Cómo reconocer y evitar estafas de phishing

En esta era moderna de globalización, donde más de dos tercios de la población mundial tiene acceso a mensajes de texto, llamadas móviles y correo electrónico, los números harían fácil concluir que más de la mitad de la población del planeta ha sido expuesta a un intento de phishing. La exposición sugerida se debe a que los ataques de phishing se realizan principalmente a través de uno de los medios mencionados, siendo los correos electrónicos los más comunes. El objetivo final de un ataque de phishing es obtener la información personal de la víctima, siendo los detalles bancarios el tesoro más preciado. Este artículo te contará todo acerca de esta amenaza cibernética, y te mostrará cómo reconocer y evitar caer victimas de los phishers.

El peculiar mapa de ruta de las estafas de phishing

El principal objetivo del Phishing es adquirir los detalles de acceso personal a tus cuentas financieras. Aunque los estafadores han evolucionado a lo largo de los años con las tácticas utilizadas en el engaño a los individuos, existen, sin embargo, algunas señales de alerta que podrían revelar las llamadas, mensajes de texto o correos electrónicos de phishing por lo que realmente son: ¡una estafa!

• Llamadas, correos electrónicos y mensajes de texto de phishingprocedentes de organizaciones aparentemente fiables. ¿Alguna vez ha recibido un correo electrónico, supuestamente enviado por su «responsable de cuenta», solicitándole información personal como su número de la seguridad social y otros datos bancarios? Le interesaría descubrir que esos mensajes y correos electrónicos proceden de phishers que se hacen pasar por organizaciones reales;
• Los correos electrónicos y mensajes de texto de phishing suelen venir acompañados de historias infundadas. El truco de estas emocionantes historias es despertar la pasión en la víctima. Un famoso ataque de phishing del que fueron víctimas varios usuarios bancarios pedía a los clientes que «por favor» volvieran a enviar sus últimos datos de acceso para actualizar la base de datos del banco. Esta petición se produjo después de que se narrara cómo los hackers habían atacado recientemente la infraestructura de datos del banco.

Una historia más famosa, y fácil de caer, son aquellas que afirman que se han notado intentos de inicio de sesión sospechosos en tu cuenta. Posteriormente, se aconseja a los usuarios que restablezcan su contraseña proporcionando algunos detalles personales, generalmente en un sitio web falso que se ha creado o en el sitio web real que ha sido momentáneamente secuestrado.

Normalmente, así es como los estafadores de phishing recolectan de forma astuta la información personal de las víctimas:

1. Compran datos de su suscripción a servicios en línea, por ejemplo, números de móvil o direcciones de correo electrónico.
2. A continuación, crean el cebo en forma de mensajes de correo electrónico engañosos, textos y sitios web falsos para convencer a los usuarios de que los mensajes proceden de organizaciones con las que están familiarizados y en las que confían.
3. Los estafadores envían los mensajes de forma masiva a los contactos adquiridos inicialmente, a veces a miles de usuarios a la vez.
4. Los phishers utilizan los datos que pueden recopilar de los destinatarios ignorantes de los mensajes para realizar compras y actos no autorizados utilizando la cuenta de las víctimas.

Tipos comunes de phishing y cómo reconocerlos

El phishing de ninguna manera está limitado a los enumerados a continuación, ya que los estafadores están constantemente cambiando sus tácticas; sin embargo, los registros de ataques de phishing ampliamente informados nos ayudarían a clasificarlos en las siguientes categorías:

1. Phishing por SMS implicar el envío de mensajes de texto a usuarios de teléfonos móviles, pidiéndoles que se pongan en contacto con un agente de atención al cliente o que visiten una organización a través de un enlace incrustado en el texto. Al hacer clic en el enlace, los víctimas son dirigidos a una página de inicio de sesión o a un cuadro de diálogo de texto donde se requiere introducir información personal para obtener acceso completo al supuesto sitio web o recurso. Este tipo de ataque está en aumento en parte porque los fabricantes de teléfonos móviles se han sumado a la revolución de internet produciendo principalmente smartphones.

Una forma fácil de identificar un ataque de phishing por SMS es que el mensaje suele ser enviado desde números extraños o incluso viene con textos mal redactados.

2. Los mensajes de phishing por correo electrónico son enviados por correo a víctimas desprevenidas. Los correos suelen enviarse como difusión oculta (BCC) a múltiples direcciones de correo electrónico con logotipos y notas al pie robados de la organización o individuo actual que se está imitando. Los ataques de phishing por correo electrónico rara vez terminan con el mensaje en sí; a menudo se dirige a los destinatarios del mensaje a visitar un sitio web popular a través de un enlace de texto o a descargar un adjunto de spam incluido en el correo electrónico. En la página de destino del enlace adjunto, se solicita a las víctimas que proporcionen información personal. La página web también puede hacer que el malware se instale automáticamente en una computadora tan pronto como se carga la página web. El malware de phishing cargado recolecta información personal de la computadora, smartphone o dispositivo de la víctima de muchas maneras:

• Registro de las pulsaciones del usuario al rellenar formularios
• Evaluar la caché del usuario y reenviar su contenido al agresor remoto

Al igual que el phishing por SMS, una mirada detallada a la dirección de correo electrónico emisora ayudará al destinatario a aislar y denunciar los mensajes maliciosos como un ataque de phishing. Por ejemplo, un phisher que quiera imitar a Amazon Customer Care puede usar una dirección como – [email protected]. Un correo electrónico legítimo de Amazon vendría con el nombre de dominio de la empresa, por ejemplo, [email protected]. Además, ninguna organización correctamente estructurada solicitará tus detalles personales o financieros por correo electrónico.

3. Spear phishing es un tipo de estafa más estratégico que también utiliza las brechas de seguridad en los correos electrónicos. A diferencia del phishing por correo electrónico, donde los correos son enviados a varias personas como mensajes de difusión, el spear phishing es mucho más específico. Los empleados de proveedores de servicios en línea o agencias gubernamentales que han sido identificados como poseedores de la información personal de muchos usuarios, son los objetivos prolíficos del spear phishing.

El correo electrónico se hace parecer como si viniera de un superior, o del jefe de la empresa, solicitando acceso a la información de los usuarios. En otros casos, el correo es enviado desde fuentes claramente desconocidas, con un encabezado magnético, lo suficientemente cautivador como para hacer que el destinatario abra el mensaje. El mensaje suele estar vacío y viene con un archivo adjunto; la curiosidad llevará entonces al destinatario a abrir el archivo adjunto e instalar el ransomware en el ordenador.

Las víctimas de ataques de spear phishing pueden ser comparadas con la cabeza de la mítica Hidra. Los datos recopilados durante estos ataques se utilizan para ejecutar una violación a gran escala de las cuentas de usuario asociadas a la organización en cuestión.

4. El clonado de phishing, como su nombre sugiere, implica que la víctima recibe un correo electrónico con exactamente el mismo contenido que uno que ha sido enviado previamente desde una organización de confianza; el phisher, sin embargo, incluye un enlace sospechoso a un archivo adjunto malicioso o a un sitio web falso. La única variación es que la dirección de correo electrónico emisora está ligeramente alterada y se hace parecer muy similar a la del remitente inicial. Esta táctica hace que el clonado de phishing sea el tipo más difícil de detectar.

5. Phishing de balleneros es muy similar al phishing de lanzas. El objetivo es obtener acceso a la información sensible o personal de las personas que se suscriben a los servicios de una organización. Sin embargo, los ataques de balleneros apuntan a las ‘ballenas’ en las organizaciones, como ejecutivos de alto nivel y la junta de fideicomisarios.

6. Phishing de ventanas emergentes es muy similar a los pop-ups publicitarios que interrumpen la experiencia del usuario al navegar por un sitio web monetizado. Sin embargo, el phishing de ventanas emergentes viene como una advertencia, no como una publicidad; la ventana emergente alerta al usuario sobre un documento o aplicación maliciosa no especificada que ha infectado la computadora. Luego se ofrece la opción de descargar un antivirus que eliminará la amenaza sin costo. Instalar este software expone a tu computadora al riesgo de ser infectada por malware no deseado; la amenaza reclamada generalmente es una farsa.

Protegiéndote de ser una víctima de Phishing

En esta era del comercio electrónico, para evitar convertirte en una víctima o ser utilizada como un canal para revelar datos sensibles relacionados con tu organización, aquí tienes algunas guías a prueba de fuego a seguir.

• Haz una copia de seguridad de tus datos. Tener una copia de seguridad de los datos vitales de tu ordenador o smartphone en un soporte externo es esencial. En caso de que seas víctima de un ataque de ransomware, la copia de seguridad de tus documentos estará a salvo en un servicio de almacenamiento en la nube o en un medio de almacenamiento externo que no esté conectado a tu red informática.
• Utiliza la autenticación de usuario en varias fases. Los phishers siempre están detrás de los detalles de la cuenta como el nombre de usuario y la contraseña. En situaciones en las que se ha establecido la segunda etapa de autenticación para sus cuentas sensibles, tener su contraseña y nombre de usuario se vuelve intrascendente. Un excelente ejemplo de autenticación en varias etapas es el código de confirmación que se envía a su contacto móvil al realizar transacciones bancarias o iniciar sesión. Una capa biométrica de autenticación, como la huella dactilar, el ojo o el escáner facial, son métodos seguros para salvaguardar nuestras cuentas.
• Actualiza los dispositivos con los últimos parches de seguridad. Los principales fabricantes de ordenadores y smartphones actualizan sus sistemas operativos con regularidad para corregir fallos y lagunas a través de las cuales se ha detectado que atacan los phishers. Actualizar estos dispositivos ahorrará a los usuarios de tecnología muchos quebraderos de cabeza en materia de seguridad.
• Evite abrir mensajes sospechosos. Tenga en cuenta todos los fallos mencionados propios de los ataques de phishing. Compruebe detenidamente el contenido de los correos electrónicos antes de hacer clic en enlaces, abrir archivos adjuntos o rellenar los formularios que los acompañan. Si se ve obligado a confirmar la integridad de cualquier afirmación contenida en un correo electrónico, visite directamente el sitio web de la empresa, en lugar de pasar por un enlace suministrado.

Conclusión

A medida que la presencia en línea de varias organizaciones y usuarios individuales crece, es probable que el phishing aumente en escala e impacto. Sin embargo, con precauciones proactivas, como las sugeridas en este artículo, los usuarios de Internet deberían tener éxito en superar a los phishers.