el primer proveedor de Internet, America Online, mejor conocida en ese entonces como AOL.

El hacker Khan C. Smith se hizo pasar por personal de AOL para robar contraseñas de los usuarios y crear cuentas falsas. Con estas cuentas se enviaron mensajes de spam a los usuarios para que verificaran sus cuentas.

El phishing consiste en enviar mensajes que parecen provenir de una empresa o sitio web legítimo. Su objetivo es obtener información personal del usuario, como su número de tarjeta de crédito.