NOCIONES BASICAS DE PHISHING
Transcript of NOCIONES BASICAS DE PHISHING
SCELUS STUDIUM Educational Online Research Center
Padilla Hernández, Rebeca
1
NOCIONES BASICAS DE PHISHING
Padilla Hernández, Rebeca
Investigadora Privada especializada en Ciberseguridad y Hacking ético
ABSTRACT.
El Phishing es el intento de engañar al receptor de un mensaje para que lo abra, crea que
es fiable y siga las instrucciones que se detallan en él. Tienen como finalidad recolectar
la máxima de información privada de la víctima para luego usarla en su beneficio.
Conforme van surgiendo nuevas tecnologías, se innova y perfecciona la forma de atacar
del agresor cibernético.
Phishing is the attempt to trick the recipient of a message into opening it, believing it to
be trustworthy, and following the detailed instructions. They aim to collect the
maximum private information from the victim and then use it to their advantage. As new
technologies emerge, the cyber offender innovates and refines the way it attacks.
Copyright @2020 Scelus Studium Educational Online Research Center.
Key Words: Phishing, Phisher, estafa, emails, web, datos personales, Vishing,
Smishing, servicios, urgencia, IoT, falsificación.
SCELUS STUDIUM Educational Online Research Center
Padilla Hernández, Rebeca
2
CONCEPTO DE PHISHING.
Según el GTI1, el phishing es una técnica que consiste en atraer mediante el uso del
engaño a un usuario o víctima hacia un sitio Web falso con la intención de obtener
información sensible del este.
Se le da este nombre por la semejanza que tiene con el acto de “pescar”. En otras
palabras, el agresor cibernético lanza un cebo atractivo para ver si alguna víctima pica
en el anzuelo con la pretensión de conseguir de los datos personales – entendidos como
información personal, contraseñas, datos de tarjetas de crédito o de la seguridad social,
números de cuentas bancarias de otra persona, entre otros – mediante el uso de
artimañas o engaños.
Es considerada como una de las estafas más antiguas y mejor conocidas de Internet, la
cual consta de tres componentes:
• Ataque: realizado a través de comunicaciones electrónicas.
• Atacante: usuario que se hace pasar por una persona u organización de confianza.
• Objetivo: obtener información personal confidencial.
El estafador, más conocido como Phisher, suele usar las técnicas de Ingeniería social2
para llegar a realizar este tipo de delitos. Esta técnica trata de buscar el punto débil –
que en una cadena de seguridad siempre es el ser humano – y explotarlo a través de
técnicas psicológicas y habilidades sociales.
En el Congreso “Access All Areas” de 1997, se resume la importancia del factor
humano en este ámbito: “Aunque se dice que el único ordenador seguro es el que está
1 Glosario de Terminología Informática 2 En el siguiente artículo de Nociones, se tratará más explícitamente la Ingeniería Social.
SCELUS STUDIUM Educational Online Research Center
Padilla Hernández, Rebeca
3
desenchufado, los amantes de la ingeniería social gustan responder que siempre se
puede convencer a alguien para que lo enchufe”.
Ataque durante el Phishing.
Durante un ataque en la tipología delictiva cibernética del Phishing, se distinguen los
siguientes pasos:
• Falsificación de un ente de confianza. El Phisher se hace pasar por una persona o una empresa la
cual tiene una reputación bastante alta que genera confianza.
• Envío masivo de mensajes mediante algún medio. El agresor cibernético envía de forma abusiva
mensajes a miles de personas. Los medios de propagación suelen ser el correo electrónico, las
redes sociales, los SMS, las llamadas telefónicas o a través de infecciones Malware3.
• Esperar hasta que piquen. En este momento, el delincuente cibernético debe esperar a que los
usuarios que han recibido este mensaje crean que es real y hagan click en el mismo.
• Acceso a la web falsificada. La víctima que pulsa en el mensaje debe rellenar todos los datos que
le piden, sin saber que toda esa información está llegando a un tercero.
• Ataque realizado. El Phisher recibe los datos personales de la persona y empieza a usarlos para
robar dinero de la cuenta bancaria, usar la tarjeta de crédito, realizar alguna estafa, vender datos
personales, suplantar la identidad o envío masivo de publicidad.
3 Software malicioso.
SCELUS STUDIUM Educational Online Research Center
Padilla Hernández, Rebeca
4
TIPOS DE PHISHING.
Spray and Pray4 Es el más antiguo y menos completo que existe. Consiste en enviar de forma masiva a
millones de usuarios un email con el asunto “urgente, importante” del banco o servicio
popular. También puede llegar a ser el típico “Has ganado X objeto, reclámalo”.
No es necesario que conlleve el registro en una web, muchas veces solo piden una
contestación. Suele ser poco eficaz, pero tampoco se necesitan muchas víctimas para que
se considere exitoso.
Spear Phishing5 Técnica más sofisticada que tiene como finalidad atacar a organizaciones específicas,
grupos o incluso individuos para obtener la información personal, partiendo de un estudio
previo.
Ataca principalmente a empresas y organizaciones, por lo que los correos son más
elaborados y suelen llevar adjuntos cheques, facturas o un documento falso que al
descargarlo se instala el virus.
Vishing El llamado Phishing de voz. El usuario recibe una llamada con mensaje de voz que se
hace pasar por una institución financiera. Intentan convencerlo para que revele
información personal, tal como número PIN, por ejemplo.
Smishing El estafador envía un mensaje de texto a un teléfono móvil. Estos mensajes hacen pulsar
en un enlace o llamar a un número de teléfono. Suelen ser breves y llaman la atención
fácilmente para que la persona no se lo piense y efectúe lo reclamado.
Phishing de clonación Los agresores cogen un email legítimo y lo clonan. Esta copia exacta la envían a todos los
destinatarios previos, pero desde una dirección suplantada muy parecida a la original. Lo
único que cambia dentro del contenido, es que los enlaces y archivos adjuntos se han
modificado para dirigir a la víctima a sitios maliciosos.
Phising de Alojamiento de archivos Actualmente, muchas personas usan servicios de almacenamiento6 de archivos online
para hacer copias de seguridad, poder acceder a ellos y compartirlos. Esto es conocido
por los agresores cibernéticos, de manera que falsifican la pantalla de inicio ergo
consiguen las credenciales y pueden robar los datos.
Typosquatting En esta tipología, el Phisher no suplanta el dominio de web, sino que modifica la URL de
forma que sigue pareciendo real cuando realmente no lo es. En vez de poner una “l”,
cambiarla por una “I”, o usar letras del abecedario griego que se parezcan al nuestro,
como usar el símbolo “ƍ” en vez de “g”.
Clickjacking En este tipo de ataques, el Phisher coloca contenido clicable en botones legítimos.
Ejemplo de ello es el entrar en una web y que acto seguido salga el mensaje de aceptar las
cookies de esta. Realmente no es el aviso, sino que es un botón que ha puesto el agresor
cibernético y al pulsarlo, la víctima descarga un Malware.
4 También conocido como “Phishing fraudulento 5 En estos casos, cuando van a por un CEO de la compañía), el ataque se llama Whaling. 6 Tanto en Dropbox como en Google Docs es donde suelen ocurrir más casos.
SCELUS STUDIUM Educational Online Research Center
Padilla Hernández, Rebeca
5
Modalidades del agresor cibernético o Phisher.
A lo largo de los años, los ataques cibernéticos realizados por los Phisher han consistido
en suplantaciones de identidad haciéndose pasar por servicios de uso habitual y que
siempre no han solido generar desconfianza en su uso, ergo el sistema de defensa del
usuario suele estar en el nivel más bajo.
SERVICIO EXCUSA OBJETIVO
Bancos y cajas • Cambio en la normativa del banco.
• Cierre incorrecto de la sesión del usuario.
• Mejoras en las medidas de seguridad
• Intrusión detectada en los sistemas de seguridad.
• Bloqueo de la cuenta
.
• Robar números de la tarjeta de
crédito.
• Robar tarjetas de coordenadas.
• Robar PIN secreto
Pasarela de pago online –
Paypal, Mastercard, Visa • Cambio en la normativa del servicio.
• Cierre incorrecto de la sesión del usuario.
• Mejoras en las medidas de seguridad.
• Intrusión detectada en el sistema.
• Principalmente robar datos
bancarios
Redes Sociales • Recepción de un mensaje privado.
• Detección de conexiones extrañas en la cuenta
• Reseteo de contraseñas por motivo de seguridad.
• Robar cuentas de usuario.
• Obtener datos privados.
• Suplantar identidad.
Páginas de compra/venta
y subasta • Problemas en la cuenta del usuario.
• Detección de movimientos sospechosos.
• Actualización de las condiciones del uso de
servicio.
• Robar cuentas de usuarios.
• Estafar económicamente al usuario.
Juegos Online • Problemas en la cuenta del usuario.
• Movimientos sospechosos.
• Actualización de las condiciones del uso del
servicio.
• Robar cuentas de usuarios.
• Robar datos privados y bancarios al
usuario.
• Suplantar la identidad del usuario.
Soporte técnico y de ayuda
– helpdesk – de empresas
y servicios.
• Confirmación de la cuenta de usuario.
• Eliminación de cuentas inactivas.
• Actividad sospechosa detectada en la cuenta.
• Limite de capacidad de la cuenta superado.
• Robar cuentas.
• Robar datos privados al usuario.
Servicios de
almacenamiento en la
nube
• Revisión de algún documento añadido
recientemente.
• Conseguir cuentas de distintos
servicios de usuarios.
• Obtener información privada.
SCELUS STUDIUM Educational Online Research Center
Padilla Hernández, Rebeca
6
Servicios o empresas
públicas • Información sobre notificaciones.
• Recibo de multa
• Infectar el ordenador
• Robar datos privados
• Robar datos bancarios y estafar
económicamente al usuario.
Servicios de mensajería • Paquete enviado no ha podido ser entregado.
• Paquete en espera.
• Información sobre el seguimiento de un pedido.
• Infectar ordenadores.
• Robar datos privados.
• Robar datos bancarios.
Oferta de empleo falsas • Puestos de trabajo nuevos • Robar datos privados.
Nota: Recuperado varias fuentes de información referenciada en el último apartado- Copyright 2020 por Scelus Studium. Reprinted with permission.
Identificación de las falsificaciones.
Puede darse el caso que un correo o una web falsificada es el duplicado de la original y
se vuelve casi imperceptible cualquier anomalía o fallo. Aun así, estos son casos muy
concretos y excepciones a la realidad.
Como norma general, siempre se encuentran datos específicos que, al fijarse un usuario,
puede vislumbrar que no son verdaderos. Algunos de esos detalles son:
SCELUS STUDIUM Educational Online Research Center
Padilla Hernández, Rebeca
7
CORREO WEB • Dirección del remitente. El agresor cibernético suele
hacerse pasar por alguna compañía con la que ya se
haya tenido contacto previamente la víctima. Hay
que comprobar que en ambos correos la dirección
sea la misma.
• Nombre del dominio. Hay que comprobar que el
dominio del correo sea el correcto. El atacante
cibernético puede añadir algún sufijo que pasemos
por alto. Es recomendable confirmar que el dominio
es el correcto a través de una búsqueda en su web.
• Errores de ortografía y de gramática. Estos correos
suelen estar traducidos mediante herramientas
automáticas, por lo que suelen contener errores
graves de gramática y ortografía.
• Archivos adjuntos o enlaces sospechosos. Es
habitual que los correos lleven consigo un archivo
adjunto o un enlace que el usuario debe visitar. En el
caso de un archivo, lo último que tiene que hacerse
es descargarlo – sólo si se está 100% seguros se
puede hacer –. Por ello, antes es aconsejable pasarle
antivirus.
Si es un enlace, el usuario debe observar que está
escrito correctamente, pasar el ratón por encima para
ver si la web que sale es la misma o diferente. En
ambos casos, lo más sencillo y seguro es contactar
con la empresa en cuestión para verificarlo.
• Sensación de urgencia o demasiado bueno. El
Phisher lo que quiere es, a parte de captar la
atención de sus víctimas, que éstas actúen de forma
rápida.
Por lo que el correo suele avisar de algún problema
con la cuenta, los pagos a resolver de manera
inmediata7 o indicando el un premio de gran valor
que sólo se recibe al ser el más rápido en contestar.
• No están dirigidos de manera personal. Los correos
suelen empezar con un “Estimado cliente/a” en vez
• Dirección falsa. Esta dirección normalmente es la
que viene dentro del correo. Si se analiza, se observa
un conjunto de detalles que no cuadran. Ejemplo de
ello son los guiones o símbolos en algún lugar del
dominio, o que el nombre no sea exactamente el
mismo.
También puede vislumbrarse que se haya añadido
una palabra o letra antes del dominio. El añadir algo
al principio para que la persona piense que es una
versión web para móvil puede ser un ejemplo.
• Página sin cifrar. Si una web no está cifrada, los
datos no están seguros, ya que al iniciar sesión y
poner los datos, estos pueden ser interceptados por
terceras personas.
• Enlace oculto. Es común en casos de Smishing,
donde te envían una dirección acortada8, que al
clicar reenvía a la víctima a una web falsa.
• Cupones descuento o regalo. Más presente en redes
sociales o WhatsApp. Se recibe un enlace o foto que
al clicar lleva a la víctima al cupón o regalo donde
lo recibe a cambio de rellenar sus datos.
7 Suelen dar un plazo de 24 horas como máximo. 8 Muchas veces al querer compartir algo, la dirección es muy extensa. Para acortarlo y que quede mejor visualmente, hay diferentes
Webs que te proporcionan un link más corto y modificable. Es el caso de bitly.com
SCELUS STUDIUM Educational Online Research Center
Padilla Hernández, Rebeca
8
de empezar con los apellidos, que es como se hace
en los sitios oficiales.
• Se solicitan datos de acceso. Un correo que está
falsificado por un Phisher, pide datos de acceso a
cuentas, números de cuentas bancarias o tarjetas de
crédito. Esto nunca lo hará un correo que sea oficial.
• Dirección de correo pública. Toda empresa tiene
direcciones de correo propias, por lo que nunca se
ponen en contacto con el cliente haciendo uso de
una cuenta de Google, Hotmail, ni nada parecido.
• Logos e imágenes desproporcionados. Suelen estar
pixelados o cambiados de color – ya que los
agresores cibernéticos no tienen acceso al original –.
SUPUESTOS DE PHISHING.
El primer caso en el que aparece el nombre de Phishing y por ende, el concepto Phisher,
es durante los años 90.
Hasta el día de hoy se realizan algunos delitos cibernéticos que tienen bastante
importancia, ya fuese por innovación, el dinero perdido o la expansión que llega a tener.
Éstos son:
SCELUS STUDIUM Educational Online Research Center
Padilla Hernández, Rebeca
9
1995 America Online
Los agresores cibernéticos usan el correo electrónico o la mensajería instantánea para conseguir que
los usuarios divulguen sus contraseñas del servicio. Con esta información toman el control de las
cuentas y las usan para enviar spam y otras actividades similares.
2000 ILOVEYOU
Gusano9 en forma de mensaje de correo con el asunto “ILOVEYOU” y un archivo adjunto con el
nombre “LOVE-LETTER-FOR YOU.TXT.vbs” que al ser abierto, infectaba el ordenador y se
autoenviaba a las direcciones de correo que el usuario tuviera en su agenda de direcciones10.
2001 E-Gold
Primer ataque conocido contra un operador financiero. Los usuarios son engañados mediante spam
para que ingresen sus contraseñas en sitios webs.
2003 Paypal y eBay
Los Phisher usan gusanos para enviar correos electrónicos falsificados a los clientes de estas dos
grandes plataformas. Las víctimas son llevadas a sitios falsos donde se les pide la actualización de la
tarjeta de crédito y la información de identificación.
2009 Zeus11
Malware que se puede utilizar para robar información bancaria mediante el registro de teclas del
navegador y el acaparamiento de formularios
2013 Cryptlocker12
Se envía en forma de dos correos electrónicos diferentes. El primero tiene un archivo ZIP adjunto que
dice ser una queja de un cliente ergo está dirigido a empresas.
El segundo tenía un enlace malicioso con un mensaje sobre un problema para borrar un cheque y está
dirigido al público.
2013 – 2015 Facebook y Google
El atacante aprovecha que ambas compañías usan como proveedor la misma empresa – Quanta – para
enviar facturas falsas haciéndose pasar por la misma. Ambos son engañados con un valor de 100
millones de dólares.13
2014 Upsher-Smith Laboratories
El Phisher se hace pasar por el director ejecutivo y envía correos electrónicos al coordinador de
cuentas con las instrucciones a seguir para realizar nueve transferencias en las siguientes tres
semanas14.
9 Malware que se replica para propagarse a otros ordenadores. Suele utilizar una red informática para propagarse, aprovechando las
fallas de seguridad en el ordenador de destino. La finalidad es adueñarse de toda la red. 10 Llega a infectar unos 50 millones de equipos y produce pérdidas del valor de 5 mil millones de dólares. 11 Aparece en 2007, pero se generaliza en 2009 cuando empieza a afectar a empresas como Bank of América, NASA, ABC, Amazon
entre otras. 12 Llega a infectar 250.000 ordenadores personales. 13 Después del juicio pudieron recuperar 49.7 millones – casi el 50% –. 14 A mitad de camino se descubre el ataque y la empresa puede rebajar la pérdida de 50 millones de dólares a 39. Aún así demanda
al banco por no darse cuenta de las “señales de alerta”.
SCELUS STUDIUM Educational Online Research Center
Padilla Hernández, Rebeca
10
2015 Ubiquiti Networks
Ataque bastante parecido al anterior. El agresor cibernético realiza un ataque BEC15 donde se hace
pasar por el director ejecutivo y por el abogado de la empresa per se, para ordenarle al director de
contabilidad que realizase una serie de transferencias para cerrar una adquisición secreta16.
2016 Crelan Bank
A través de un ataque BEC, los agresores cibernéticos comprometen la cuenta de un ejecutivo e
instruyen a un empleado para que haga una serie de transferencias bancarias. Pasado el tiempo, se
descubre el hecho delictivo a través de una auditoría interna. Aun así, tienen una pérdida de 78
millones de dólares.
2016 FACC
El delincuente cibernético se hace pasar por Walter Stephan, exdirector ejecutivo, y ordena a un
empleado del departamento de contabilidad que envíe 61 millones de dólares a una cuenta extranjera
como parte de un “proyecto de adquisición”.
2020 Twitter
Algunos empleados son acometidos por un ataque telefónico – por agresores cibernéticos que se hacen
pasar por miembros del equipo de seguridad – y consiguen que, durante el mismo, las víctimas revelen
las credenciales que usan para acceder a los sistemas internos.
Gracias a ello se pudo tuitear, a posteriori, en perfiles de famosos promoviendo una estafa de
Bitcoins17.
Nota: Recuperado varias fuentes de información referenciada en el último apartado- Copyright 2020 por Scelus Studium. Reprinted with permission.
15 Business Email Compromise (BEC). Tipo de estafa dirigida a empresas que realiza transferencias bancarias y tiene proveedores
en el extranjero. Se falsifican las cuentas de altos directivos a través de Phishing o registradores de pulsaciones. 16 La empresa detuvo las transferencias futuras cuando le llegó un aviso del FBI de que una de las cuentas bancarias a la que se hacía
una transferencia podría haber sido víctima de un fraude. 17 Moneda virtual con gran valor económico.
SCELUS STUDIUM Educational Online Research Center
Padilla Hernández, Rebeca
11
Actualidad.
Hasta día de hoy, los equipos de seguridad se centran en proteger a los usuarios de las
amenazas de las redes y aplicaciones dentro del perímetro de la red. Pero esto ha
cambiado.
En 2020 se produce un cambio imprevisible en la estructura de la red generado por la
pandemia conocida como Co-Vid19 o SARS-CoV-2. Esto provoca un aumento
exponencial del uso de IoT18 y una dependencia de las redes domésticas y los
dispositivos de consumo – entendidos como routers y módems – que los
ciberdelincuentes no han dudado en aprovechar.
El aumento del teletrabajo también centra una atención considerable en la seguridad de
los dispositivos personales que se utilizan para conectarse a la red corporativa como
móviles, tablets u ordenadores. Esto repercute en una oportunidad de explotar estos
dispositivos para llegar a las redes empresariales que los Phishers usan per se.
Cada día la protección es más difícil: los agresores cibernéticos tienen acceso a mejores
recursos, y ya no sólo tienen un punto de ataque – que es la red empresarial –, sino que
aprovechan la baja seguridad que suele haber en las redes domésticas como puente
hacia su destino.
Día a día es palpable el hecho de que los ataques de Phishing se innovan y buscan
nuevas maneras de aplacar los servicios en la nube y las plataformas de videojuegos19,
entre otros.
18 Internet de las cosas. 19 En 2019, Valve – plataforma más grande de videojuegos – sufre una oleada de ataques con la intención de robar el máximo de
cuentas posibles.
SCELUS STUDIUM Educational Online Research Center
Padilla Hernández, Rebeca
12
También surgen tipos nuevos de Phishing, como el denominado Spy-phishing, el cual
surge gracias al gran avance de la banca online. Éste tiene la finalidad de monitorear
todo el tráfico web hasta entrar en la web de destino, a través de un troyano enviado por
correo. En ese momento, todo dato confidencial que la víctima introduzca es enviado al
Phisher.
Con todas estas innovaciones, es necesario buscar nuevas formas de aprendizaje y
protección para las víctimas. El estudio realizado por Tchakounté y cols. (2020) muestra
como se mezclan los ataques Phishing con las lógicas descriptivas basadas en
ontologías para poder recrear posibles modalidades de ataque. Con lo que, ya no solo se
estudia lo ocurrido, sino que se le intenta dar forma al posible futuro.
Conclusión
Se puede decir que el Phisher es uno de los delincuentes informáticos que más ha ido
creciendo en los últimos años – y que crecerá a medida que vaya pasando el tiempo.
Son delincuentes que no necesitan un gran conocimiento de informática para la mayoría
de sus modalidades y que, al no tener como objetivo engañar al 100% de los usuarios,
con un porcentaje muy pequeño de contestaciones ya se dan por satisfechos.
Por otro lado, se percibe que hay innumerable cantidad de gente que día a día se inicia
en el uso de todo tipo tecnologías de manera descontrolada, por lo que es lógico que el
número de víctimas con conocimiento nulo se acrecente y se tornen en presas fáciles
para los agresores cibernéticos. Dato contrastado por servidora.
A suma de todo lo expuesto, se añade la dificultad que tiene la ciberseguridad de poder
crear una defensa previa que actúe de escudo para las futuras víctimas, ya que entran en
un problema cíclico: cuando aparece algo innovador, buscan como proteger al usuario
SCELUS STUDIUM Educational Online Research Center
Padilla Hernández, Rebeca
13
mientras miles de delincuentes cibernéticos, por su parte, hallan millones de formas de
manipularlo dichas barreras de protección e incluso nuevas maneras de ataque e
intrusión en las redes.
REFERENCIAS.
ARTÍCULOS DE DIVULGACIÓN.
Instituto Nacional de Tecnologias de la comunicación. Estudio sobre usuarios y entidades públicas y privadas afectadas por la
práctica fraudulenta conocimida como phishing (2007). Observatorio de la seguridad de la Información. 36 – 120.
Jensen, M. L., Dinger, M., Wright, R. T., Thatcher, J. B.. (2007) Training to Mitigate Phishing Attacks Using Mindulness
Techiques. Journal of Management Information System, 34(2), 597-626. DOI: 10.1080/07421222.2017.1334499
WEBS.
“2FP (Second Factor Phishing): La peligrosa evolución del phishing tradicional” https://cybersecuritynews.es/2fp-second-factor-
phishing-la-peligrosa-evolucion-del-phishing-tradicional/ [consultado el 24/11/2020 12:35 horas]
“5 Costly phishing attacks in recent history” https://www.graphus.ai/5-costly-phishing-attacks-in-recent-history/ [consultado el
24/11/2020 17:05 horas]
“6 claves para reconocer correos de phishing” https://www.welivesecurity.com/la-es/2015/01/23/6-claves-reconocer-correos-de-
phishing/ [consultado el 24/11/2020 10:35 horas]
“Aprendiendo a identificar los 10 phishing más utilizados por ciberdelincuentes”
https://www.osi.es/es/actualidad/blog/2014/04/11/aprendiendo-identificar-los-10-phishing-mas-utilizados-por-
ciberdelincuen [consultado el 24/11/2020 10:39 horas]
“Breve historia del phishing” https://www.websecurity.digicert.com/es/es/security-topics/brief-history-phishing-part-1 [consultado
el 24/11/2020 12:20 horas]
“Business Email Compromise (BEC)” https://www.trendmicro.com/vinfo/us/security/definition/business-email-compromise-(bec)
[consultado el 24/11/2020 16:48 horas]
“Cómo detectar si una URL puede ser un ataque Phishing” https://www.redeszone.net/tutoriales/seguridad/reconocer-web-ataque-
phishing/ [consultado el 25/11/2020 17:54 horas]
“Cómo identificar phishing. Centre de Seguretat TIC de la Comunitat Valenciana”. https://concienciat.gva.es/wp-
content/uploads/2018/03/infor_como_identificar_phishing.pdf [consultado el 25/11/2020 18:25 horas]
SCELUS STUDIUM Educational Online Research Center
Padilla Hernández, Rebeca
14
“Cómo reconocer y evitar las estafas de phishing” https://www.consumidor.ftc.gov/articulos/como-reconocer-y-evitar-las-estafas-
de-phishing [consultado el 25/11/2020 19:10 horas]
“Conoce a fondo qué es el phishing” https://www.osi.es/es/banca-electronica [consultado el 24/11/2020 10:38 horas]
“De los botnets al phishing: la evolución del panorama de amenazas en la era covid19” https://globbsecurity.com/de-los-botnets-
al-phishing-la-evolucion-del-panorama-de-amenazas-en-la-era-covid19-46190/ [consultado el 24/111/2020 12:39 horas]
“Del Phishing al smishing” https://www.itdigitalsecurity.es/reportajes/2018/03/del-phishing-al-smishing [consultado el 25/11/2020
12:46 horas]
“El bitcoin cumple 10 años: qué es y cómo funciona la mayor criptomoneda de la historia” https://www.bbc.com/mundo/noticias-
46037430 [consultado el 25/11/2020 17:17 horas]
Glosario de Terminología Informática http://www.tugurium.com/gti/termino.php?Tr=phishing [consultado el 24/11/2020 11:13
horas]
“GP4.3 - GROWTH AND FRAUD - CASE #3 – PHISHING” http://financialcryptography.com/mt/archives/000609.html
[consultado el 24/11/2020 14:09 horas]
“Guía esencial del phishing: cómo funciona y cómo defenderse” https://www.avast.com/es-es/c-phishing [consultado el 24/11/2020
10:37 horas]
“History of Phishing” https://www.phishing.org/history-of-phishing [consultado el 24/11/2020 13:12 horas]
““I love you”, el virus informático más famoso de la historia, cumplió 20
años”https://www.infobae.com/america/tecno/2020/05/07/i-love-you-el-virus-informatico-mas-famoso-de-la-historia-
cumplio-20-anos/ [consultado el 24/11/2020 14:03 horas]
“Ingeniería social” https://www.avast.com/es-es/c-social-engineering [consultado el 24/11/2020 11:38 horas]
“INGENIERÍA SOCIAL: MENTIRAS EN LA RED” http://ww2.grn.es/merce/2002/is.html [consultado el 24/11/2020 1335 horas]
“La evolución del phishing: bienvenido "Vishing"” https://portal.cci-entel.cl/Threat_Intelligence/Boletines/670/ [consultado el
24/11/2020 11:43 horas]
“La evolución del Phishing, en el Foro Eset 2017” https://ladob.net/2017/11/15/la-evolucion-del-phishing/ [consultado el
24/11/2020 12:35 horas]
“La Evolución del Phishing: Tendencias en Ataques, Consejos y Trucos.” https://cryptoseguridad.com/la-evolucion-del-phishing-
tendencias-en-ataques-consejos-y-trucos/ [consultado el 24/11/2020 16:55 horas]
“Los 5 mayores ciberataques de la historia” https://www2.deloitte.com/es/es/pages/risk/articles/los-cinco-mayores-ciberataques-
de-la-historia.html [consultado el 24/11/2020 12:52 horas]
“Los 10 peores ataques hacker de la historia” https://computerhoy.com/listas/tecnologia/10-peores-ataques-hacker-historia-277193
[consultado el 24/11/2020 12:52 horas]
“Phishing” https://www.pandasecurity.com/es/security-info/phishing/ [consultado el 24/11/2020 10:14 horas]
“'Phishing' y 'smishing', ¿qué son y cómo evitarlos?” https://www.bbva.com/es/phishing-y-smishing-que-son-y-como-evitarlos/
[consultado el 24/11/2020 10:45 horas]
SCELUS STUDIUM Educational Online Research Center
Padilla Hernández, Rebeca
15
“Qué es el Clickjacking” https://backtrackacademy.com/articulo/que-es-el-clickjacking [consultado el 25/11/2020 16:20 horas]
“¿Qué es el malware?” https://www.avast.com/es-es/c-
malware#:~:text=Malware%20es%20un%20t%C3%A9rmino%20general,su%20dispositivo%20sin%20su%20conocimie
nto. [consultado el 24/11/2020 16:24 horas]
“¿QUÉ ES EL PHISHING?” https://www.infospyware.com/articulos/que-es-el-
phishing/#:~:text=El%20estafador%2C%20conocido%20como%20phisher,de%20un%20malware%20o%20incluso
[consultado el 24/11/2020 10:08 horas]
“¿Qué es el phishing?” https://www.akamai.com/es/es/resources/what-is-phishing.jsp [consultado el 24/11/2020 10:41 horas]
“¿Qué es Phishing?” https://softwarelab.org/es/que-es-phishing/ [consultado el 24/11/2020 11:00 horas]
“¿Qué es el phishing?” https://es.mailjet.com/blog/news/que-es-phishing/ [consultado el 25/11/2020 13:28 horas]
“¿Qué es un gusano informático?” https://softwarelab.org/es/que-es-un-gusano-informatico/ [consultado el 24/11/2020 14:01
horas]
“¿Qué pasos debo seguir para protegerme contra el phishing o suplantación de identidad en Facebook?”
https://www.facebook.com/help/166863010078512 [consultado el 24/11/2020 10:13 horas]
“¿Sabes cómo funciona el Phishing?” https://www.fundacionunam.org.mx/unam-al-dia/sabes-como-funciona-el-phishing/
[consultado el 24/11/2020 10:12 horas]
“Spy-phishing - a new breed of blended threats” https://www.virusbulletin.com/conference/vb2006/abstracts/spy-phishing-new-
breed-blended-threats/ [consultado el 25/11/2020 19:57 horas]
“Suplantación de identidad (phishing)” https://es.malwarebytes.com/phishing/ [consultado el 24/11/2020 10:36 horas]
“Te contamos las tendencias actuales de los correos electrónicos maliciosos” https://www.osi.es/es/actualidad/blog/2017/04/12/te-
contamos-las-tendencias-actuales-de-los-correos-electronicos [consultado el 25/11/2020 19:37 horas]
“The 5 Most Expensive Phishing Scams of all Time” https://www.checkpoint.com/cyber-hub/threat-prevention/what-is-
phishing/the-top-5-phishing-scams-of-all-times/ [consultado el 24/11/2020 13:48 horas]
“Twitter afirma que un ataque phishing condujo al mayor hackeo de su historia”
https://comunicacionmarketing.es/redes/31/07/2020/twitter-afirma-que-un-ataque-phishing-condujo-al-mayor-hackeo-de-
su-historia/16006.html [consultado el 24/11/2020 13:01 horas]