NOCIONES BASICAS DE PHISHING

15
SCELUS STUDIUM Educational Online Research Center Padilla Hernández, Rebeca 1 NOCIONES BASICAS DE PHISHING Padilla Hernández, Rebeca Investigadora Privada especializada en Ciberseguridad y Hacking ético ABSTRACT. El Phishing es el intento de engañar al receptor de un mensaje para que lo abra, crea que es fiable y siga las instrucciones que se detallan en él. Tienen como finalidad recolectar la máxima de información privada de la víctima para luego usarla en su beneficio. Conforme van surgiendo nuevas tecnologías, se innova y perfecciona la forma de atacar del agresor cibernético. Phishing is the attempt to trick the recipient of a message into opening it, believing it to be trustworthy, and following the detailed instructions. They aim to collect the maximum private information from the victim and then use it to their advantage. As new technologies emerge, the cyber offender innovates and refines the way it attacks. Copyright @2020 Scelus Studium Educational Online Research Center. Key Words: Phishing, Phisher, estafa, emails, web, datos personales, Vishing, Smishing, servicios, urgencia, IoT, falsificación.

Transcript of NOCIONES BASICAS DE PHISHING

Page 1: NOCIONES BASICAS DE PHISHING

SCELUS STUDIUM Educational Online Research Center

Padilla Hernández, Rebeca

1

NOCIONES BASICAS DE PHISHING

Padilla Hernández, Rebeca

Investigadora Privada especializada en Ciberseguridad y Hacking ético

ABSTRACT.

El Phishing es el intento de engañar al receptor de un mensaje para que lo abra, crea que

es fiable y siga las instrucciones que se detallan en él. Tienen como finalidad recolectar

la máxima de información privada de la víctima para luego usarla en su beneficio.

Conforme van surgiendo nuevas tecnologías, se innova y perfecciona la forma de atacar

del agresor cibernético.

Phishing is the attempt to trick the recipient of a message into opening it, believing it to

be trustworthy, and following the detailed instructions. They aim to collect the

maximum private information from the victim and then use it to their advantage. As new

technologies emerge, the cyber offender innovates and refines the way it attacks.

Copyright @2020 Scelus Studium Educational Online Research Center.

Key Words: Phishing, Phisher, estafa, emails, web, datos personales, Vishing,

Smishing, servicios, urgencia, IoT, falsificación.

Page 2: NOCIONES BASICAS DE PHISHING

SCELUS STUDIUM Educational Online Research Center

Padilla Hernández, Rebeca

2

CONCEPTO DE PHISHING.

Según el GTI1, el phishing es una técnica que consiste en atraer mediante el uso del

engaño a un usuario o víctima hacia un sitio Web falso con la intención de obtener

información sensible del este.

Se le da este nombre por la semejanza que tiene con el acto de “pescar”. En otras

palabras, el agresor cibernético lanza un cebo atractivo para ver si alguna víctima pica

en el anzuelo con la pretensión de conseguir de los datos personales – entendidos como

información personal, contraseñas, datos de tarjetas de crédito o de la seguridad social,

números de cuentas bancarias de otra persona, entre otros – mediante el uso de

artimañas o engaños.

Es considerada como una de las estafas más antiguas y mejor conocidas de Internet, la

cual consta de tres componentes:

• Ataque: realizado a través de comunicaciones electrónicas.

• Atacante: usuario que se hace pasar por una persona u organización de confianza.

• Objetivo: obtener información personal confidencial.

El estafador, más conocido como Phisher, suele usar las técnicas de Ingeniería social2

para llegar a realizar este tipo de delitos. Esta técnica trata de buscar el punto débil –

que en una cadena de seguridad siempre es el ser humano – y explotarlo a través de

técnicas psicológicas y habilidades sociales.

En el Congreso “Access All Areas” de 1997, se resume la importancia del factor

humano en este ámbito: “Aunque se dice que el único ordenador seguro es el que está

1 Glosario de Terminología Informática 2 En el siguiente artículo de Nociones, se tratará más explícitamente la Ingeniería Social.

Page 3: NOCIONES BASICAS DE PHISHING

SCELUS STUDIUM Educational Online Research Center

Padilla Hernández, Rebeca

3

desenchufado, los amantes de la ingeniería social gustan responder que siempre se

puede convencer a alguien para que lo enchufe”.

Ataque durante el Phishing.

Durante un ataque en la tipología delictiva cibernética del Phishing, se distinguen los

siguientes pasos:

• Falsificación de un ente de confianza. El Phisher se hace pasar por una persona o una empresa la

cual tiene una reputación bastante alta que genera confianza.

• Envío masivo de mensajes mediante algún medio. El agresor cibernético envía de forma abusiva

mensajes a miles de personas. Los medios de propagación suelen ser el correo electrónico, las

redes sociales, los SMS, las llamadas telefónicas o a través de infecciones Malware3.

• Esperar hasta que piquen. En este momento, el delincuente cibernético debe esperar a que los

usuarios que han recibido este mensaje crean que es real y hagan click en el mismo.

• Acceso a la web falsificada. La víctima que pulsa en el mensaje debe rellenar todos los datos que

le piden, sin saber que toda esa información está llegando a un tercero.

• Ataque realizado. El Phisher recibe los datos personales de la persona y empieza a usarlos para

robar dinero de la cuenta bancaria, usar la tarjeta de crédito, realizar alguna estafa, vender datos

personales, suplantar la identidad o envío masivo de publicidad.

3 Software malicioso.

Page 4: NOCIONES BASICAS DE PHISHING

SCELUS STUDIUM Educational Online Research Center

Padilla Hernández, Rebeca

4

TIPOS DE PHISHING.

Spray and Pray4 Es el más antiguo y menos completo que existe. Consiste en enviar de forma masiva a

millones de usuarios un email con el asunto “urgente, importante” del banco o servicio

popular. También puede llegar a ser el típico “Has ganado X objeto, reclámalo”.

No es necesario que conlleve el registro en una web, muchas veces solo piden una

contestación. Suele ser poco eficaz, pero tampoco se necesitan muchas víctimas para que

se considere exitoso.

Spear Phishing5 Técnica más sofisticada que tiene como finalidad atacar a organizaciones específicas,

grupos o incluso individuos para obtener la información personal, partiendo de un estudio

previo.

Ataca principalmente a empresas y organizaciones, por lo que los correos son más

elaborados y suelen llevar adjuntos cheques, facturas o un documento falso que al

descargarlo se instala el virus.

Vishing El llamado Phishing de voz. El usuario recibe una llamada con mensaje de voz que se

hace pasar por una institución financiera. Intentan convencerlo para que revele

información personal, tal como número PIN, por ejemplo.

Smishing El estafador envía un mensaje de texto a un teléfono móvil. Estos mensajes hacen pulsar

en un enlace o llamar a un número de teléfono. Suelen ser breves y llaman la atención

fácilmente para que la persona no se lo piense y efectúe lo reclamado.

Phishing de clonación Los agresores cogen un email legítimo y lo clonan. Esta copia exacta la envían a todos los

destinatarios previos, pero desde una dirección suplantada muy parecida a la original. Lo

único que cambia dentro del contenido, es que los enlaces y archivos adjuntos se han

modificado para dirigir a la víctima a sitios maliciosos.

Phising de Alojamiento de archivos Actualmente, muchas personas usan servicios de almacenamiento6 de archivos online

para hacer copias de seguridad, poder acceder a ellos y compartirlos. Esto es conocido

por los agresores cibernéticos, de manera que falsifican la pantalla de inicio ergo

consiguen las credenciales y pueden robar los datos.

Typosquatting En esta tipología, el Phisher no suplanta el dominio de web, sino que modifica la URL de

forma que sigue pareciendo real cuando realmente no lo es. En vez de poner una “l”,

cambiarla por una “I”, o usar letras del abecedario griego que se parezcan al nuestro,

como usar el símbolo “ƍ” en vez de “g”.

Clickjacking En este tipo de ataques, el Phisher coloca contenido clicable en botones legítimos.

Ejemplo de ello es el entrar en una web y que acto seguido salga el mensaje de aceptar las

cookies de esta. Realmente no es el aviso, sino que es un botón que ha puesto el agresor

cibernético y al pulsarlo, la víctima descarga un Malware.

4 También conocido como “Phishing fraudulento 5 En estos casos, cuando van a por un CEO de la compañía), el ataque se llama Whaling. 6 Tanto en Dropbox como en Google Docs es donde suelen ocurrir más casos.

Page 5: NOCIONES BASICAS DE PHISHING

SCELUS STUDIUM Educational Online Research Center

Padilla Hernández, Rebeca

5

Modalidades del agresor cibernético o Phisher.

A lo largo de los años, los ataques cibernéticos realizados por los Phisher han consistido

en suplantaciones de identidad haciéndose pasar por servicios de uso habitual y que

siempre no han solido generar desconfianza en su uso, ergo el sistema de defensa del

usuario suele estar en el nivel más bajo.

SERVICIO EXCUSA OBJETIVO

Bancos y cajas • Cambio en la normativa del banco.

• Cierre incorrecto de la sesión del usuario.

• Mejoras en las medidas de seguridad

• Intrusión detectada en los sistemas de seguridad.

• Bloqueo de la cuenta

.

• Robar números de la tarjeta de

crédito.

• Robar tarjetas de coordenadas.

• Robar PIN secreto

Pasarela de pago online –

Paypal, Mastercard, Visa • Cambio en la normativa del servicio.

• Cierre incorrecto de la sesión del usuario.

• Mejoras en las medidas de seguridad.

• Intrusión detectada en el sistema.

• Principalmente robar datos

bancarios

Redes Sociales • Recepción de un mensaje privado.

• Detección de conexiones extrañas en la cuenta

• Reseteo de contraseñas por motivo de seguridad.

• Robar cuentas de usuario.

• Obtener datos privados.

• Suplantar identidad.

Páginas de compra/venta

y subasta • Problemas en la cuenta del usuario.

• Detección de movimientos sospechosos.

• Actualización de las condiciones del uso de

servicio.

• Robar cuentas de usuarios.

• Estafar económicamente al usuario.

Juegos Online • Problemas en la cuenta del usuario.

• Movimientos sospechosos.

• Actualización de las condiciones del uso del

servicio.

• Robar cuentas de usuarios.

• Robar datos privados y bancarios al

usuario.

• Suplantar la identidad del usuario.

Soporte técnico y de ayuda

– helpdesk – de empresas

y servicios.

• Confirmación de la cuenta de usuario.

• Eliminación de cuentas inactivas.

• Actividad sospechosa detectada en la cuenta.

• Limite de capacidad de la cuenta superado.

• Robar cuentas.

• Robar datos privados al usuario.

Servicios de

almacenamiento en la

nube

• Revisión de algún documento añadido

recientemente.

• Conseguir cuentas de distintos

servicios de usuarios.

• Obtener información privada.

Page 6: NOCIONES BASICAS DE PHISHING

SCELUS STUDIUM Educational Online Research Center

Padilla Hernández, Rebeca

6

Servicios o empresas

públicas • Información sobre notificaciones.

• Recibo de multa

• Infectar el ordenador

• Robar datos privados

• Robar datos bancarios y estafar

económicamente al usuario.

Servicios de mensajería • Paquete enviado no ha podido ser entregado.

• Paquete en espera.

• Información sobre el seguimiento de un pedido.

• Infectar ordenadores.

• Robar datos privados.

• Robar datos bancarios.

Oferta de empleo falsas • Puestos de trabajo nuevos • Robar datos privados.

Nota: Recuperado varias fuentes de información referenciada en el último apartado- Copyright 2020 por Scelus Studium. Reprinted with permission.

Identificación de las falsificaciones.

Puede darse el caso que un correo o una web falsificada es el duplicado de la original y

se vuelve casi imperceptible cualquier anomalía o fallo. Aun así, estos son casos muy

concretos y excepciones a la realidad.

Como norma general, siempre se encuentran datos específicos que, al fijarse un usuario,

puede vislumbrar que no son verdaderos. Algunos de esos detalles son:

Page 7: NOCIONES BASICAS DE PHISHING

SCELUS STUDIUM Educational Online Research Center

Padilla Hernández, Rebeca

7

CORREO WEB • Dirección del remitente. El agresor cibernético suele

hacerse pasar por alguna compañía con la que ya se

haya tenido contacto previamente la víctima. Hay

que comprobar que en ambos correos la dirección

sea la misma.

• Nombre del dominio. Hay que comprobar que el

dominio del correo sea el correcto. El atacante

cibernético puede añadir algún sufijo que pasemos

por alto. Es recomendable confirmar que el dominio

es el correcto a través de una búsqueda en su web.

• Errores de ortografía y de gramática. Estos correos

suelen estar traducidos mediante herramientas

automáticas, por lo que suelen contener errores

graves de gramática y ortografía.

• Archivos adjuntos o enlaces sospechosos. Es

habitual que los correos lleven consigo un archivo

adjunto o un enlace que el usuario debe visitar. En el

caso de un archivo, lo último que tiene que hacerse

es descargarlo – sólo si se está 100% seguros se

puede hacer –. Por ello, antes es aconsejable pasarle

antivirus.

Si es un enlace, el usuario debe observar que está

escrito correctamente, pasar el ratón por encima para

ver si la web que sale es la misma o diferente. En

ambos casos, lo más sencillo y seguro es contactar

con la empresa en cuestión para verificarlo.

• Sensación de urgencia o demasiado bueno. El

Phisher lo que quiere es, a parte de captar la

atención de sus víctimas, que éstas actúen de forma

rápida.

Por lo que el correo suele avisar de algún problema

con la cuenta, los pagos a resolver de manera

inmediata7 o indicando el un premio de gran valor

que sólo se recibe al ser el más rápido en contestar.

• No están dirigidos de manera personal. Los correos

suelen empezar con un “Estimado cliente/a” en vez

• Dirección falsa. Esta dirección normalmente es la

que viene dentro del correo. Si se analiza, se observa

un conjunto de detalles que no cuadran. Ejemplo de

ello son los guiones o símbolos en algún lugar del

dominio, o que el nombre no sea exactamente el

mismo.

También puede vislumbrarse que se haya añadido

una palabra o letra antes del dominio. El añadir algo

al principio para que la persona piense que es una

versión web para móvil puede ser un ejemplo.

• Página sin cifrar. Si una web no está cifrada, los

datos no están seguros, ya que al iniciar sesión y

poner los datos, estos pueden ser interceptados por

terceras personas.

• Enlace oculto. Es común en casos de Smishing,

donde te envían una dirección acortada8, que al

clicar reenvía a la víctima a una web falsa.

• Cupones descuento o regalo. Más presente en redes

sociales o WhatsApp. Se recibe un enlace o foto que

al clicar lleva a la víctima al cupón o regalo donde

lo recibe a cambio de rellenar sus datos.

7 Suelen dar un plazo de 24 horas como máximo. 8 Muchas veces al querer compartir algo, la dirección es muy extensa. Para acortarlo y que quede mejor visualmente, hay diferentes

Webs que te proporcionan un link más corto y modificable. Es el caso de bitly.com

Page 8: NOCIONES BASICAS DE PHISHING

SCELUS STUDIUM Educational Online Research Center

Padilla Hernández, Rebeca

8

de empezar con los apellidos, que es como se hace

en los sitios oficiales.

• Se solicitan datos de acceso. Un correo que está

falsificado por un Phisher, pide datos de acceso a

cuentas, números de cuentas bancarias o tarjetas de

crédito. Esto nunca lo hará un correo que sea oficial.

• Dirección de correo pública. Toda empresa tiene

direcciones de correo propias, por lo que nunca se

ponen en contacto con el cliente haciendo uso de

una cuenta de Google, Hotmail, ni nada parecido.

• Logos e imágenes desproporcionados. Suelen estar

pixelados o cambiados de color – ya que los

agresores cibernéticos no tienen acceso al original –.

SUPUESTOS DE PHISHING.

El primer caso en el que aparece el nombre de Phishing y por ende, el concepto Phisher,

es durante los años 90.

Hasta el día de hoy se realizan algunos delitos cibernéticos que tienen bastante

importancia, ya fuese por innovación, el dinero perdido o la expansión que llega a tener.

Éstos son:

Page 9: NOCIONES BASICAS DE PHISHING

SCELUS STUDIUM Educational Online Research Center

Padilla Hernández, Rebeca

9

1995 America Online

Los agresores cibernéticos usan el correo electrónico o la mensajería instantánea para conseguir que

los usuarios divulguen sus contraseñas del servicio. Con esta información toman el control de las

cuentas y las usan para enviar spam y otras actividades similares.

2000 ILOVEYOU

Gusano9 en forma de mensaje de correo con el asunto “ILOVEYOU” y un archivo adjunto con el

nombre “LOVE-LETTER-FOR YOU.TXT.vbs” que al ser abierto, infectaba el ordenador y se

autoenviaba a las direcciones de correo que el usuario tuviera en su agenda de direcciones10.

2001 E-Gold

Primer ataque conocido contra un operador financiero. Los usuarios son engañados mediante spam

para que ingresen sus contraseñas en sitios webs.

2003 Paypal y eBay

Los Phisher usan gusanos para enviar correos electrónicos falsificados a los clientes de estas dos

grandes plataformas. Las víctimas son llevadas a sitios falsos donde se les pide la actualización de la

tarjeta de crédito y la información de identificación.

2009 Zeus11

Malware que se puede utilizar para robar información bancaria mediante el registro de teclas del

navegador y el acaparamiento de formularios

2013 Cryptlocker12

Se envía en forma de dos correos electrónicos diferentes. El primero tiene un archivo ZIP adjunto que

dice ser una queja de un cliente ergo está dirigido a empresas.

El segundo tenía un enlace malicioso con un mensaje sobre un problema para borrar un cheque y está

dirigido al público.

2013 – 2015 Facebook y Google

El atacante aprovecha que ambas compañías usan como proveedor la misma empresa – Quanta – para

enviar facturas falsas haciéndose pasar por la misma. Ambos son engañados con un valor de 100

millones de dólares.13

2014 Upsher-Smith Laboratories

El Phisher se hace pasar por el director ejecutivo y envía correos electrónicos al coordinador de

cuentas con las instrucciones a seguir para realizar nueve transferencias en las siguientes tres

semanas14.

9 Malware que se replica para propagarse a otros ordenadores. Suele utilizar una red informática para propagarse, aprovechando las

fallas de seguridad en el ordenador de destino. La finalidad es adueñarse de toda la red. 10 Llega a infectar unos 50 millones de equipos y produce pérdidas del valor de 5 mil millones de dólares. 11 Aparece en 2007, pero se generaliza en 2009 cuando empieza a afectar a empresas como Bank of América, NASA, ABC, Amazon

entre otras. 12 Llega a infectar 250.000 ordenadores personales. 13 Después del juicio pudieron recuperar 49.7 millones – casi el 50% –. 14 A mitad de camino se descubre el ataque y la empresa puede rebajar la pérdida de 50 millones de dólares a 39. Aún así demanda

al banco por no darse cuenta de las “señales de alerta”.

Page 10: NOCIONES BASICAS DE PHISHING

SCELUS STUDIUM Educational Online Research Center

Padilla Hernández, Rebeca

10

2015 Ubiquiti Networks

Ataque bastante parecido al anterior. El agresor cibernético realiza un ataque BEC15 donde se hace

pasar por el director ejecutivo y por el abogado de la empresa per se, para ordenarle al director de

contabilidad que realizase una serie de transferencias para cerrar una adquisición secreta16.

2016 Crelan Bank

A través de un ataque BEC, los agresores cibernéticos comprometen la cuenta de un ejecutivo e

instruyen a un empleado para que haga una serie de transferencias bancarias. Pasado el tiempo, se

descubre el hecho delictivo a través de una auditoría interna. Aun así, tienen una pérdida de 78

millones de dólares.

2016 FACC

El delincuente cibernético se hace pasar por Walter Stephan, exdirector ejecutivo, y ordena a un

empleado del departamento de contabilidad que envíe 61 millones de dólares a una cuenta extranjera

como parte de un “proyecto de adquisición”.

2020 Twitter

Algunos empleados son acometidos por un ataque telefónico – por agresores cibernéticos que se hacen

pasar por miembros del equipo de seguridad – y consiguen que, durante el mismo, las víctimas revelen

las credenciales que usan para acceder a los sistemas internos.

Gracias a ello se pudo tuitear, a posteriori, en perfiles de famosos promoviendo una estafa de

Bitcoins17.

Nota: Recuperado varias fuentes de información referenciada en el último apartado- Copyright 2020 por Scelus Studium. Reprinted with permission.

15 Business Email Compromise (BEC). Tipo de estafa dirigida a empresas que realiza transferencias bancarias y tiene proveedores

en el extranjero. Se falsifican las cuentas de altos directivos a través de Phishing o registradores de pulsaciones. 16 La empresa detuvo las transferencias futuras cuando le llegó un aviso del FBI de que una de las cuentas bancarias a la que se hacía

una transferencia podría haber sido víctima de un fraude. 17 Moneda virtual con gran valor económico.

Page 11: NOCIONES BASICAS DE PHISHING

SCELUS STUDIUM Educational Online Research Center

Padilla Hernández, Rebeca

11

Actualidad.

Hasta día de hoy, los equipos de seguridad se centran en proteger a los usuarios de las

amenazas de las redes y aplicaciones dentro del perímetro de la red. Pero esto ha

cambiado.

En 2020 se produce un cambio imprevisible en la estructura de la red generado por la

pandemia conocida como Co-Vid19 o SARS-CoV-2. Esto provoca un aumento

exponencial del uso de IoT18 y una dependencia de las redes domésticas y los

dispositivos de consumo – entendidos como routers y módems – que los

ciberdelincuentes no han dudado en aprovechar.

El aumento del teletrabajo también centra una atención considerable en la seguridad de

los dispositivos personales que se utilizan para conectarse a la red corporativa como

móviles, tablets u ordenadores. Esto repercute en una oportunidad de explotar estos

dispositivos para llegar a las redes empresariales que los Phishers usan per se.

Cada día la protección es más difícil: los agresores cibernéticos tienen acceso a mejores

recursos, y ya no sólo tienen un punto de ataque – que es la red empresarial –, sino que

aprovechan la baja seguridad que suele haber en las redes domésticas como puente

hacia su destino.

Día a día es palpable el hecho de que los ataques de Phishing se innovan y buscan

nuevas maneras de aplacar los servicios en la nube y las plataformas de videojuegos19,

entre otros.

18 Internet de las cosas. 19 En 2019, Valve – plataforma más grande de videojuegos – sufre una oleada de ataques con la intención de robar el máximo de

cuentas posibles.

Page 12: NOCIONES BASICAS DE PHISHING

SCELUS STUDIUM Educational Online Research Center

Padilla Hernández, Rebeca

12

También surgen tipos nuevos de Phishing, como el denominado Spy-phishing, el cual

surge gracias al gran avance de la banca online. Éste tiene la finalidad de monitorear

todo el tráfico web hasta entrar en la web de destino, a través de un troyano enviado por

correo. En ese momento, todo dato confidencial que la víctima introduzca es enviado al

Phisher.

Con todas estas innovaciones, es necesario buscar nuevas formas de aprendizaje y

protección para las víctimas. El estudio realizado por Tchakounté y cols. (2020) muestra

como se mezclan los ataques Phishing con las lógicas descriptivas basadas en

ontologías para poder recrear posibles modalidades de ataque. Con lo que, ya no solo se

estudia lo ocurrido, sino que se le intenta dar forma al posible futuro.

Conclusión

Se puede decir que el Phisher es uno de los delincuentes informáticos que más ha ido

creciendo en los últimos años – y que crecerá a medida que vaya pasando el tiempo.

Son delincuentes que no necesitan un gran conocimiento de informática para la mayoría

de sus modalidades y que, al no tener como objetivo engañar al 100% de los usuarios,

con un porcentaje muy pequeño de contestaciones ya se dan por satisfechos.

Por otro lado, se percibe que hay innumerable cantidad de gente que día a día se inicia

en el uso de todo tipo tecnologías de manera descontrolada, por lo que es lógico que el

número de víctimas con conocimiento nulo se acrecente y se tornen en presas fáciles

para los agresores cibernéticos. Dato contrastado por servidora.

A suma de todo lo expuesto, se añade la dificultad que tiene la ciberseguridad de poder

crear una defensa previa que actúe de escudo para las futuras víctimas, ya que entran en

un problema cíclico: cuando aparece algo innovador, buscan como proteger al usuario

Page 13: NOCIONES BASICAS DE PHISHING

SCELUS STUDIUM Educational Online Research Center

Padilla Hernández, Rebeca

13

mientras miles de delincuentes cibernéticos, por su parte, hallan millones de formas de

manipularlo dichas barreras de protección e incluso nuevas maneras de ataque e

intrusión en las redes.

REFERENCIAS.

ARTÍCULOS DE DIVULGACIÓN.

Instituto Nacional de Tecnologias de la comunicación. Estudio sobre usuarios y entidades públicas y privadas afectadas por la

práctica fraudulenta conocimida como phishing (2007). Observatorio de la seguridad de la Información. 36 – 120.

Jensen, M. L., Dinger, M., Wright, R. T., Thatcher, J. B.. (2007) Training to Mitigate Phishing Attacks Using Mindulness

Techiques. Journal of Management Information System, 34(2), 597-626. DOI: 10.1080/07421222.2017.1334499

WEBS.

“2FP (Second Factor Phishing): La peligrosa evolución del phishing tradicional” https://cybersecuritynews.es/2fp-second-factor-

phishing-la-peligrosa-evolucion-del-phishing-tradicional/ [consultado el 24/11/2020 12:35 horas]

“5 Costly phishing attacks in recent history” https://www.graphus.ai/5-costly-phishing-attacks-in-recent-history/ [consultado el

24/11/2020 17:05 horas]

“6 claves para reconocer correos de phishing” https://www.welivesecurity.com/la-es/2015/01/23/6-claves-reconocer-correos-de-

phishing/ [consultado el 24/11/2020 10:35 horas]

“Aprendiendo a identificar los 10 phishing más utilizados por ciberdelincuentes”

https://www.osi.es/es/actualidad/blog/2014/04/11/aprendiendo-identificar-los-10-phishing-mas-utilizados-por-

ciberdelincuen [consultado el 24/11/2020 10:39 horas]

“Breve historia del phishing” https://www.websecurity.digicert.com/es/es/security-topics/brief-history-phishing-part-1 [consultado

el 24/11/2020 12:20 horas]

“Business Email Compromise (BEC)” https://www.trendmicro.com/vinfo/us/security/definition/business-email-compromise-(bec)

[consultado el 24/11/2020 16:48 horas]

“Cómo detectar si una URL puede ser un ataque Phishing” https://www.redeszone.net/tutoriales/seguridad/reconocer-web-ataque-

phishing/ [consultado el 25/11/2020 17:54 horas]

“Cómo identificar phishing. Centre de Seguretat TIC de la Comunitat Valenciana”. https://concienciat.gva.es/wp-

content/uploads/2018/03/infor_como_identificar_phishing.pdf [consultado el 25/11/2020 18:25 horas]

Page 14: NOCIONES BASICAS DE PHISHING

SCELUS STUDIUM Educational Online Research Center

Padilla Hernández, Rebeca

14

“Cómo reconocer y evitar las estafas de phishing” https://www.consumidor.ftc.gov/articulos/como-reconocer-y-evitar-las-estafas-

de-phishing [consultado el 25/11/2020 19:10 horas]

“Conoce a fondo qué es el phishing” https://www.osi.es/es/banca-electronica [consultado el 24/11/2020 10:38 horas]

“De los botnets al phishing: la evolución del panorama de amenazas en la era covid19” https://globbsecurity.com/de-los-botnets-

al-phishing-la-evolucion-del-panorama-de-amenazas-en-la-era-covid19-46190/ [consultado el 24/111/2020 12:39 horas]

“Del Phishing al smishing” https://www.itdigitalsecurity.es/reportajes/2018/03/del-phishing-al-smishing [consultado el 25/11/2020

12:46 horas]

“El bitcoin cumple 10 años: qué es y cómo funciona la mayor criptomoneda de la historia” https://www.bbc.com/mundo/noticias-

46037430 [consultado el 25/11/2020 17:17 horas]

Glosario de Terminología Informática http://www.tugurium.com/gti/termino.php?Tr=phishing [consultado el 24/11/2020 11:13

horas]

“GP4.3 - GROWTH AND FRAUD - CASE #3 – PHISHING” http://financialcryptography.com/mt/archives/000609.html

[consultado el 24/11/2020 14:09 horas]

“Guía esencial del phishing: cómo funciona y cómo defenderse” https://www.avast.com/es-es/c-phishing [consultado el 24/11/2020

10:37 horas]

“History of Phishing” https://www.phishing.org/history-of-phishing [consultado el 24/11/2020 13:12 horas]

““I love you”, el virus informático más famoso de la historia, cumplió 20

años”https://www.infobae.com/america/tecno/2020/05/07/i-love-you-el-virus-informatico-mas-famoso-de-la-historia-

cumplio-20-anos/ [consultado el 24/11/2020 14:03 horas]

“Ingeniería social” https://www.avast.com/es-es/c-social-engineering [consultado el 24/11/2020 11:38 horas]

“INGENIERÍA SOCIAL: MENTIRAS EN LA RED” http://ww2.grn.es/merce/2002/is.html [consultado el 24/11/2020 1335 horas]

“La evolución del phishing: bienvenido "Vishing"” https://portal.cci-entel.cl/Threat_Intelligence/Boletines/670/ [consultado el

24/11/2020 11:43 horas]

“La evolución del Phishing, en el Foro Eset 2017” https://ladob.net/2017/11/15/la-evolucion-del-phishing/ [consultado el

24/11/2020 12:35 horas]

“La Evolución del Phishing: Tendencias en Ataques, Consejos y Trucos.” https://cryptoseguridad.com/la-evolucion-del-phishing-

tendencias-en-ataques-consejos-y-trucos/ [consultado el 24/11/2020 16:55 horas]

“Los 5 mayores ciberataques de la historia” https://www2.deloitte.com/es/es/pages/risk/articles/los-cinco-mayores-ciberataques-

de-la-historia.html [consultado el 24/11/2020 12:52 horas]

“Los 10 peores ataques hacker de la historia” https://computerhoy.com/listas/tecnologia/10-peores-ataques-hacker-historia-277193

[consultado el 24/11/2020 12:52 horas]

“Phishing” https://www.pandasecurity.com/es/security-info/phishing/ [consultado el 24/11/2020 10:14 horas]

“'Phishing' y 'smishing', ¿qué son y cómo evitarlos?” https://www.bbva.com/es/phishing-y-smishing-que-son-y-como-evitarlos/

[consultado el 24/11/2020 10:45 horas]

Page 15: NOCIONES BASICAS DE PHISHING

SCELUS STUDIUM Educational Online Research Center

Padilla Hernández, Rebeca

15

“Qué es el Clickjacking” https://backtrackacademy.com/articulo/que-es-el-clickjacking [consultado el 25/11/2020 16:20 horas]

“¿Qué es el malware?” https://www.avast.com/es-es/c-

malware#:~:text=Malware%20es%20un%20t%C3%A9rmino%20general,su%20dispositivo%20sin%20su%20conocimie

nto. [consultado el 24/11/2020 16:24 horas]

“¿QUÉ ES EL PHISHING?” https://www.infospyware.com/articulos/que-es-el-

phishing/#:~:text=El%20estafador%2C%20conocido%20como%20phisher,de%20un%20malware%20o%20incluso

[consultado el 24/11/2020 10:08 horas]

“¿Qué es el phishing?” https://www.akamai.com/es/es/resources/what-is-phishing.jsp [consultado el 24/11/2020 10:41 horas]

“¿Qué es Phishing?” https://softwarelab.org/es/que-es-phishing/ [consultado el 24/11/2020 11:00 horas]

“¿Qué es el phishing?” https://es.mailjet.com/blog/news/que-es-phishing/ [consultado el 25/11/2020 13:28 horas]

“¿Qué es un gusano informático?” https://softwarelab.org/es/que-es-un-gusano-informatico/ [consultado el 24/11/2020 14:01

horas]

“¿Qué pasos debo seguir para protegerme contra el phishing o suplantación de identidad en Facebook?”

https://www.facebook.com/help/166863010078512 [consultado el 24/11/2020 10:13 horas]

“¿Sabes cómo funciona el Phishing?” https://www.fundacionunam.org.mx/unam-al-dia/sabes-como-funciona-el-phishing/

[consultado el 24/11/2020 10:12 horas]

“Spy-phishing - a new breed of blended threats” https://www.virusbulletin.com/conference/vb2006/abstracts/spy-phishing-new-

breed-blended-threats/ [consultado el 25/11/2020 19:57 horas]

“Suplantación de identidad (phishing)” https://es.malwarebytes.com/phishing/ [consultado el 24/11/2020 10:36 horas]

“Te contamos las tendencias actuales de los correos electrónicos maliciosos” https://www.osi.es/es/actualidad/blog/2017/04/12/te-

contamos-las-tendencias-actuales-de-los-correos-electronicos [consultado el 25/11/2020 19:37 horas]

“The 5 Most Expensive Phishing Scams of all Time” https://www.checkpoint.com/cyber-hub/threat-prevention/what-is-

phishing/the-top-5-phishing-scams-of-all-times/ [consultado el 24/11/2020 13:48 horas]

“Twitter afirma que un ataque phishing condujo al mayor hackeo de su historia”

https://comunicacionmarketing.es/redes/31/07/2020/twitter-afirma-que-un-ataque-phishing-condujo-al-mayor-hackeo-de-

su-historia/16006.html [consultado el 24/11/2020 13:01 horas]