Investigación, Ciencia y Tecnología en Informática

Estrategias para evitar ataques de Phishing

en Empresas
Lourdes Isabel Chambi Machaca
Postgrado en Informática
Universidad Mayor de San Andrés
La Paz - Bolivia
[email protected]

Resumen—El phishing y las estafas son llevadas a cabo por A. Problemática

personas malintencionadas, estos encuentran diferentes medios
Se cuentan con diferentes reportes e informes de seguridad
para acceder a información confidencial, privada o de uso interno
que son realizados por empresas de seguridad informática a
de diferentes empresas, como ser el envío de mensajes de correo
electrónico, documentos con spyware, aprovechar
nivel región Latinoamérica, permite tener un panorama general
vulnerabilidades en los sistemas de información y comunicación, para entender qué prácticas se están llevando a cabo, cuáles son
mensajes de texto, utilizar la ingeniería social u otros medios sus preocupaciones y cómo trabajan para proteger la
pueden utilizarse para distribuir información errónea, obtener infraestructura tecnológica, comunicaciones y activos en
ganancias financieras ilícitas y buscar información personal y seguridad de la información, informática y ciberseguridad.
sensible de una víctima. Los empleados víctimas de los ataques La empresa Cisco en su reporte anual del año 2018 indica
pueden exponer datos críticos de la empresa o personal ubicados
que no importa cuánto cambie el panorama de las amenazas, el
no sólo en su propia computadora, sino en toda una red y así robar
credenciales de acceso, directorios de correos electrónicos
correo electrónico malicioso y el correo no deseado siguen
corporativos, números de cuenta, números de Seguro Social, entre siendo herramientas vitales para que los adversarios distribuyen
otra información, estos métodos se encuentran desde hace mucho malware porque llevan las amenazas directamente al punto final.
tiempo, siendo los más populares y eficaces utilizados por los Al aplicar la combinación correcta de técnicas de ingeniería
ciberdelincuentes, Si estos consiguen esa información, podrían social, como phishing y enlaces maliciosos y archivos adjuntos,
acceder a su cuenta de email, banco u otras cuentas y lograrían su los adversarios solo tienen que sentarse y esperar a que los
objetivo de dañar a una empresa, desde afectar su imagen y usuarios desprevenidos activen sus exploits [2].
generar pérdidas económicas que dependiendo a su impacto, estas
El laboratorio de investigación VU Labs como resultado del
pueden concluir en el cierre de la misma.
reporte de ciberseguridad anual realizados entre 2018 y 2019
Palabras clave—ataque, informática, información, phishing, sobre las amenazas online que se perciben con mayor frecuencia,
riesgos, sistemas, tecnología. el 88,4% destaca el phishing y el 82,2% menciona al malware,
mientras que el 58,2% se refiere al ransomware. La percepción
I. INTRODUCCIÓN se mantiene constante a través de los diferentes países
En los últimos años, se presenta un incremento de noticias latinoamericanos encuestados [3].
sobre fraudes, ataques cibernéticos y amenazas en la red, los
cuales alcanzan tanto a particulares como a empresas, se ha
demostrado la importancia de generar conciencia social sobre la
necesidad de proteger la identidad digital de las personas,
prevenir los fraudes y mantener la privacidad de la información.
Entre las amenazas que vienen ganando las primeras
posiciones en las detecciones de las diferentes soluciones que
ofrecen las empresas de seguridad, se ubican las relacionadas
con el criptojacking4. El aumento en la cotización de algunas Fig. 1. Ataque cibernético más frecuente. Fuente: VU Labs
divisas digitales ha generado una especie de “fiebre por las
criptomonedas”, en la que la minería no solo es llevada a cabo Los adversarios están llevando el malware a niveles de
por las personas que intentan ganar dinero de manera legítima. sofisticación e impacto sin precedentes. El número y la variedad
Los cibercriminales aprovechan esta situación desarrollando es cada vez mayor de tipos de malware y familias que perpetúan
amenazas y provocando ataques para apropiarse de las monedas el caos en el panorama de ataque al socavar los esfuerzos de los
digitales, o bien, utilizando los recursos de cómputo de los defensores para ganar y mantener el terreno ante las amenazas.
usuarios de Internet, que de manera involuntaria contribuyen a B. Objetivos
la minería para beneficios de terceros [1].
De acuerdo a lo detallado en líneas precedentes y mediante
los reportes se pudo evidenciar que el método más utilizado por
los ciberdelincuentes para el robo de información, vulneración

Para referenciar este artículo (IEEE):

[N] L. Chambi, «Estrategias para evitar ataques de Phishing en Empresas,» Revista PGI. Investigación,
Ciencia y Tecnología en Informática, nº 7, pp. 65-68, 2020.
65
 Postgrado en Informática

de sistemas de información y comunicación es el Phishing. En El objetivo de estos enlaces es instalar un malware en el

ese entendido, es que la investigación científica tiene el siguiente dispositivo o dirigir a la víctima a un sitio web malicioso
objetivo: “Proponer estrategias para minimizar riesgos de configurado para engañarlos y divulgar información personal y
ataques de Phishing a empleados en empresas”. financiera, como contraseñas, identificaciones de cuenta o
detalles de la tarjeta de crédito [5].
C. Hipótesis
La aplicación de estrategias minimizará los riesgos de D. ¿Cómo reconocer el Phishing?
ataques de Phishing a empleados en empresas. Los estafadores suelen actualizar sus tácticas, pero hay
algunos indicios que ayudarán a reconocer un email o mensaje
II. MARCO TEÓRICO de texto de tipo phishing.
A. Que es el Phishing Puede que los emails y mensajes de texto phishing parezcan
El phishing es un método que los ciberdelincuentes utilizan enviados por una compañía conocida o en la cual la empresa
para engañarle y conseguir que revele información personal, confía. Pueden tener el mismo aspecto que los mensajes
como contraseñas o datos de tarjetas de crédito y de la seguridad enviados por un banco, una compañía de tarjeta de crédito, un
social y números de cuentas bancarias. Lo hacen mediante el sitio de redes sociales, un sitio web o aplicación de pagos en
envío de correos electrónicos fraudulentos o dirigiéndose a un línea o una tienda en línea [5].
sitio web falso [4]. A menudo, en los emails y mensajes de texto phishing le
El término Phishing es utilizado para referirse a uno de los cuentan una historia para engañarlo y lograr que usted haga clic
métodos más utilizados por delincuentes cibernéticos para en un enlace o abra un archivo adjunto. Los mensajes podrían:
estafar y obtener información confidencial de forma fraudulenta
• Decir que se ha detectado alguna actividad sospechosa
como puede ser una contraseña o datos de tarjetas de crédito y
o intentos de inicio de sesión.
de la seguridad social y números de cuentas bancarias. Lo hacen
mediante el envío de correos electrónicos fraudulentos o • Afirmar que hay un problema con su cuenta o con su
dirigiéndose a un sitio web falso. información de pago.
El estafador, conocido como phisher, se vale de técnicas de • Decir que debe confirmar algunos datos personales.
ingeniería social, haciéndose pasar por una persona o empresa
de confianza en una aparente comunicación oficial electrónica, • Incluir una factura falsa.
por lo general un correo electrónico, o algún sistema de • Pedirle que haga clic en un enlace para hacer un pago.
mensajería instantánea, redes sociales SMS/MMS, a raíz de un
malware o incluso utilizando también llamadas telefónicas. • Decir que usted es elegible para registrarse para recibir
un reembolso del gobierno.
B. Procedencia del Phishing
Los mensajes de phishing parecen provenir de • Ofrecerle un cupón para algo gratis.
organizaciones legítimas como PayPal, UPS, una agencia E. Los usuarios y Phishing
gubernamental o su banco. Sin embargo, en realidad se trata de
imitaciones. Los correos electrónicos solicitan amablemente que Siendo el phishing el ataque online más frecuente, la
actualice, valide o confirme la información de una cuenta, prevención de fraude y la protección de la identidad adquieren
sugiriendo a menudo que hay un problema. Entonces se le cada vez mayor importancia. En el último año, los ataques
redirige a una página web falsa y se le embauca para que facilite automatizados a corporaciones fueron noticia más de una vez, al
información sobre su cuenta, lo que puede provocar el robo de causar el robo de datos de miles de millones de usuarios
su identidad [4]. alrededor del mundo [7].

C. ¿Cómo funciona el Phishing? La autenticación de doble factor de autenticación se

consolida como una herramienta fundamental para proteger la
Los ataques de phishing usan las redes sociales conectadas identidad de los usuarios, seguida de cerca por el análisis de
al correo electrónico como LinkedIn, Facebook y Twitter para patrones de comportamiento, que facilita la validación de la
recopilar información sobre la persona, su trabajo, sus intereses identidad y la obtención de información adicional para verificar
y sus actividades. Esta información la usan para crear un correo movimientos sospechosos e inusuales.
electrónico creíble que contenga un enlace o archivo adjunto
malicioso [4].
Aunque muchos correos electrónicos de phishing están mal
escritos y son claramente falsos, cada vez se van mejorando.
Algunos atacantes ya usan las mismas técnicas que los
profesionales del marketing para identificar los tipos de
mensajes más efectivos.
Por lo general, la víctima recibe un mensaje que parece haber
sido enviado por un contacto u organización conocida. El ataque
se lleva a cabo a través de un archivo adjunto malicioso que
contiene un software de suplantación de identidad o mediante
enlaces que se conectan a sitios web maliciosos.
Fig. 2. El área más afectada por una brecha en ciberseguridad.
Fuente: Elaboración propia

66
 Investigación, Ciencia y Tecnología en Informática

F. Ingeniería social Adicionalmente, se recolectó y analizó la información del

Siendo el phishing el ataque online más frecuente, la estado actual en cuanto a el conocimiento de los empleados de
prevención de fraude y la protección de la identidad adquieren la empresa que se llevó a cabo entre febrero del 2020 a mayo de
cada vez mayor, la ingeniería social sigue siendo una plataforma 2020:
crítica para el lanzamiento de ataques de correo electrónico. • Revisión de documentación: Proceder a la revisión de
El phishing y el spear phishing son tácticas usadas para robar todos los datos recabados en la investigación social,
las credenciales de los usuarios y otra información sensible y eso reportes y documentación para obtener resultados que
se debe a que son muy efectivas. De hecho, los correos coadyuvará en el avance de la investigación.
electrónicos de phishing y spear phishing fueron la raíz de • Cuestionarios: Las preguntas de los cuestionarios
algunas de las brechas más grandes que acaparan los titulares en fueron cerradas y de selección múltiple, dirigido a
los últimos años [7]. personal de diferentes áreas, seleccionados
Para evaluar cuán prevalecientes son las URL y los dominios aleatoriamente, para obtener el estado actual.
de phishing en la Internet de hoy, los investigadores de • Entrevistas: Estas fueron dirigidas a personal del área de
amenazas de Cisco examinaron datos de fuentes que investigan tecnologías de la información.
correos electrónicos potencialmente "phishy" enviados por
usuarios a través de inteligencia contra amenazas de phishing La investigación es desarrollada sobre los resultados
basada en la comunidad. obtenidos del análisis realizado por las técnicas de investigación
y la evaluación de estándares y normas internacionales para la
La percepción de los ataques más frecuentes descritos seguridad de la información y así minimizar los ataques de
anteriormente coincide con los resultados presentados en Phishing a empleados de empresas. Las estrategias a proponer
diferentes reportes dedicados a estudiar los ataques más están sustentadas en los estándares internacionales, buenas
frecuentes en empresas de América Latina durante 2019 de prácticas y resultados obtenidos en diferentes reportes
acuerdo a la información y reportes de diferentes empresas de publicados por empresas especializadas en seguridad
seguridad, indican los siguientes ataques como frecuentes: informática. Por otra parte, para definir las estrategias se las
realizó en función a los puntos más críticos que fueron
detectados en los cuestionarios realizados a diferentes
empleados.
IV. RESULTADOS
En las encuestas realizadas a los empleados se obtuvieron los
siguientes resultados:
• De acuerdo a los cuestionarios se pudo evidenciar que
al menos el 60% de los empleados encuestados no
tienen conocimiento del Phishing. Cabe indicar que, del
40% que demostró conocer sobre este método, el 30%
fue personal del área de tecnologías de la información.
Fig. 3. Ataques frecuentes. Fuente: Elaboración propia • El resultado de la entrevista a personal del área de
Tecnologías de la información demostró que no se
Los ataques de phishing siguen siendo tan efectivos en la cuentan con los equipos en hardware y software
actualidad. En este sentido, los especialistas identificaron suficientes para luchar contra los ataques de Phishing
algunos puntos clave para explicar este fenómeno, entre los como el de la seguridad informática en general.
cuales está: su constante evolución, las técnicas de persuasión
que utilizan y el poco conocimiento de los usuarios acerca de • Personal del área de tecnologías de la información no
qué es el phishing. tienen reportes y/o informes dedicados a la seguridad
informática, por lo cual no se tienen identificadas las
III. METODOLOGÍA vulnerabilidades presentes; asimismo, no se cuenta con
La presente investigación es de un enfoque cualitativo. Este personal especializado en seguridad informática.
es un proceso que recolecta; analiza y vincula datos en un mismo
• La empresa no asigna presupuesto para la seguridad
estudio, o una serie de investigaciones para investigar la
informática que pueda luchar contra los ataques de
problemática.
Phishing como también los de malware, ransomware,
Relevamiento de información: Se utilizaron diferentes man-in-the-middle, DoS, pharming y vishing.
reportes e informes de empresas especializadas en seguridad y
que cuentan con el reconocimiento, profesionales en el área y V. DISCUSIÓN
laboratorios específicos para realizar las encuestas, entrevistas y Debido al resultado obtenido en los cuestionarios, la
estadísticas del resultado de las investigaciones realizadas en educación sigue siendo un factor clave para reducir el número
diferentes países de la región latinoamericana, como ser de víctimas de este tipo de ataque. Otro factor clave para reducir
Argentina, Bolivia, Chile, Colombia, Costa Rica, Ecuador, el número de víctimas del phishing es implementar el uso del
España, Guatemala, Italia, México, Panamá, Perú, República doble factor de autenticación en todos los servicios que esté
Dominicana y Uruguay, entre otros [6]. disponible para evitar que terceros puedan acceder a nuestras

67
 Postgrado en Informática

cuentas en caso de ser víctimas del robo de credenciales de 8. Implementar un servicio de ciberseguridad externo
acceso. integrado con los servicios core de una empresa.
A continuación, se detallan las estrategias propuestas para VI. CONCLUSIONES
reducir riesgos de ataques de Phishing en función de los
resultados obtenidos: Con la ejecución de las estrategias indicadas previamente, se
pudo comprobar la hipótesis planteada y minimizar riesgos de
1. Crear un programa de concientización de seguridad que ataques de Phishing a empleados en la empresa, cumpliendo así
incluya a todos los empleados, en el cual se debe con el objetivo propuesto.
reforzar la concientización en la parte gerencial y
empleados que tengan un equipo de computación REFERENCIAS
ubicado en un lugar de acceso por terceros. [1] ESET Security Report 2018. ESET. (18 de junio 2018). Recuperado de
https://www.welivesecurity.com/
2. Realizar un análisis para detectar los altos riesgos y [2] Cisco Systems (2018). Cisco 2018 Reporte anual de Ciberseguridad.
proponer controles para la mitigación de riesgos. Recuperado de https://www.cisco.com
3. Incrementar la inversión en tecnología para la [3] Informe ciberseguridad en entornos digitales. Vu Labs. (2019).
Recuperado de https://www.vusecurity.com/
implementación de soluciones tecnológicas de
[4] ¿Qué es el Phishing? ESET. (21 de noviembre 2013). Recuperado de
seguridad como defensa. https://www.welivesecurity.com/
4. Realizar al menos una vez al año pruebas de pentesting. [5] Phishing. Panda Security. (10 de agosto 2018). Recuperado de
https://www.pandasecurity.com/
5. Incrementar el presupuesto para la capacitación del [6] Latinoamérica registró una media de 9 ciberataques por segundo en doce
personal de seguridad informática y/o seguridad de la meses. (15 de agosto de 2018). MercoPress. Recuperado de
información. http://es.mercopress.com
[7] Stephen, F. (25 de abril de 2018). Lo más destacado del Reporte de
6. Actualizarse periódicamente sobre la evolución de Ciberseguridad Cisco 2018. Blog Cisco Latinoamérica. Recuperado de
nuevos métodos de phishing. https://gblogs.cisco.com

7. Realizar la división entre el equipo de Tecnologías de

información y Seguridad Informática y/o de
información.

Breve CV de la autora
Lourdes Isabel Chambi Machaca es Ingeniera de Sistemas, diplomada en Educación Superior, Auditoría Informática y Seguridad
de la Información por el Postgrado en Informática UMSA. Actualmente realiza la Maestría en Informática Forense, Seguridad de la
Información y Auditoría Informática en el Postgrado en Informática UMSA. Email: [email protected].

68