Phishing, qué es y cómo evitarlo

Al igual que los pescadores lanzan sus redes para pescar, los phishers lanzan correos electrónicos a la red para capturar tu información personal. Mientras los pescadores usan cebos para atraer a los peces, los phishers se sirven de la falsificación y la manipulación para atraer tu atención. 

La suplantación de identidad es un intento de adquirir información personal por medios engañosos. Realizado a través de correos electrónicos y sitios web falsos, el phishing permite a los piratas informáticos obtener credenciales de inicio de sesión, información bancaria y de tarjetas de crédito, o números de seguridad social. 

¿Qué es el phishing?

phishing

El phishing es cualquier intento de adquirir información personal u otros detalles privados por medio de engañosos. Quizá el tipo más común de fraude en internet y suele estar relacionado con correos electrónicos fraudulentos que tienen como objetivo engañarte para que compartas o proporciones tu información personal. Generalmente los responsables de este tipo de fraude no se aprovechan directamente de la información que roban sino que la venden en el deep web principalmente a piratas informáticos o ciberdelincuentes especializados en robos de identidad. 

Con los avances que existen en la seguridad informática muchas amenazas han sido identificadas y erradicadas, pero el phishing sigue siendo una amenaza importante debido a que son muy comunes y están muy extendidas las técnicas basadas en falsificación e ingeniería social para llevar a cabo engaños. Por regla general los correos electrónicos phishing están relacionados con notificaciones de carácter urgente (aunque falso) de proveedores de internet, instituciones financieras, etc. La mayoría de ellos tratan de imitar entidades reales usando sus logotipos, colores y estética originales. 

Los estafadores responsables de estos ataques te pedirán información personal como los datos de tu tarjeta de crédito, número de seguridad social, que ingreses tus credenciales de inicio de sesión. Y para ello se servirán de argucias o explicaciones como que podrías perder el acceso a tu cuenta bancaria, que tu perfil de una red social quede bloqueado, etc.

Para recopilar la información que necesitan crean sitios web falsos que imitan a los reales, tal como hemos indicado anteriormente. Usan URLs muy similares a las originales, lo que dificulta que puedas darte cuenta del engaño. Según estadísticas recientes, cada mes se crean más de 1,5 millones de nuevos sitios web de phishing que tienen un promedio de tiempo de vida útil de tres a cinco días. Esto equivale a casi 50 mil sitios web nuevos diarios, por lo que no resulta sorprendente que el phishing sea la principal causa de filtraciones de datos en todo el mundo. 

Tipos de phishing

Existen varios tipos de phishing, algunas de las cuales solo son posibles por teléfono. Es decir, phishing por voz, también conocido como vishing. o a través de mensajes de texto o SMS (SMiShing). Los tipos de phishing online más comunes son los siguientes.

Spray and Pray Phishing

Conocido como phishing de engaño y consiste en el envío masivo de correos electrónicos etiquetados como urgentes en los que se pide a la víctima que actualice su contraseña de acceso a algún servicio como Paypal o que introduzca sus datos para reclamar un premio de lotería, o para recibir un supuesto paquete de Amazon pendiente de entrega. Estos correos electrónicos suelen contener enlaces a páginas de inicio falsas y cuando la víctima introduce sus datos personales, éstos se almacenan en un servidor al que el phisher tiene acceso. 

Spear Phishing

Este tipo de phishing es mucho más sofisticado que el anterior porque es personalizado. En lugar de enviar un mensaje genérico, los phishers se dirigen a organizaciones, grupos o incluso a individuos específicos con el objetivo de obtener su información personal. Recopila nombres, direcciones, emails y todo tipo de información personal de redes como Linkedin o registros de correos electrónicos pirateados. 

Este tipo de phishing se dirige principalmente a empresas y organizaciones, por lo que los correos electrónicos de spear phishing son algo diferentes. Generalmente incluyen consultas o facturas falsas de socios comerciales. Los phishers a menudo afirman que han adjuntado un documento importante pidiendo que se descargue. Una vez realizada la descarga, se instalará automáticamente malware que espía la actividad y recopila información de la víctima. 

Phishing de CEO

El phishing del CEO es una forma muy sofisticada de fraude online que se dirigen al personal concreto de los departamentos de recursos humanos o de finanzas de una empresa y se hacen pasar por el director ejecutivo de la empresa y se centran en intercambiar múltiples mensajes para ganarse gradualmente la confianza de las víctimas. Al cabo de un tiempo, el phisher empezará a solicitar a su objetivo que le envíe información personal de los empleados o que transfiera fondos a una cuenta que especifique. En la mayoría de casos indicando que se trata de fondos para un nuevo contrato o algo similar. Se estima que empresas de todo el mundo han perdido cerca de 5 mil millones de dólares  como resultado de este tipo de phishing.

File Hosting Phishing

Muchas personas usan servicios de alojamiento online como Dropbox o Google Drive para realizar copias de seguridad de sus archivos. Ello les permite acceder a ellos y compartirlos fácilmente. Los phishers lo saben, por lo que existen muchos intentos de hacerse con las credenciales de inicio de sesión de sus usuarios. La técnica que usan es muy similar al phishing de engaño. Pero en lugar de que buscar algo específico, buscan acceder al almacenamiento de archivos para recopilar cualquier información valiosa que ahí puedan encontrar. 

Phishing de criptomonedas

Es una forma bastante novedosa de phishing. Los piratas informáticos crean páginas de inicio de sesión falsas de criptomonedas y cuando una víctima ingresa sus credenciales, los phishers obtienen acceso de forma instantánea a las cuentas digitales de sus víctimas. En cuestión de poco tiempo proceden a retirar fondos de ellas. 

Cómo protegerte

Al igual que con las demás amenazas informáticas, la mejor manera de protegerte es adoptar hábitos de navegación responsables. Y no olvides usar el mejor software antivirus. Los buenos hábitos de navegación web son especialmente importantes porque algunos emails de phishing pueden robar tus datos sin pasar por el software antivirus. 

Que es phishing

Nunca debes divulgar información personal, información de tarjetas de crédito, credenciales de inicio de sesión, etc. en correos electrónicos o mensajes de texto. Si tienes la impresión de que tu email o el sitio web de tu banco, se ven diferentes, verifica la ortografía. Generalmente son un signo revelador de un sitio falso. Asegúrate de que las webs tienen el prefijo “https” en la barra de direcciones y el icono del candado. Esto te confirma que la información que introduces sea segura. 

No abras ningún correo electrónico que recibas de direcciones de correo desconocidas ni hagas clic en los enlaces o archivos adjuntos que puedan contener. Si lo haces, es posible que instalen software espía en tu ordenador u otro tipo de malware. Si dispones de un buen software antivirus, éste lo detectará y bloqueará inmediatamente. Y además examinará los certificados de seguridad de todas las direcciones que visites evitando que accedas a sitios de phishing.

Comparte tu opinión con nosotros

      Deje una respuesta

      Officepedia.net
      Logo