En un mundo cada vez más digitalizado, mucho de nuestro quehacer, sea de negocios, social o familiar, se lleva a cabo en línea. Este aumento en la actividad online ha originado una explosión masiva del cibercrimen.
Phishing es una de estas nuevas formas de delito. Consiste en engañar a las personas para que compartan información confidencial como contraseñas y números de tarjetas de crédito
¿Cómo funciona el phishing?
Independiente de si se desarrollan por correo electrónico, redes sociales, SMS o mediante cualquier otro sistema digital, todos los ataques de phishing siguen el mismo patrón. El atacante envía una comunicación dirigida con el fin de persuadir a la víctima para que haga clic en un enlace, descargue un archivo adjunto o envíe una información solicitada, o incluso para que complete un pago.
¿Cómo se compone un ataque de phishing?
- El ataque se realiza mediante medios electrónicos, como un correo electrónico o una llamada telefónica
- El atacante se hace pasar por una persona u organización de confianza
- El objetivo es obtener información personal confidencial, como credenciales de inicio de sesión o números de tarjeta de crédito
¿Cuáles son los distintos tipos de estafa de phishing?
- Phishing por correo electrónico: Estos mensajes suelen ser despachados con nombres de remitentes similares a los de las empresas o instituciones que buscan suplantar, también pueden contener enlaces que dirijan a formularios o sitios maliciosos, además podrían contener adjuntos dañinos, los cuales pueden tener extensiones tales como: .exe, .bat, .vbs, .cab, .scr, .ps1, .js, entre otras.
- Phishing por sitio web: Los sitios web de phishing, también conocidos como sitios falsificados, son copias de sitios web establecidos y confiables. Los ciberdelincuentes crean estos sitios para engañar, de modo que introduzcas tus credenciales de inicio de sesión, que a continuación utilizarán para conectarse a tus cuentas. Las ventanas emergentes son otra fuente habitual de phishing por sitio web.
- Phishing por redes sociales: Algunos ciberdelincuentes pueden entrar en cuentas de redes sociales y suplantar a los suscriptores, enviando enlaces maliciosos a sus amigos. Otros crean perfiles falsos y los utilizan para engañar a sus víctimas.
¿Cuáles son las estrategias de phishing más comunes?
Algunas de las estrategias más utilizadas y comunes a la hora de realizar phishing son:
- Problemas de facturación
- Penalización por parte de la autoridad
- Devolución de dinero por parte de las autoridades
- Mensaje de súplica de ayuda
- La alerta del banco
- ¡Ha ganado un gran premio!
- Negocio urgente con oferta de tiempo limitado
Consejos para prevenir ataques de Phishing
- Aprende a identificar los correos electrónicos sospechosos de ser ‘phishing’
1. Utilizan nombres y adoptan la imagen de empresas reales, sin embargo, siempre existen diferencias con las empresas o instituciones que buscan suplantar, por ejemplo, la gran mayoría de las grandes empresas tienen su logo dentro de su Sitio Web, esto lo puedes apreciar en las pestañas de tu navegador:
2. Usan como remitente el nombre de la empresa o el de algún empleado real, sin embargo, existen diferencias sutiles a las que debes estar atento, ya que generalmente el dominio de la casilla remitente o el nombre, no corresponde al dominio de la empresa que buscan suplantar.
3. Para llenar formularios con datos personales o descargar archivos, suelen usar incentivos, como la promesa de un regalo o beneficio. También advertencias sobre inconvenientes en cuentas bancarias.
- Verifica la fuente de información de tus correos entrantes: Tu banco nunca te pedirá que le envíes tus claves o datos personales por correo
- Nunca entres en la web de tu banco pulsando en links incluidos en correos electrónicos: Teclea directamente la dirección web en tu navegador
- Refuerza la seguridad de tu ordenador: Mantener tu equipo protegido con un buen antivirus que bloquee este tipo de ataques
- Introduce tus datos confidenciales únicamente en webs seguras: Las webs ‘seguras’ han de empezar por ‘https://’ y debe aparecer en la barra superior de tu navegador el ícono de un pequeño candado cerrado
- Revisa periódicamente tus cuentas: Nunca está de más revisar tus cuentas bancarias de forma periódica
- El phishing puede venir de parte de cualquier entidad: La mayor parte de ataques de phishing van contra entidades bancarias, pero en realidad pueden utilizar cualquier otra web popular para robar datos personales como Facebook, LinkedIn, Instagram, etc
- El phishing sabe idiomas: Pueden llegarte ataques en cualquier idioma. Por lo general están mal escritos o traducidos, así que este puede ser otro indicador, sobre todo si es de una entidad que nunca envía mensajes en otro idioma