¿Qué es el phishing?
El phishing es una forma de ciberdelincuencia en la que los delincuentes intentan obtener información confidencial de usted a través del correo electrónico con enlaces fraudulentos, incitándole a rellenar un formulario con su información personal identificable. A continuación, pueden utilizar esta información para obtener sus credenciales en línea para perfiles de redes sociales, cuentas bancarias, etc.
¿Cómo funciona el phishing?
El phishing puede producirse a través de correos electrónicos, llamadas telefónicas o mensajes de texto. Los estafadores envían mensajes que parecen reales y urgentes, pidiendo a la persona que actúe. Por ejemplo, un correo electrónico puede parecer procedente de un banco de confianza y pedir a la persona que actualice la información de su cuenta para evitar problemas. Como el mensaje parece urgente y real, la gente puede compartir información confidencial, como contraseñas y números de tarjetas de crédito, que los estafadores pueden utilizar indebidamente.
Haciéndose pasar por una entidad legítima, el atacante atrae a las víctimas a un sitio web falso donde se les convence para que introduzcan información confidencial. Esta fachada bien elaborada, unida a una sensación de urgencia, permite a la estafa de phishing obtener con éxito valiosos datos personales, dejando a la víctima desprevenida vulnerable al robo de identidad y a pérdidas financieras.
El remitente: En un ataque de phishing, el remitente imita (o "suplanta") a alguien de confianza que el destinatario probablemente conocería. Dependiendo del tipo de ataque de phishing, podría tratarse de una persona, como un familiar del destinatario, el director general de la empresa para la que trabaja o incluso alguien famoso que supuestamente está regalando algo. A menudo, los mensajes de phishing imitan correos electrónicos de grandes empresas como PayPal, Amazon o Microsoft, y de bancos u oficinas gubernamentales.
El mensaje: Bajo la apariencia de alguien de confianza, el atacante pedirá al destinatario que haga clic en un enlace, descargue un archivo adjunto o envíe dinero. Cuando la víctima abre el mensaje, se encuentra con un mensaje aterrador destinado a vencer su buen juicio llenándole de miedo. El mensaje puede exigir a la víctima que visite un sitio web y actúe de inmediato o se arriesgue a sufrir algún tipo de consecuencia.
El destino: Si los usuarios muerden el anzuelo y hacen clic en el enlace, son enviados a una imitación de un sitio web legítimo. Desde aquí, se les pide que inicien sesión con sus credenciales de usuario y contraseña. Si son lo suficientemente crédulos como para acceder, las credenciales de inicio de sesión pasan al atacante, que las utiliza para robar identidades, sustraer cuentas bancarias y vender información personal en el mercado negro. La URL de destino del correo electrónico de phishing suele parecerse mucho a la URL legítima, lo que puede engañar aún más a la víctima.
¿Cómo reconocer el phishing?
Los intentos de phishing son actividades fraudulentas en las que los estafadores utilizan el correo electrónico o los mensajes de texto con el objetivo de engañar a las personas para que revelen información confidencial como contraseñas, números de cuentas bancarias o números de la Seguridad Social Security . Para reconocer el phishing hay que estar alerta a ciertas señales de alarma.
Normalmente, los mensajes de phishing parecen proceder de fuentes fiables, como bancos, empresas de tarjetas de crédito o plataformas en línea conocidas. A menudo crean una sensación de urgencia, sugiriendo actividad sospechosa o problemas con su cuenta, instándole a actuar con rapidez.
Algunos indicadores comunes del phishing son las comunicaciones inesperadas en las que se solicita información personal o financiera, las direcciones de correo electrónico de remitentes desconocidos, los saludos genéricos, los errores ortográficos y gramaticales y las URL engañosas. Siendo precavidos y verificando cualquier comunicación sospechosa directamente con las instituciones implicadas antes de responder, las personas pueden protegerse mejor contra los intentos de phishing. Ahora queremos profundizar en los signos del phishing y ayudarle a detectarlos.
Señales de phishing
Detectar los intentos de suplantación de identidad puede ser todo un reto, pero con un poco de vigilancia, unas pautas básicas y una dosis de sentido común, puede reducir considerablemente los riesgos. Busque irregularidades o peculiaridades en el correo electrónico. Utilice la "prueba del olfato" para determinar si algo no le cuadra. Confíe en sus instintos, pero aléjese del miedo, ya que las estafas de phishing suelen aprovecharse del miedo para mermar su juicio.
He aquí otros signos de intentos de phishing:
Señal 1: El correo electrónico presenta una oferta que parece demasiado buena para ser cierta.
Puede afirmar que le ha tocado el gordo, que ha ganado un premio extravagante u otras recompensas improbables.
Señal 2: El remitente es reconocible, pero no es alguien con quien interactúe habitualmente.
Aunque reconozcas el nombre del remitente, ten cuidado si no es alguien con quien te comunicas habitualmente, sobre todo si el contenido del correo electrónico no está relacionado con tus tareas habituales. Del mismo modo, desconfía si recibes un correo electrónico con una persona desconocida o con compañeros de otros departamentos.
Señal 3: El mensaje induce al miedo.
Tenga cuidado si el correo electrónico utiliza un lenguaje cargado o alarmante para infundir una sensación de urgencia, instándole a hacer clic y "actuar inmediatamente" para evitar la cancelación de la cuenta. Recuerde que las organizaciones legítimas no solicitan información personal por correo electrónico.
Signo 4: El mensaje incluye archivos adjuntos inesperados o extraños.
Estos archivos adjuntos pueden albergar malware, ransomware u otras amenazas en línea.
Señal 5: El mensaje incorpora enlaces que parecen dudosos.
Aunque los indicadores anteriores no levanten sospechas, nunca confíe ciegamente en los hipervínculos incrustados. Pase el cursor sobre el enlace para ver la URL real. Preste especial atención a los errores ortográficos sutiles en la URL de un sitio web aparentemente familiar, ya que es una señal de engaño. Siempre es más seguro introducir manualmente la URL en el navegador en lugar de hacer clic en el enlace incrustado.
¿A quién va dirigido el phishing?
El phishing es una amenaza para todo el mundo, dirigida a diversas personas y sectores, desde ejecutivos de empresas hasta usuarios cotidianos de redes sociales y clientes de banca en línea. El amplio alcance del phishing hace que sea crucial actuar con cautela en Internet y adoptar medidas preventivas. Estar alerta y ser proactivo puede reducir significativamente el riesgo de ser víctima de estafas de phishing, garantizando una experiencia en línea más segura para todos.
Cómo protegerse contra los ataques de phishing
Como ya se ha dicho, el phishing es una amenaza que afecta a todos, ya que puede aparecer en ordenadores de sobremesa, portátiles, tabletas y teléfonos inteligentes. La mayoría de los navegadores de Internet tienen formas de comprobar si un enlace es seguro, pero la primera línea de defensa contra el phishing es su juicio. Entrénate para reconocer las señales de phishing e intenta practicar la informática segura siempre que consultes tu correo electrónico, leas publicaciones de Facebook o juegues a tu juego favorito en línea.
Malwarebytes Labs compartió algunas de las prácticas clave para protegerse contra los ataques de phishing:
- No abra correos electrónicos de remitentes con los que no esté familiarizado.
- Nunca haga clic en un enlace de un correo electrónico a menos que sepa exactamente adónde va.
- Si le piden que facilite información sensible, compruebe que la URL de la página empieza por "HTTPS" en lugar de sólo "HTTP". La "S" significa "seguro". No es una garantía de que un sitio sea legítimo, pero la mayoría de los sitios legítimos utilizan HTTPS porque es más seguro. Los sitios HTTP, incluso los legítimos, son vulnerables a los hackers.
- Active la autenticación multifactor (MFA): Utiliza MFA siempre que sea posible para añadir una capa adicional de seguridad. Aunque los phishers obtengan tu contraseña, tendrán que saltarse pasos de verificación adicionales para acceder a tu cuenta.
- Busque el certificado digital de un sitio web.
- Para aumentar esa protección, si recibes un correo electrónico de una fuente de la que no estás seguro, navega hasta el enlace proporcionado manualmente introduciendo la dirección legítima del sitio web en tu navegador.
- Pasa el ratón por encima del enlace para ver si es legítimo.
- Si sospecha que un correo electrónico no es legítimo, tome un nombre o algún texto del mensaje e introdúzcalo en un motor de búsqueda para comprobar si existen ataques de phishing conocidos que utilicen los mismos métodos.
Recomendamos encarecidamente el uso de soluciones antivirus/anti-malware de confianza como Malwarebytes Premium para mejorar su seguridad digital. La mayoría de las herramientas de ciberseguridad modernas, equipadas con algoritmos inteligentes, pueden identificar enlaces o archivos adjuntos maliciosos, proporcionando un escudo vigilante incluso contra intentos de phishing ingeniosos.
Si se le escapa una táctica de phishing, nuestro sólido software de seguridad mantiene su información segura bajo su control. Ofrecemos una versión de prueba gratuita de Malwarebytes, que le permite experimentar su protección superior antes de realizar una compra.
Diferentes tipos de ataques de phishing
Los ataques de phishing utilizan métodos engañosos para recopilar ilegalmente información confidencial, y se presentan de diversas formas, cada una con sus propias características. Estas son las formas específicas en que los atacantes de phishing intentan engañar a sus objetivos:
Suplantación de identidad
El spear phishing es una forma dirigida de phishing en la que los atacantes adaptan los mensajes a individuos u organizaciones específicos, utilizando los datos recopilados para hacer el engaño más convincente. Requiere un reconocimiento previo al ataque para descubrir nombres, cargos, direcciones de correo electrónico y similares.
Los hackers rastrean Internet para cotejar esta información con otros conocimientos investigados sobre los colegas del objetivo, junto con los nombres y relaciones profesionales de empleados clave en sus organizaciones. Con todo ello, el phisher elabora un correo electrónico creíble.
Ejemplo: Los estafadores pueden hacerse pasar por ejecutivos para engañar a los empleados y conseguir que autoricen pagos fraudulentos.
Phishing de ballena
El phishing de ballena se dirige a personas de alto perfil, como ejecutivos, famosos o empresarios de alto nivel. Intenta engañarlos para que revelen información personal o detalles profesionales.
Comprender e identificar las diversas formas de ataques de phishing es crucial para aplicar medidas de protección eficaces, que garanticen la seguridad e integridad de los activos personales y de la organización.
Suplantación de identidad por correo electrónico
Los correos electrónicos de suplantación de identidad, habituales desde los inicios del correo electrónico, consisten en mensajes engañosos que parecen proceder de fuentes fiables (por ejemplo, bancos o tiendas en línea) e instan a los destinatarios a hacer clic en enlaces o descargar archivos adjuntos.
Ejemplos:
- Correo electrónico comercial comprometido (BEC): Un ataque de este tipo se dirige a alguien del departamento financiero de una organización, a menudo el director financiero, e intenta engañarle para que envíe grandes sumas de dinero. Los atacantes suelen utilizar tácticas de ingeniería social para convencer al destinatario de que el envío del dinero es urgente y necesario.
- Clon phishing: En este ataque, los delincuentes hacen una copia -o clon- de correos electrónicos legítimos previamente entregados que contienen un enlace o un archivo adjunto. A continuación, el phisher sustituye los enlaces o los archivos adjuntos por sustitutos maliciosos disfrazados de verdaderos. Los usuarios desprevenidos hacen clic en el enlace o abren el archivo adjunto, lo que a menudo permite que sus sistemas sean requisados. A continuación, el phisher puede falsificar la identidad de la víctima para hacerse pasar por un remitente de confianza ante otras víctimas de la misma organización.
- Estafas 419/Nigerianas: El correo electrónico de phishing de alguien que dice ser un príncipe nigeriano es una de las estafas más antiguas de Internet. Este "príncipe" o bien te ofrece dinero, pero te dice que primero tienes que enviarle una pequeña cantidad para reclamarlo, o bien te dice que tiene problemas y necesita fondos para resolverlos. El número "419" está asociado a esta estafa. Hace referencia a la sección del Código Penal nigeriano que trata del fraude, los cargos y las penas para los infractores.
Vishing (suplantación de identidad por voz)
Los atacantes se hacen pasar por figuras de autoridad (p. ej., funcionarios bancarios, fuerzas del orden) por teléfono para asustar a las personas y conseguir que compartan información confidencial o transfieran fondos.
Smishing (Suplantación de identidad por SMS)
Similar al vishing, pero realizado a través de SMS, smishing envía mensajes fraudulentos instando a los destinatarios a hacer clic en enlaces maliciosos o a compartir datos personales.
Catphishing
Una táctica engañosa en la que los atacantes crean falsos personajes en línea para atraer a las personas a relaciones románticas con fines de explotación monetaria o acceso a información personal.
Ejemplos de ataques de phishing
Este es un ejemplo de un intento de phishing que falsifica un aviso de PayPal, pidiendo al destinatario que pulse el botón "Confirmar ahora". Al pasar el ratón por encima del botón, se revela el verdadero destino de la URL en el rectángulo rojo.
He aquí otra imagen de ataque de phishing, esta vez pretendiendo ser de Amazon. Fíjate en la amenaza de cerrar la cuenta si no hay respuesta en 48 horas.
Al hacer clic en el enlace se accede a este formulario, en el que se le invita a entregar lo que el phisher necesita para saquear sus objetos de valor:
¿Por qué es eficaz el phishing?
El phishing es especialmente eficaz porque explota la psicología humana en lugar de basarse en tácticas técnicas de advanced . Las estafas de phishing, a menudo disfrazadas de comunicaciones urgentes de figuras autorizadas, se aprovechan de la confianza y el miedo de las personas.
Adam Kujawa, antiguo empleado de Malwarebytes Labs , lo resume: "El phishing destaca como el ciberataque más simple y a la vez más potente, dirigido principalmente al elemento más susceptible y a la vez poderoso: la mente humana". La falta de sofisticación técnica y el potencial para evocar reacciones inmediatas ponen de relieve por qué el phishing sigue siendo una amenaza en línea generalizada y grave.
"El phishing es el tipo de ciberataque más sencillo y, al mismo tiempo, el más peligroso y eficaz".
Los phishers no intentan aprovecharse de una vulnerabilidad técnica del sistema operativo de tu dispositivo, sino que utilizan la ingeniería social. Desde Windows y iPhones hasta Macs y Androids, ningún sistema operativo está completamente a salvo del phishing, por muy fuerte que sea su seguridad. De hecho, los atacantes suelen recurrir al phishing porque no encuentran ninguna vulnerabilidad técnica.
¿Por qué perder el tiempo rompiendo capas de seguridad cuando puedes engañar a alguien para que te dé la clave? A menudo, el eslabón más débil de un sistema de seguridad no es un fallo enterrado en el código informático, sino un ser humano que no comprueba dos veces de dónde procede un correo electrónico.
Ahora que hemos explorado qué es el phishing y cómo funciona, echemos un vistazo a dónde empezó todo, remontándonos a los años 70 con el pirateo de sistemas telefónicos, también conocido como "phreaking".
Historia del phishing
El término "phishing" asemeja los intentos de estafa a la pesca, en la que se utiliza cebo para atraer a las víctimas. Se cree que tiene su origen en la cultura del "phreaking" de los años 70, que consistía en piratear sistemas telefónicos. Antes del término "phishi
ng", se presentó una técnica similar en una conferencia tecnológica en 1987. El primer uso conocido del término se remonta a 1996, asociado con el hacker Khan C Smith, en medio de una estafa a usuarios de America Online (AOL), explotando la popularidad de AOL haciéndose pasar por personal de AOL para recopilar información de los usuarios.
A principios de la década de 2000, los phishers se centraron en los sistemas de pago en línea, la banca y las plataformas de redes sociales. Crearon dominios falsos muy convincentes, especialmente de eBay y PayPal, engañando a los usuarios para que compartieran información confidencial. El primer ataque de phishing dirigido a bancos se registró en 2003. A mediados de la década de 2000, el phishing se había convertido en una importante amenaza cibernética con campañas sofisticadas y organizadas, que causaban importantes pérdidas financieras.
El daño se intensificó con los años, con incidentes notables como una campaña patrocinada por el Estado en 2011, la violación masiva de datos de Target en 2013 y los intentos de phishing político de alto perfil en 2016. La tendencia continuó en 2017, con una estafa que llevó a desviar más de 100 millones de dólares de gigantes tecnológicos como Google y Facebook.
Artículos relacionados:
¿Qué es el phishing de ballenas?