Phishing: ¡que no te pesquen!

 en la sección Seguridad, Tips

¿Qué es el phishing?

Cuando hablamos de phishing nos referimos una técnica de ciberdelincuencia basada en la suplantación de una persona o institución de confianza. Con esta técnica, solicitan contraseñas, números de tarjeta y otros datos confidenciales del usuario.

Las principales características del phishing son tres:

  1. El ataque se realiza por comunicaciones electrónicas
  2. El atacante suplanta la identidad de una persona u organización de confianza.
  3. El objetivo es obtener la información confidencial de la víctima para usarla sin su permiso.

Tipos de phishing

Encontramos dos formas de establecer la tipología del phishing:

Según el canal de comunicación:

  • Correo electrónico. Esta es la modalidad más empleada. Los mensajes suelen contener enlaces que llevan a sitios web maliciosos o archivos infectados de malware.
  • Por sitio web. Se trata de copias falsas de sitios web reconocidos y en los cuales la víctima confía. En ellas se insta al sujeto a que introduzca sus credenciales para que los ciberdelincuentes tengan acceso a sus cuentas.
  • Vishing. Cuando el engaño tiene lugar mediante una llamada telefónica.
  • Smishing. Se utiliza la vía SMS para hacer llegar un mensaje vinculado a un enlace o incitando a la descarga de una app.
  • Redes sociales. Ya sea suplantando la identidad de una persona conocida y forzando a enviar enlaces maliciosos a sus amigos o con la creación de perfiles falsos.

Según la estrategia:

  • De engaño. Es la modalidad más básica, en la cual los hackers se hacen pasar por una empresa o persona legítima para ganarse la confianza de la víctima.
  • Personalizado. En este caso, el ataque está dirigido a una persona o personas concretas. Este tipo tiene varias modalidades: Whaling cuando el target lo componen personas más relevantes y Fraude de CEO cuando el objetivo de la estafa es el CEO u otro cargo directivo de una empresa.
  • Pharming. Se utilizan trucos informáticos en lugar de las comunicaciones que hemos comentado.
  • Por Dropbox y Google Docs. Los ciberatacantes falsifican pantallas de inicio para conseguir las credenciales de las víctimas y acceder de esta forma a sus datos.
  • Clonación. Los hackers clonan un correo legítimo y cambian los enlaces para poder realizar la estafa.
  • Scripting entre sitios. Los hackers utilizan las debilidades en los scripts de un sitio web para emplearlo según sus intereses.

Cómo identifico un posible caso de phishing

A pesar de su diversa naturaleza, hay elementos que son comunes en la mayoría de los ataques de phising. Siendo conscientes de los mismos podemos llegar a evitar el ataque.

El primer punto en el que debernos fijarnos es en el destinatario. Normalmente, los correos electrónicos que se usan como cebo para el phishing, no están personalizados con el nombre del destinatario. Utilizan una oferta difícil de rechazar. Por tanto, hay que evitar caer en la trampa y ser conscientes de que parece demasiado buena para ser real. 

Otra característica que comparten las comunicaciones de ciberataques por phishing es que insta a actuar de inmediato, reduciendo la capacidad de reacción de la víctima. Los links enlazados en la comunicación también son objeto de estudio si queremos evitar la estafa. Estos suelen estar acortados o contienen errores casi idénticos a los links legítimos. Además, si el mensaje contiene errores ortográficos o está escrito de forma incorrecta, seguramente estemos ante un intento de phishing.

Otro detalle al que debemos estar muy atentos es al de los archivos adjuntos en los mensajes. Este detalle unido a un destinatario desconocido aumenta el riesgo de ser víctima del ciberataque.

Si el mensaje solicita información personal o confirmación de las credenciales de inicio de sesión o si no utilizas la empresa o servicio que te ha contactado, lo más probable es que se trate de un caso de phishing.

Precauciones para protegerse

  • Lo primero que debes hacer es informarte sobre el tema. Desde Iwan 21 te ayudamos a que estés al tanto de las últimas novedades en seguridad informática.
  • Ten prudencia ante los correos electrónicos que puedan parecer sospechosos y confirma que son fiables antes de realizar cualquier acción.
  • Otro de los aspectos que también debes tener en cuenta es verificar los certificados de seguridad de los enlaces contenidos en los correos. Como precaución, cambia tus contraseñas y examina tus cuentas bancarias con regularidad. De esta forma, podrás prevenir los ciberataques de phishing.
  • Por último, es recomendable tener el sistema operativo actualizado, utilizar un programa antivirus para tu ordenador o smartphone y un bloqueador de anuncios.

¿Qué hago si detecto un intento de phishing?

  • Si has identificado un posible phishing, evita facilitar la información o realizar la acción que solicitan.
  • Denuncia el mensaje mediante tu proveedor de correo electrónico.
  • Borra el mensaje, así evitarás volver a abrirlo.
  • Alerta a tus contactos para evitar que ellos también caigan en el posible fraude.
  • Informa a la empresa suplantada para que estén al tanto de la situación y realicen las acciones necesarias.

Denunciar el fraude

En caso de haber sido víctima de un fraude por phishing, recopila toda la información posible: correos, capturas de pantalla, documentación enviada, etc. y presenta una denuncia ante las fuerzas y cuerpos de seguridad del Estado.

En caso de phishing bancario, debes contactar con tu oficina bancaria e informarles de lo sucedido. Además, procura cambiar tu contraseña para evitar situaciones futuras similares.

Artículos recomendados