5 minute read
¿Qué es el phishing y cómo te afecta?
Imagine la sorpresa al pagar con su tarjeta de débito o crédito y enterarse que su dinero ha sido robado o tiene cargos que no realizó. Esta situación la viven diariamente muchas personas en el mundo, dan clic en un link y toda su información es robada. Esto es el phishing
El phishing es una técnica que los ciber delincuentes utilizan para engañar y conseguir que se revele información personal confidencial, como contraseñas, datos de tarjetas de crédito o de la seguridad social y números de cuentas bancarias, entre otros. Obtienen esta información mediante el envío de correos electrónicos fraudulentos o dirigiendo a la persona a un sitio web falso.
El phishing obtiene su nombre cuando el ciber delincuente sale de «pesca» («fishing», en inglés,) con un «cebo» atractivo para ver si alguna víctima pica en el vasto «océano» de los usuarios de Internet. Las letras ph de «phishing» proceden de una afición de mediados del siglo XX, el llamado «phone phreaking», que consistía en experimentar con las redes de telecomunicaciones para averiguar su funcionamiento. Phreaking + fishing = phishing
El ataque funciona así, el correo electrónico tiene contenido hasta cierto punto convincente o amenazante, que genera cierta duda en el usuario y lo hace abrir un archivo o llenar un formulario.
El engaño que más se presenta en la actualidad es por correo electrónico. Sin embargo, la obtención de la información también puede ser a través de las redes sociales. Por lo que debemos ser cuidadosos sobre lo que publicamos. La gente es víctima de phishing por desconocimiento, temor e incluso por curiosidad. Por eso siempre es recomendable acceder a las páginas web escribiendo la dirección directamente en el navegador.
En el primer caso, el usuario en realidad no tiene la certeza de que algo puede ocurrirle a su equipo de cómputo sólo con entrar a un enlace. Cree que no pasa nada cuando en realidad es posible que sí, ya que al dar un clic en su computadora se podría estar instalando un malwere, es decir, un programa malicioso que le ocasionaría daños.
Un usuario también puede ser víctima de phishing por temor cuando le llegan mensajes de advertencia en los que lee frases amenazantes. Por miedo a que la amenaza se cumpla el usuario da clic en el enlace y en ese momento es susceptible de que su información personal sea robada.
Por último, un usuario puede ser víctima de este tipo de fraudes por curiosidad, simplemente por saber qué puede suceder si se da clic en un enlace.
Existe una vinculación entre el spam y el phishing, ya que los correos electrónicos fraudulentos suelen enviarse de forma masiva para multiplicar el número de víctimas potenciales de los hackers. De hecho, si bien el e-mail continúa siendo el medio más utilizado por los ciber delincuentes para este tipo de fraudes, el phishing puede utilizar otros medios de comunicación. Son frecuentes los intentos vía SMS (a veces llamados smishing), VoIP (vishing) o los mensajes instantáneos en redes sociales. Además los criminales se valen de ciertos trucos de ingeniería social para crear alarma en los receptores de los mensajes, con indicaciones de urgencia, alarma y diferentes llamadas a la acción. La idea es que el usuario actúe de inmediato ante el estímulo y no se detenga a analizar los riesgos de su acción.
¿Cómo reconocer un mensaje de Phishing? Es raro que las empresas ya sean de banca, energía o telecomunicaciones pidan datos personales vía correo electrónico. El mero hecho de que ocurra debería ponernos en guardia. No siempre es fácil reconocer los mensajes de phishing por su apariencia. Sin embargo reproducir de manera fidedigna el formato de una empresa requiere un tiempo y esfuerzo que los criminales no suelen estar dispuestos a invertir. Los errores, incoherencias o faltas de ortografía son un indicio claro. Fíjese también en la dirección del remitente.
Sea precavido en las operaciones desde su smartphone. La creciente popularidad de los teléfonos inteligentes hace que muchos usuarios realicen sus gestiones en su teléfono móvil. Los criminales lo saben y tratan de aprovecharse de la pérdida de claridad derivada de pantallas más pequeñas y de menores medidas de seguridad.
Para protegerse contra el Phishing, después de leer el correo no realice clic en ningún enlace. Lleve a cabo las verificaciones pertinentes como cliente, acuda directamente a la URL del navegador.
Otra acción que se debe tomar es mejorar la seguridad del ordenador. El sentido común y el buen juicio son tan vitales como mantener el equipo protegido, pero además, se debe tener las actualizaciones más recientes en el sistema operativo y navegador web.
Introducir datos confidenciales sólo en sitios web seguros. Para que un sitio se pueda considerar seguro, el primer paso, aunque no el único, es que empiece por https://, lo que implica que sigue el protocolo de transferencia de hipertexto y que el navegador muestre el icono de un candado cerrado.
Revise periódicamente las cuentas. Revise facturas y cuentas bancarias cada cierto tiempo para estar al tanto de cualquier irregularidad en las transacciones. Ante cualquier duda, no se arriesgue.
Phishing por redes sociales, algunos atacantes pueden colarse en las cuentas de redes sociales y forzar a la gente a enviar enlaces maliciosos a sus amigos. Otros crean perfiles falsos y los utilizan para engañar a sus víctimas.
No deje que suceda nada de lo siguiente:
Phishing de engaño: es un término que se refiere específicamente al intento de los hackers por hacerse pasar por empresas o personas legítimas con el fin de obtener su confianza.
Phishing personalizado: el phishing personalizado adapta sus ataques a cada objetivo concreto. Redes sociales profesionales como LinkedIn han popularizado el phishing personalizado dirigido contra empresas, ya que los hackers pueden encontrar fácilmente y en un mismo sitio toda la información laboral.
Whaling: consiste en ataques de phishing dirigido contra un persona concreta de alto nivel jerárquico. Es igual que el phishing personalizado, pero con objetivos mucho más ambiciosos. Ni siquiera los grandes ejecutivos son inmunes a los ataques de whaling.
Pharming: los atacantes utilizan trucos tecnológicos para engañar. Por ejemplo, la suplantación de identidad de DNS, también conocida como envenenamiento de la memoria caché de DNS, es una técnica que puede redirigir hasta a la versión falsificada de un sitio web.
Phishing por Dropbox y por Google Docs: los servicios de cloud son objetivos atractivos para el phishing. Los atacantes muestran versiones falsificadas de las pantallas de inicio de sesión, consiguen las credenciales del destinatario cuando las introduce y roban sus archivos y datos.
Phishing de clonación: los atacantes toman un correo electrónico legítimo, lo clonan y envían una copia exacta a todos los destinatarios, con un cambio, ahora los enlaces son maliciosos.
Manipulación de enlaces: los ciber delincuentes envían enlaces que parecen conducir a una dirección URL, pero al hacer clic en ellos llevan a otra parte. Entre los trucos habituales están los errores ortográficos o el uso del nombre de un sitio web de confianza como texto visible de un enlace. Estos ataques también se conocen como homógrafos.
El mejor consejo ante el phishing es siempre fomentar la prudencia entre todas las personas que forman parte de la organización. Asegurar la autenticidad del contenido ante la más mínima sospecha, es la mejor política.
