¿Qué es un ataque de phishing y cómo detectarlo?

2

¿Qué es el phishing?

Un ataque de phishing es una forma de estafa cibernética, cuyo objetivo es obtener a través de internet información confidencial de los usuarios, especialmente para acceder a sus cuentas, obtener credenciales y datos bancarios o distribución de malware. Debido a que se ha vuelto tan común en los últimos años, hoy te vamos a dar consejos de cómo detectarlo y evitarlo.

El término “Phishing” (pesca en español) es un anglicismo, que se escucha con mucha frecuencia en los últimos años. Algunas expresiones que pueden ser sinónimos de esta palabra son: fraude cibernético, ciberestafa, suplantación de identidad.

El número de ataques de phishing se ha triplicado desde principios de 2020

European Union Agency for Cybersecurity (ENISA)

Tipos de fraudes por phishing

Phishing vía correo electrónico

A través de correo electrónico suplantan la identidad de empresas, organizaciones o altos directivos para que la víctima realice alguna acción ingresando a algún enlace fraudulento.

Spear Phishing

Es muy similar al phishing por correo electrónico, la diferencia es que en este caso, el email es personalizado, lo envían únicamente al destinatario y no a una lista de personas.

Phishing basado en malware

También es mediante un correo electrónico que, a diferencia del Phishing vía correo electrónico, en este caso al abrir el correo electrónico se activa el malware que hay en su interior. El correo electrónico en sí es el malware. 

Vishing

Actúa mediante llamadas telefónicas.

Smishing

Ataca mediante mensajes SMS. 

QRishing

Ataca por medio de códigos QR modificados de forma maliciosa. De esta manera, cuando lees este código con tu móvil, automáticamente es infectado por el malware.

Imagen representativa de lo que es esta forma de estafa cibernética llamada phishing

El ejemplo más común de phishing

Tal y como si fuese pesca, en el phishing hay varias maneras de atrapar a la presa. Una de las más comunes es a través de un correo electrónico o un mSMS, donde suplantan la identidad de otra empresa. Por ejemplo, imitan ser una compañía u organización, como un banco.

En estos casos el mensaje está redactado de manera que genere miedo o urgencia a la persona, dónde le indican que debe hacer clic a un enlace de un sitio web para tomar acciones y solucionar pronto el problema. 

En otros casos indican que ha ganado un premio y que debe brindar algunos datos para reclamarlo.

Si la víctima pica el anzuelo e ingresa al enlace, éste le llevará a una página falsa, la cuál le pedirá registrarse e ingresar datos personales. Esto será suficiente para que tengan acceso a cuentas bancarias, correos electrónicos o información personal que luego venden en el mercado negro.

Ningún sistema operativo está completamente a salvo del phishing, de ahí la importancia de saber detectarlo a tiempo. Es importante tener muy presente que estos delincuentes se aprovechan de la mente humana, al inventar situaciones que requieren una acción urgente.

El 32,5% de los correos electrónicos de phishing incluyen la palabra PAGO en el asunto.

European Union Agency for Cybersecurity (ENISA)

¿Cómo detectar el phishing?

  • Sospecha desde el inicio si el correo tiene un sentido de urgencia, con frases como: pago rechazado, actúa ahora, se cerrará tu cuenta, has sido elegido ganador.
  • Presta especial atención a cualquier remitente desconocido o extraño.
  • Una alerta es la mala gramática y un lenguaje poco profesional.
  • En la mayoría de los casos el mensaje contiene enlaces a los que te piden acceder.
  • Revisa si en el mismo correo electrónico aparecen en copia personas que no conoces.
  • Comprueba el saludo, porque casi nunca utilizan tu nombre y apellido. El mensaje suele ir dirigido a un destinatario genérico.
  • En algunos casos el mensaje contiene archivos adjuntos.
Ejemplo de forma de estafa de phishing vía correo electrónico. Se muestra resaltado en color amarillo las señales de alerta.
Ejemplo 1. Phishing vía correo electrónico.

¿Cómo evitar un ataque de phishing?

  • Ante un enlace sospechoso siempre es mejor escribir directamente la URL en lugar de hacer clic en el enlace incorporado. Navega manualmente hasta el sitio web escribiendo la dirección legítima en tu navegador.
  • Recuerda que los ciberdelincuentes te presionarán para que actúes con urgencia, así que mantén la calma.
  • Ante cualquier duda consulta con expertos en ciberseguridad.
  • Asegúrate de la validez del sitio web antes de responder preguntas sobre información personal o antes de ingresar datos bancarios. Por ejemplo, puedes llamar por teléfono al banco o empresa a la que se refiere el mensaje, y así corroborar la información.
  • Nunca respondas los correos sospechosos, lo recomendable es denunciarlos y bloquearlos.
  • Nunca descargues un archivo adjunto si tienes la más mínima sospecha.
  • No confíes en la URL que ves. En su lugar, pasa el cursor por encima del enlace para ver la URL real. Presta mucha atención a pequeños errores ortográficos, porque eso indica una falsificación.
Ejemplo de forma de estafa de phishing tipo smishing, mediante SMS. Se muestra en color rojo las señales de alerta.
Ejemplo 2. Phishing tipo Smishing por SMS.

Otros consejos para prevenir ciberataques

  • Sigue tu intuición, si tienes dudas, es mejor prevenir que lamentar.
  • Descarga únicamente aplicaciones oficiales.
  • Cambia tus contraseñas con frecuencia.
  • Nunca confíes en las ofertas promocionales que parezcan «demasiado buenas para ser verdad».
  • Puedes encontrar infografías útiles en la página de ENISA (Agencia de la Unión Europea para la Ciberseguridad)
  • Y recuerda, si ves enlaces sospechosos nunca haga clic en ellos.

Autora: Adriana Arias Chaves

Images by Canvas

Artículos relacionados