Tabla de contenidos
Con el rápido desarrollo de la tecnología, la complejidad de los ataques de phishing mejora. Cuanto más tecnológicamente avanzadas se vuelven las personas, más avanzados son los ataques de phishing. Por último, pero no menos importante, ahora que todo el mundo pasa más tiempo online, el número de ataques de phishing también aumenta. Aquí está nuestra breve guía sobre cosas simples para recordar para mantenerse a salvo de ataques de phishing, mientras navegas online.
Pero, ¿qué son el phishing y las estafas online?
Nacido alrededor de 1995, solo 4 años después de la aparición del primer sitio, el phishing se refiere a la práctica de usar correos electrónicos y sitios web engañosos para obtener ilegalmente información personal de los usuarios. Esa información (nombres de usuario, contraseña, tarjetas de crédito) se utiliza más tarde para robar dinero o más información.
La palabra “phishing” en sí es una combinación de “fishing” (pesca) y “phreaks”, que era lo que los hackers solían llamarse a sí mismos. La práctica del phishing se considera una forma de ingeniería social, que es un término para manipular a las personas al representarse falsamente en un contexto de seguridad web.
Tipos de técnicas de phishing
Spear phishing
¿Qué es el spear phishing? Spear phishing se dirige a una persona u organización específica en lugar de a usuarios aleatorios. Esta estafa generalmente tiene como objetivo robar información o datos confidenciales de la víctima específica, como contraseñas de la cuenta o información financiera con fines maliciosos. Requiere conocimientos específicos sobre la víctima, como algunos datos personales. Los ciberdelincuentes usan esta información, generalmente en un correo electrónico, para fingir que son una organización o persona de confianza y adquirir los datos que necesitan.
Spear phishing vs phishing
Spear phishing vs phishing, ambos son ataques online que intentan robar información sensible. Sin embargo, el phishing es el término más general para este tipo de ataque, ya que es básicamente cualquier intento de engañar a las víctimas para que compartan información sensible.
Según la definición de spear phishing, está personalizado para la víctima específica. Requiere más pensamiento, tiempo y conocimiento para lograr su objetivo. Dado que los mensajes de spear phishing están personalizados, es más difícil identificar este tipo de ataques.
Lo que ayuda a protegerse del spear phishing generalmente es tener cuidado con su presencia online. Aquí tienes algunos consejos a seguir para evitar el spear phishing:
- Ten cuidado con la información personal que publicas en Internet
- Usa contraseñas inteligentes y seguras
- Actualiza tu software regularmente
- Tenga cuidado al abrir correos electrónicos y hacer clic en enlaces
Phishing Microsoft 365
Este tipo de ataques son correos electrónicos de phishing que tienen como objetivo usuarios de Microsoft 365. Una de las cosas más comunes que hacen los atacantes es engañar a las víctimas para que descarguen un archivo disfrazando su extensión. Los atacantes usan un carácter especial Unicode, el override de derecha a izquierda. Les permite, por ejemplo, disfrazar un archivo “.exe” como un archivo “.txt”. Como resultado, la víctima descarga el archivo “.exe” que instala software malicioso en su ordenador o portátil.
Whaling phishing
El whaling phishing es un ataque altamente dirigido. Este tipo de ataque de phishing se dirige a personas en particular como altos ejecutivos, y se disfraza de correo electrónico legítimo. Intenta alentar a las víctimas a realizar una acción en particular, generalmente relacionada con la transferencia de dinero o la entrega de información específica. Los correos electrónicos de whaling phishing a menudo se dirigen a grandes instituciones financieras y son más complicados que los correos electrónicos de phishing generales porque están dirigidos a ejecutivos de nivel C.
Estos correos generalmente contienen información personalizada sobre la organización/ejecutivo de nivel C, crean una sensación de urgencia, cumplen con el tono comercial y lo alientan a hacer algunas de las siguientes acciones:
- Haz clic en un enlace que eventualmente traerá malware
- Transferir dinero a la cuenta bancaria del atacante
- Proporcionar más información sobre la empresa o el particular.
Voice phishing
Voice phishing es un ataque que engaña a las personas para que proporcionen información financiera o personal importante por teléfono a terceros. Puedes ser víctima de un ataque de phishing de voz a través de varios canales y dispositivos como correo de voz, teléfono inteligente, teléfono fijo, voz sobre IP, etc.
El mensaje de tal ataque generalmente informa a la víctima de una actividad sospechosa, relacionada con su cuenta bancaria/tarjeta de crédito o débito, etc. Después el atacante alienta a la víctima a llamar a un número de teléfono y proporcionar más información personal o verificar su cuenta/identidad.
Para protegerse de un ataque de este tipo, el mejor enfoque es llamar a la institución en cuestión a través de un canal de contacto válido que tenga y asegurarse de que su cuenta no haya sido comprometida.
Business email compromise (BEC)
Business email compromise (correo corporativo comprometido) es un mensaje de correo electrónico que parece legítimo, solicita una acción en particular y se dirige a una empresa específica. La solicitud en el mensaje generalmente trata sobre la transferencia de fondos a la cuenta bancaria del atacante que:
- Pretende ser el “proveedor habitual” que ha enviado una factura desde una dirección de correo actualizada
- Pretende ser CEO de la empresa
- Finge ser un empleado de la empresa y ha hackeado su dirección de correo electrónico
- Pretende ser el abogado de la empresa
Phishing de redes sociales
El phishing de redes sociales está relacionado con ataques a través de redes sociales como Facebook, Instagram, Twitter, LinkedIn, etc. Su objetivo es robar tu información personal o apoderarse de tu cuenta de redes sociales. Tal ataque también puede resultar en una pérdida financiera debido a la obtención de datos para acceder a las cuentas financieras. Para protegerse de un ataque de phishing en las redes sociales, sigue estas simples reglas:
- No añadas/aceptes extraños como amigos
- No hagas clic en los enlaces para actualizar tu información personal
- No uses el mismo nombre de usuario y contraseña para todas tus cuentas
- Usa la última versión de tu sistema operativo
¿Cómo puedes protegerte del phishing?
Debido a que el phishing realmente puede costarte mucho, desde dinero robado hasta grandes violaciones de datos en tu empresa, es imprescindible tomar precauciones de seguridad adecuadas. Hemos creado una breve lista de las cosas que debes tener en cuenta para mantenerte seguro en internet.
1. Presta atención al remitente y a la URL en tus correos electrónicos
Una de las estafas de phishing más comunes es falsificar una gran marca enviando un correo electrónico con su nombre (y generalmente una paleta de colores), y decir que hay algo mal en tu cuenta y pedirte que inicies sesión “para solucionarlo”. Por lo general, el aspecto del correo electrónico es muy similar al de la marca original, sin embargo, hay una manera segura de distinguir si estás ante un correo real de la marca auténtica.
Verifica la dirección de correo electrónico: los estafadores no pueden crear direcciones de correo electrónico con el nombre de dominio real de la empresa, por lo que en lugar de help@bigbrandname.com generalmente se verá como bigbrandname@somethingelse.com. ¡Mira cuidadosamente la dirección de correo electrónico y no solo el nombre que aparece en tu cliente de correo electrónico!
Verifica la URL antes de hacer clic: si colocas el ratón sobre la URL provista en el correo electrónico, generalmente revelará el dominio al que está apuntando, para que puedas ver a dónde lleva realmente este correo electrónico. Si no es el dominio oficial de la marca, no hagas clic en él.
2. Evita descargar archivos adjuntos de correos electrónicos que no esperas
A veces, el correo electrónico parece correo electrónico comercial legítimo y no pretende ser una gran empresa, sino que envía un archivo adjunto que contiene algún tipo de malware. El correo electrónico a menudo se estructura como una oferta comercial o un correo electrónico enviado por la propia empresa/jefes del destinatario que contiene archivos con información confidencial.
Si no sabes quién es el remitente, definitivamente no abras ningún archivo adjunto. Si conoces al remitente, pero no esperas nada de ellos, o si hay algo sospechoso, es mejor omitirlo también. Llama al remitente y pregúntale si tenía intención de enviarte algo, ya que a veces los estafadores piratean los buzones de correo electrónico de las personas y los usan para ataques de phishing enviando spam a sus contactos.
El formato más común para los archivos adjuntos es zip (.exe generalmente no está permitido), sin embargo, incluso los archivos de Microsoft Office pueden contener virus, así que estate atento a todo tipo de archivos adjuntos.
3. Siempre revisa el sitio web en el que aterrizaste
Si haces clic en un enlace de phishing (generalmente recibido por correo electrónico o mensajes instantáneos), a menudo te llevará a algún tipo de sitio web. El propósito de estos formularios suele ser el de conseguir tu información más confidencial: nombres de usuario y contraseñas.
Antes de completar cualquier dato, verifica la dirección del sitio web en la barra de direcciones del navegador.
Los estafadores pueden crear un sitio web que se parezca mucho al diseño de la marca respectiva, pero no pueden usar su dominio oficial o tener el nombre de la marca en el dominio (suponiendo que la marca esté protegida por marca registrada). Por lo tanto, a menudo, estos dominios pueden parecerse al nombre de una marca, pero nunca serán el original y tendrán símbolos, letras o palabras adicionales.
Por lo general, los dominios fraudulentos se ven sin sentido y, a veces, el diseño y el flujo también parecen extraños, especialmente si se trata de una marca conocida que a menudo se ve.
Por ejemplo, al iniciar sesión en Gmail, Google nunca te pedirá que selecciones tu proveedor de correo electrónico ni que introduzcas tu correo electrónico y contraseña en la misma pantalla. Por lo tanto, el flujo que verás a menudo en los sitios de phishing está diseñado para parecerse al original, pero no lo es.
4. Ignora solicitudes de dinero
Otro tipo de estafa online que los ingenieros sociales suelen utilizar es crear una identidad falsa y pedir dinero de alguna forma. Por lo general, es una “lotería ganada” o una persona en problemas, pidiendo ayuda y que necesita que le envíes una pequeña cantidad de dinero con la promesa de que obtendrás mucho más a cambio.
Algunas veces estas estafas pueden tomar la forma de extorsión. Uno popular fue un correo electrónico que circuló en los últimos años, declarando que los usuarios habían sido grabados a través de sus propias cámaras web viendo contenido para adultos y se les pedía dinero. En realidad, este ataque de estafa fue tan aterrador que apareció en las noticias ya que la gente estaba aterrorizada. ¡Comprensible!
De cualquier manera, si recibes una solicitud de dinero por parte de extraños, generalmente es una estafa. Nunca des dinero o información financiera sin importar cómo se presente la situación.
¿Qué debes hacer si recibes un correo electrónico de phishing?
Cada vez que recibes un correo electrónico, debes tener mucho cuidado con la dirección de correo electrónico, la URL, su ortografía, etc. Después de revisarlos e identificar que el correo electrónico es en realidad un correo electrónico de phishing, debes seguir todos los pasos a continuación:
- No hagas clic en ningún enlace y no abras ningún archivo adjunto ni respondas;
- Contacta con el presunto remitente a través del canal oficial para la comunicación;
- Informe el correo electrónico a su empresa y proveedor de correo electrónico y organismo gubernamental y la organización que supuestamente envió el correo electrónico;
- Marca el remitente como correo no deseado;
- Eliminar el correo electrónico y eliminarlo de la papelera de reciclaje/carpeta de elementos eliminados.
¿Cómo denunciar correos electrónicos de phishing?
Como se mencionó anteriormente, debes reportar el correo electrónico de phishing a varias personas / instituciones. Aquí te mostraremos cómo denunciar el correo electrónico tanto al proveedor de correo electrónico como al organismo gubernamental.
Cómo reportar correos electrónicos de phishing a tu proveedor de correo electrónico
Tomemos como ejemplo las cuentas de Gmail. Junto a la opción “Responder” en Gmail, haz clic en la opción “Más” y selecciona “Informar de phishing”.
Si eres un usuario de Outlook, debes seleccionar el mensaje de correo electrónico de phishing de la lista de mensajes y encima del panel de lectura, seleccione Junk > Phishing > Reportar.
Otros proveedores de correo electrónico tienen opciones similares y fáciles de usar para denunciar correos electrónicos de phishing.
Cómo reportar a una institución específica, según el país en el que te encuentres.
- Para los EE. UU., reenvía el correo electrónico de phishing al Grupo de trabajo Anti-Phishing en reportphishing@apwg.org. Y tampoco olvides reportar el ataque de phishing a la FTC (Federal Trade Commission) en ReportFraud.ftc.gov.
- Para el Reino Unido, reporta el correo electrónico de phishing a Action Fraud, el centro de denuncias de fraude y ciberdelincuencia del Reino Unido.
Pensamientos finales
Ahora que sabes qué es un ataque de phishing, estás mucho mejor preparado para protegerte de él con nuestros sencillos consejos prácticos. Puedes explorar más a fondo nuestro blog en busca de temas similares y leer cómo proteger tu reputación protegiendo tu correo electrónico.