Phishing es el término utilizado para describir los intentos de los piratas informáticos, o delincuentes, de pretender ser un socio de comunicación confiable en la comunicación digital a través de sitios web, correos electrónicos o mensajes cortos bien elaborados pero falsos. El objetivo de estos intentos de fraude es, por ejemplo, obtener acceso a los datos personales de un usuario de Internet para llevar a cabo más actividades delictivas, como limpiar su cuenta.
Dado que los ciberdelincuentes utilizan todos los medios para explotar las vulnerabilidades, es cada vez más importante aprender a prevenir las estafas de phishing en lugar de caer en esas trampas.
¿Cómo se reconoce un intento de phishing?
Una estafa de phishing ocurre cuando alguien finge ser una entidad confiable, como tu jefe, un banco o una compañía de tarjetas de crédito para obtener información confidencial. La información más buscada incluye:
- Nombre de usuario y contraseña
- Números de seguro social
- Información financiera
- Números de cuenta
Los intentos de phishing generalmente crean una sensación de miedo o urgencia para que la persona objetivo actúe rápidamente en lugar de pensar cuidadosamente en divulgar información privada.
Aunque los estafadores de phishing actualizan regularmente sus técnicas, existen algunos indicadores que te ayudarán a detectar un intento de phishing, ¡así que ten cuidado!
Actividad sospechosa o intento de iniciar sesión
Muchos servicios en línea enviarán correos electrónicos para notificarte cuando alguien haya intentado iniciar sesión en tu cuenta desde un nuevo dispositivo o ubicación. Si no reconoces esta actividad, podría indicar un intento de phishing.
Facturas falsas
Los estafadores a veces se hacen pasar por contratistas o proveedores para engañar a los empleados para que paguen facturas falsas con dinero de la empresa. Un estafador se hizo pasar por una empresa legítima para engañar a Google y Facebook para que le pagaran $ 122 millones juntos.
Enlaces de pago
Los estafadores de phishing pueden intentar engañar a los usuarios para que hagan clic en enlaces que conducen a páginas de phishing disfrazadas de sitios web auténticos. Después de que el usuario ingresa su nombre de usuario y contraseña, el estafador usa las credenciales para acceder a su cuenta en línea y bloquearlos.
Cupones u ofertas gratuitas
Algunos intentos de phishing utilizan ofertas gratuitas para engañar a las personas para que abran correos electrónicos sospechosos, hagan clic en enlaces o revelen información personal que les permita acceder a otras cuentas en línea.
Verificación de información personal
Algunos intentos de phishing manipulan a las personas para que divulguen información personal. Los estafadores pueden usar los cumpleaños o los números de seguro social para responder preguntas de seguridad y «probar» su identidad como titular de la cuenta.
Reembolso no está permitido
Los estafadores de phishing incluso se han hecho pasar por la oficina de impuestos y se han puesto en contacto con personas sobre un reembolso de impuestos pendiente. El fraude requiere que las personas objetivo proporcionen datos personales como dirección, fecha de nacimiento o número de licencia de conducir,
“Problemas” con tu información de pago o cuenta
Los ataques de phishing también pueden engañar a los usuarios para que revelen información financiera haciéndose pasar por un sitio web de comercio electrónico o servicio en línea y pidiéndoles que verifiquen su información de pago.
Cebos de phishing comunes
- Deceptive Phishing
El deceptive Phishing es el tipo más común de estafa de phishing. Un estafador pretende ser una fuente legítima para engañar a las personas para que revelen su información personal o sus credenciales de inicio de sesión. Los correos electrónicos de deceptive phishing a menudo utilizan amenazas para asustar a los usuarios y hacer que revelen información confidencial.
Consejo: los intentos de phishing engañosos suelen incluir saludos genéricos, errores gramaticales u ortográficos y enlaces redirigidos o abreviados que conducen a páginas de phishing. Siempre debes asegurarte de que un remitente sea legítimo antes de hacer clic en cualquier enlace o descargar archivos adjuntos.
- Speer phishing
Spear phishing utiliza información personalizada, generalmente recopilada a través de las redes sociales, para dirigirse a usuarios específicos y lograr una mayor tasa de éxito. En estos intentos de phishing, los correos electrónicos se etiquetan con el nombre, la posición e incluso el número de teléfono de la persona objetivo para que la persona objetivo crea que el remitente los conoce. Sin embargo, el objetivo sigue siendo el mismo: engañar al objetivo para que revele información personal, hacer clic en un enlace a un sitio web de phishing o descargar malware.
- Phishinde de caza de ballenas
La caza de ballenas es un tipo especial de ataque de spear phishing que tiene como objetivo a los ejecutivos, acceder a datos y cuentas de empresas de alto rango. Cuando un ataque de caza de ballenas tiene éxito, un estafador puede llevar a cabo una estafa de CEO. El fraude de CEO utiliza la cuenta de un CEO u otro ejecutivo para autorizar transferencias fraudulentas o solicitar información de los empleados que luego se puede vender en la web oscura.
Los ataques de caza de ballenas tienen mucho éxito porque los gerentes generalmente no reciben la misma capacitación en conciencia de seguridad que sus empleados. Para combatir el riesgo de fraude de los directores ejecutivos, las organizaciones deben exigir a los ejecutivos que asistan a una formación continua sobre seguridad cibernética.
- Clone phishing
Los ataques de phishing de clonación duplican los correos electrónicos legítimos para parecer confiables y reemplazan los archivos adjuntos o enlaces legítimos con versiones maliciosas. Los correos electrónicos de phishing clone a menudo provienen de direcciones de correo electrónico falsas, que hacen referencia a un mensaje anterior o afirman contener información o archivos actualizados.
Consejo: los usuarios siempre deben verificar los enlaces, incluso si provienen de una fuente aparentemente confiable. En caso de duda, comunícate con el supuesto remitente directamente en un nuevo correo electrónico en lugar de responder a un posible correo electrónico de phishing clonado.
- Smishing
Smishing, una combinación de «SMS» y «Phishing», utiliza mensajes de texto para engañar a los usuarios para que descarguen malware o proporcionen información personal. En un intento de smishing, los estafadores se hacen pasar por una empresa conocida (por ejemplo, un proveedor o tu institución financiera) para engañar a la persona objetivo para que descargue una aplicación maliciosa o ingrese su información personal en un sitio web de phishing.
Las campañas de Smishing se han hecho pasar por entidades muy confiables como Amazon, FedEx y Apple. Los usuarios deben tener cuidado con los mensajes enviados desde números de teléfono desconocidos y llamar a la organización directamente para verificar la autenticidad de un mensaje si no están seguros.
- Pharming
A diferencia de las estafas tradicionales de phishing, el pharming no siempre se dirige directamente a las víctimas. En cambio, el pharming cambia el dominio de un sitio web legítimo para redirigir a los usuarios a un sitio web de phishing. Algunos ataques de pharming envían correos electrónicos que modifican los archivos de host en la computadora del objetivo y redirigen todas las URL a un sitio web de phishing donde se instala malware o se roba información personal.
Consejo: los empleados solo deben ingresar sus credenciales en sitios web protegidos con HTTPS y actualizar regularmente su software antivirus en todos los dispositivos.
- Phishing angler
El phishing Angler ocurre cuando los estafadores se hacen pasar por la cuenta de servicio al cliente de una marca en las redes sociales. Luego, el estafador se pone en contacto con los usuarios que publican quejas y comparten un enlace que pretende dirigir a la persona objetivo a un chat de servicio al cliente. Sin embargo, el enlace generalmente conduce a una página de phishing que roba los datos del objetivo o descarga malware en su dispositivo.
Consejos para evitar las estafas de phishing
Las estafas de phishing han existido casi desde los inicios de Internet, lo que tiene un inconveniente inesperado. Dado que los intentos de suplantación de identidad suelen seguir un patrón bien conocido, existen muchos consejos fiables que te ayudarán a evitar las estafas de suplantación de identidad. Aquí hay recomendaciones sobre cómo evitar las estafas de phishing.
- Educarte y entonces formar a tus empleados
Los ataques de phishing utilizan la ingeniería social para manipular psicológicamente a las personas para que divulguen información confidencial sin darse cuenta de que están siendo engañadas. Debes realizar una capacitación de seguridad periódica para educar a tus empleados sobre cómo prevenir las estafas de phishing y cómo identificar los correos electrónicos sospechosos.
Es importante realizar un seguimiento de las últimas tendencias y técnicas de phishing para poder prevenir los ataques de phishing antes de que afecten a tu empresa. Las pruebas frecuentes de ingeniería social simuladas también pueden reducir radicalmente la vulnerabilidad de tu empresa a las estafas de phishing.
- Utiliza software de seguridad
El software de seguridad o antivirus se actualiza periódicamente con nuevas medidas de protección contra las vulnerabilidades del software y los ataques de phishing actuales. El software antivirus es una herramienta muy eficaz que puede evitar daños en tu red al escanear todos los archivos que ingresan a tu sistema informático.
- Cambia las contraseñas con regularidad
Una encuesta de Google encontró que al menos el 65 por ciento de las personas reutilizan la misma contraseña para algunas o todas sus cuentas. Al actualizar regularmente tus contraseñas, puedes proteger tu empresa de las consecuencias de una violación de datos en la que las contraseñas filtradas a menudo se filtran o se venden a otros estafadores.
- Utiliza la autenticación de múltiples factores
La autenticación de múltiples factores, o MFA, es un método de verificación que requiere que los usuarios se identifiquen mediante diversas medidas. MFA crea niveles adicionales de protección para sus cuentas y protege tu red y los datos de la empresa del acceso no autorizado.
- Utiliza firewalls
Un cortafuegos de buena calidad es una de las formas más fiables de proteger tu red de intrusos externos. La combinación de software de firewall de escritorio y hardware de firewall de red puede reducir drásticamente el riesgo de que los estafadores de phishing ingresen a tu red.
- Haz una copia de seguridad de tus datos
Una estrategia confiable de respaldo y recuperación de datos es esencial para el éxito a largo plazo de tu negocio. Los ataques cibernéticos, los errores humanos, las fallas de los dispositivos y los desastres naturales pueden provocar la pérdida de datos. Proteger tu negocio de estos eventos inesperados puede evitar que sufras una falla de datos costosa o irrecuperable.
