La escala de phishing del NIST (Instituto Nacional de Estándares y Tecnología) es una herramienta que puede utilizarse para evaluar el riesgo asociado con correos electrónicos de phishing. Este tipo de correos electrónicos buscan engañar a los destinatarios para que revelen información confidencial, como contraseñas, información financiera o datos relevantes de una compañia. La finalidad del presente documento, es ayudar a los profesionales de la seguridad informática a evaluar diferentes aspectos del correo electrónico sospechoso (Phishing)
Esta sección se utiliza para evaluar la presencia de señales de phishing en un correo electrónico, proporcionando un enfoque sistemático para determinar la probabilidad de que el correo electrónico sea malicioso. La categorización se realiza en función del conteo total de señales observadas.
Responda “sí” o “no” a las siguientes preguntas
| Tabla 1: Presencia de Señales | ||
|---|---|---|
| Indicadores técnicos | Respuesta | |
| ¿El nombre del remitente no está relacionado con la dirección de correo electrónico? |
?
Por ejemplo, si el nombre muestra ser de una entidad específica, pero la
dirección de correo no está alineada con esa entidad, podría ser una señal de que el remitente es
falso o está intentando suplantar la identidad de alguien más
|
|
| ¿El nombre del dominio utilizado en la dirección de correo electrónico del remitente es de una entidad reconocida? |
?
En otras palabras, se está evaluando la autenticidad del dominio para
asegurarse de que esté asociado con una entidad de confianza.
|
|
| Indicadores de presentación visual | Respuesta | |
| ¿El correo carece de elementos de marca apropiados como texto o logotipos? |
?
En otras palabras, se está verificando si el mensaje exhibe signos de
autenticidad y coherencia con la identidad visual de la marca que supuestamente representa.
|
|
| ¿El diseño y el formato del correo electrónico parecen poco profesionales? |
?
Esta pregunta se centra en la apariencia visual y presentación del correo
electrónico, evaluando si su diseño y formato sugieren una falta de profesionalismo
|
|
| Idioma y contenido | Respuesta | |
| ¿Le falta al correo electrónico un saludo genérico, como un saludo formal o informal? |
?
La falta de un saludo genérico puede ser indicativa de un correo electrónico
impersonal o potencialmente malicioso
|
|
| ¿Le falta personalización al correo electrónico? |
?
La falta de personalización podría indicar que el correo electrónico es parte
de un intento de phishing masivo, donde los atacantes envían mensajes idénticos a múltiples
destinatarios sin adaptar el contenido a cada uno
|
|
| ¿Al mensaje le faltan detalles sobre el remitente, como el remitente o información de contacto? |
?
Se está evaluando si el mensaje presenta una falta de información
identificativa sobre quién lo envió, lo cual podría ser un indicador de sospecha
|
|
| Tácticas comunes | Respuesta | |
| ¿El mensaje parece ser un proceso laboral o relacionado con algún negocio del rubro? |
?
Un mensaje que parece estar relacionado con procesos laborales o aspectos
específicos del negocio del destinatario puede ser considerado más legítimo y menos propenso a ser
parte de un intento de phishing
|
|
| ¿El mensaje parece provenir de un amigo, colega, jefe u otra entidad autoritaria acreditada? |
?
La apariencia de familiaridad o autoridad en el mensaje podría ser una táctica
común en los intentos de phishing, donde los atacantes buscan ganarse la confianza de la víctima
para que tome acciones no deseadas, como hacer clic en enlaces maliciosos o proporcionar información
confidencial.
|
|
| Tabla de escala de conteo de señales primera tabla | |
|---|---|
| Conteo de señales tabla 1 | Categoría tabla 1 |
| 0-3 | Rango de señales bajas |
| 4-6 | Rango de señales medias |
| 7-9 | Rango de señales altas |
| Tabla de resultados primera tabla | ||
|---|---|---|
| Puntaje | Categoría | Descripción |
| 0 | ||
Cuente el número total de veces que aparece lo siguiente en el correo electrónico:
| Tabla 2: Conteo de Señales | ||
|---|---|---|
| Errores | Respuesta | |
| ¿Cuántos errores de ortografía hay en el correo electrónico? |
?
La intención es evaluar la calidad y autenticidad del mensaje, ya que la
presencia de múltiples errores ortográficos puede ser indicativa de un intento de phishing o fraude
|
|
| ¿Cuántos errores gramaticales hay en el correo electrónico, incluida la pluralidad no coincidente? |
?
Errores gramaticales y discrepancias en la concordancia plural podrían indicar
un intento de phishing, ya que los atacantes a menudo cometen errores en el lenguaje que podrían
delatar la falsedad del mensaje
|
|
| ¿Cuántas inconsistencias hay en el correo electrónico? |
?
Al evaluar las inconsistencias, se está buscando identificar posibles señales
de un correo electrónico malicioso o de phishing, ya que estos a menudo contienen elementos
contradictorios o engañosos
|
|
| Indicadores técnicos | Respuesta | |
| ¿Cuántos archivos adjuntos potencialmente peligrosos se incluyen? |
?
Archivos adjuntos potencialmente peligrosos a menudo incluyen malware, scripts
maliciosos u otros elementos que podrían comprometer la seguridad del sistema o la información
almacenada en él.
|
|
| ¿Cuántas veces el texto oculta la URL verdadera en un hipervínculo? |
?
En otras palabras, si hay intentos de ocultar la dirección real del enlace
mediante el uso de texto engañoso.
|
|
| ¿Cuántos enlaces tienen un nombre de dominio plausiblemente similar al dominio de una entidad reconocible? |
?
Se busca identificar la cantidad de enlaces que podrían ser percibidos como
legítimos y relacionados con una entidad conocida
|
|
| Indicadores de presentación visual | Respuesta | |
| ¿Cuántos elementos de la marca (texto o logotipos) parecen ser una imitación? |
?
La presencia de elementos que parecen imitaciones podría ser una señal de
alerta, ya que los atacantes a menudo intentan replicar la apariencia auténtica de una marca para
engañar a los destinatarios.
|
|
| ¿Cuántos elementos de la marca (texto o logotipos) parecen estar desactualizados? |
?
se está evaluando la presencia de elementos visuales o de texto que podrían
haber cambiado con el tiempo, y que ahora pueden dar la impresión de ser antiguos o no estar al día
|
|
| ¿Cuántos indicadores o íconos de seguridad inapropiados hay en el correo electrónico? |
?
Se está evaluando cuántos de estos indicadores no apropiados están presentes en
el correo electrónico, lo que podría indicar un intento de engañar al destinatario para que crea
falsamente en la autenticidad o seguridad del mensaje
|
|
| Idioma y contenido | Respuesta | |
| ¿Cuántas veces se utiliza lenguaje legal en el mensaje, como derechos de autor? |
?
La detección de un uso excesivo o inapropiado de terminología legal puede ser
una señal de alerta, ya que los intentos de phishing o correos electrónicos maliciosos a menudo
evitan este tipo de lenguaje para evitar levantar sospechas.
|
|
| ¿Cuántos aspectos detallados que no son centrales para el contenido hay en el mensaje? |
?
Se está buscando cuantificar la cantidad de detalles que podrían no ser
fundamentales para comprender el mensaje principal.
|
|
| ¿Cuántas solicitudes de información confidencial hay en el correo electrónico, incluida información de identificación personal o credenciales? |
?
Identificar el número de solicitudes de información confidencial es crucial
para evaluar el riesgo de un correo electrónico y su potencial para ser parte de un intento de
phishing
|
|
| ¿Cuántas veces el correo electrónico expresa presión de tiempo, incluidas las implícitas? |
?
Identificar la presión de tiempo en un correo electrónico es relevante, ya que
los intentos de phishing o estafas a menudo emplean tácticas que buscan presionar a los
destinatarios para que actúen de manera impulsiva sin tomar el tiempo necesario para verificar la
autenticidad del mensaje.
|
|
| ¿Cuántas amenazas se incluyen en el mensaje, incluidas las amenazas implícitas? |
?
Las amenazas explícitas son aquellas que se comunican directamente, mientras
que las amenazas implícitas pueden estar subyacentes o sugerirse de manera indirecta en el contenido
del mensaje.
|
|
| Tácticas comunes | Respuesta | |
| ¿Cuántos llamamientos hace el correo electrónico para ayudar a los demás? |
?
En este contexto, "llamamientos" se refiere a solicitudes de asistencia o ayuda
que el correo electrónico puede contener. Evaluar cuántas veces se hace referencia a la necesidad de
ayuda en el mensaje puede ser relevante para determinar la autenticidad del correo electrónico.
|
|
| ¿Cuántas veces el correo electrónico ofrece algo demasiado bueno para ser verdad, como haber ganado un concurso, lotería, vacaciones gratis, etc.? |
?
DSe busca determinar cuántas veces el correo electrónico presenta propuestas
que son demasiado buenas para ser ciertas, como la afirmación de haber ganado un concurso, una
lotería, o la oferta de vacaciones gratuitas, entre otros ejemplos. La frecuencia de tales
afirmaciones exageradas puede ser un indicador de posibles intentos de phishing o engaños
|
|
| ¿El correo electrónico ofrece algo personalizado e inesperado solo para usted? |
?
La presencia de detalles personalizados y sorpresivos puede ser un indicador
de autenticidad y legitimidad, mientras que la falta de personalización podría sugerir que el correo
electrónico es genérico o incluso parte de un intento de phishing, donde los atacantes envían
mensajes idénticos a múltiples destinatarios.
|
|
| ¿Cuántas veces el correo electrónico ofrece algo por tiempo limitado? |
?
Este tipo de práctica es común en estrategias de marketing, donde se utiliza la
urgencia temporal para incentivar a los destinatarios a tomar medidas rápidas, como hacer una compra
o participar en una oferta especial
|
|
| Tabla de escala de conteo de señales segunda tabla | ||
|---|---|---|
| Conteo de señales parte 2 | Categoría parte 2 | |
| 1 - 8 | Rango de señales bajas | |
| 9 - 14 | Rango de señales medias | |
| 15 o más | Rango de señales altas | |
| Tabla de resultados segunda tabla | ||
|---|---|---|
| Puntaje | Categoría | Descripción |
| 0 | ||
| Tabla de escala de conteo total de señales | |
|---|---|
| Conteo total de señales | Categoría de señal |
| 1-8 | Pocos (más difícil): el correo electrónico de phishing tiene una menor cantidad de pistas con menos oportunidades de identificar. |
| 9-14 | Algunos/as: el correo electrónico de phishing tiene una cantidad moderada de pistas. |
| 15 o más | Muchos (menos difícil): el correo electrónico de phishing tiene una mayor cantidad de señales, con más oportunidades de identificar el correo electrónico como phishing |
| Tabla de Resultados | ||
|---|---|---|
| Puntaje | Categoría de señal | Descripción |
| 0 | ||
La alineación de las premisas es una medida de qué tan cerca coincide un correo electrónico con las funciones o responsabilidades laborales del destinatario u organización de un correo electrónico. Cuanto más fuerte sea la alineación de las premisas de un correo electrónico, más difícil será detectarlo como phishing. A la inversa, cuanto más débil sea la alineación de las premisas de un correo electrónico, más fácil será detectarlo como phishing.
Calcular la alineación de las instalaciones.
Para cada elemento de la tabla, asigne una puntuación de aplicabilidad de acuerdo con la escala de aplicabilidad presentada a continuación
| Tabla de escala de aplicabilidad tercera tabla | |
|---|---|
| Escala de aplicabilidad | Puntaje |
| Aplicabilidad, alineación o relevancia extrema | 8 |
| Aplicabilidad, alineación o relevancia significativa | 6 |
| Aplicabilidad, alineación o relevancia moderada | 4 |
| Baja aplicabilidad, alineación o relevancia | 2 |
| No aplicable, sin alineación o sin relevancia | 0 |
| Tabla 3: Alineación de premisas | ||
|---|---|---|
| Imita un proceso o práctica en el lugar de trabajo. | Respuesta | |
| ¿Qué tan aplicable es el correo electrónico a los procesos o prácticas del lugar de trabajo para el publico objetivo? |
?
La pregunta considera la aplicabilidad del correo electrónico para facilitar
los procesos de trabajo, la comunicación interna, la coordinación de proyectos y otras prácticas
laborales específicas.
|
|
| Tiene relevancia para el lugar de trabajo | Respuesta | |
| ¿Qué tan acertado es el contenido del correo electrónico para las funciones y responsabilidades del público objetivo? |
?
Una respuesta afirmativa indicaría que el contenido está alineado con las
necesidades y expectativas del público objetivo, mientras que una respuesta negativa podría sugerir
que el mensaje puede no ser auténtico o estar diseñado para confundir a los destinatarios.
|
|
| Se alinea con otras situaciones o eventos, incluso externos al lugar de trabajo. | Respuesta | |
| ¿Qué tan bien se alinea el correo electrónico con otras situaciones o eventos, incluso aquellos externos al lugar de trabajo? |
?
En esencia, busca evaluar si el contenido del correo electrónico es consistente
y tiene sentido en relación con otras circunstancias o eventos, incluso aquellos que no están
directamente vinculados al lugar de trabajo. Por ejemplo, si el correo electrónico hace referencia a
eventos externos o situaciones que no guardan relación con la actividad laboral normal, podría ser
una señal de que el mensaje es sospechoso o potencialmente malicioso.
|
|
| Genera preocupación por las consecuencias de NO hacer clic | Respuesta | |
| ¿Cuánta incertidumbre genera al usuario el hacer o no clic en los enlaces o archivos adjuntos? |
?
se está evaluando el nivel de duda o preocupación que puede surgir en la mente
del usuario al enfrentar la decisión de interactuar con elementos como enlaces o archivos adjuntos
en un mensaje. La incertidumbre puede estar relacionada con la autenticidad del remitente, la
seguridad de los enlaces o la posibilidad de que los archivos adjuntos contengan contenido
malicioso.
|
|
| Ha sido objeto de capacitación específica, advertencias específicas u otra exposición. | Respuesta | |
| ¿Qué tan aplicable es la capacitación especifica para la detección de correos maliciosos o phishing? |
?
La pregunta sugiere la importancia de determinar hasta qué punto esta
capacitación se traduce en una habilidad práctica y valiosa para los individuos en su capacidad para
identificar y prevenir ataques de correo electrónico maliciosos.
|
|
La suma de las puntuaciones de aplicabilidad para los elementos de alineación de premisas 1 a 4, MENOS
el puntaje de aplicabilidad para el elemento 5 de alineación de premisas es su calificación de
alineación de premisas.
| Tabla de escala de alineación con la premisa tercera tabla | |
|---|---|
| Calificación de Alineación con la Premisa | Categoría de Alineación con la Premisa |
| 10 o menos | Débil |
| 11-17 | Medio |
| 18 o más | Fuerte |
| Tabla de resultados tercera tabla | ||
|---|---|---|
| Puntaje | Categoría de Alineación con la Premisa | Descripción |
La dificultad de detección del phishing humano es el resultado de aplicar la escala de phishing del NIST a un
correo electrónico.
En otras palabras, se utiliza esta herramienta o método de medición proporcionado por la
NIST para determinar el grado
de percepción y conciencia que los destinatarios pueden tener al enfrentarse a
correos electrónicos potencialmente maliciosos.
| Detección de dificultad | ||
|---|---|---|
| Categoría | Descripción | |
| 0 | ||