El phishing es un ciberdelito en el que uno o varios objetivos son contactados por correo electrónico, teléfono o mensaje de texto por una persona que se hace pasar por una institución legítima para engañar a las personas y hacer que proporcionen datos sensibles, como información de identificación personal, datos bancarios y de tarjetas de crédito, y contraseñas.
La información se utiliza entonces para acceder a cuentas importantes y puede dar lugar a robos de identidad y pérdidas financieras.
La primera demanda por phishing se presentó en 2004 contra un adolescente californiano que creó la imitación del sitio web “America Online”. Con este sitio web falso, pudo obtener información sensible de los usuarios y acceder a los datos de las tarjetas de crédito para retirar dinero de sus cuentas. Además del phishing de correo electrónico y de sitios web, también existe el “vishing” (phishing de voz), el “smishing” (phishing de SMS) y otras varias técnicas de phishing que los ciberdelincuentes inventan constantemente.
Características comunes de los correos electrónicos de phishing
Demasiado bueno para ser verdad – Las ofertas lucrativas y las afirmaciones llamativas o que llaman la atención están diseñadas para atraer la atención de la gente inmediatamente. Por ejemplo, muchos afirman que usted ha ganado un iPhone, una lotería o algún otro premio fastuoso. No haga clic en ningún correo electrónico sospechoso. Recuerde que si parece demasiado bueno para ser verdad, probablemente lo sea.
Sentido de la urgencia – Una de las tácticas favoritas de los ciberdelincuentes es pedirte que actúes rápido porque las súper ofertas son sólo por tiempo limitado. Algunos de ellos incluso le dirán que sólo tiene unos minutos para responder. Cuando te encuentres con este tipo de correos electrónicos, lo mejor es que los ignores. A veces, te dirán que tu cuenta será suspendida a menos que actualices tus datos personales inmediatamente. La mayoría de las organizaciones fiables dan mucho tiempo antes de cancelar una cuenta y nunca piden a los usuarios que actualicen sus datos personales a través de Internet. En caso de duda, visite la fuente directamente en lugar de hacer clic en un enlace de un correo electrónico.
Hipervínculos – Un enlace puede no ser todo lo que parece. Al pasar el ratón por encima de un enlace se muestra la URL real a la que se dirigirá al hacer clic en él. Podría ser completamente diferente o podría ser un sitio web popular con un error ortográfico, por ejemplo www.bankofarnerica.com – la ‘m’ es en realidad una ‘r’ y una ‘n’, así que fíjate bien.
Archivos adjuntos: si ves un archivo adjunto en un correo electrónico que no esperabas o que no tiene sentido, no lo abras. A menudo contienen cargas útiles como ransomware u otros virus. El único tipo de archivo en el que siempre es seguro hacer clic es un archivo .txt.
Remitente inusual – Tanto si parece que viene de alguien que no conoces como de alguien que sí conoces, si algo parece fuera de lo normal, inesperado, fuera de lo normal o simplemente sospechoso en general, ¡no hagas clic en él!
Aquí hay un gran recurso de KnowBe4 que describe 22 señales de alerta de ingeniería social que se ven comúnmente en los correos electrónicos de phishing. Le recomendamos que imprima este PDF para pasarlo a su familia, amigos y compañeros de trabajo.
Haga clic para ver más grande
Evite los ataques de phishing:
Aunque los piratas informáticos están constantemente ideando nuevas técnicas, hay algunas cosas que puede hacer para protegerse a sí mismo y a su organización:
Para protegerse de los correos basura, se pueden utilizar filtros de spam. Generalmente, los filtros evalúan el origen del mensaje, el software utilizado para enviarlo y la apariencia del mensaje para determinar si es spam. Ocasionalmente, los filtros de spam pueden incluso bloquear mensajes de fuentes legítimas, por lo que no siempre son 100% precisos.
Hay que cambiar la configuración del navegador para evitar que se abran sitios web fraudulentos. Los navegadores guardan una lista de sitios web falsos y, cuando se intenta acceder a ellos, se bloquea la dirección o se muestra un mensaje de alerta. La configuración del navegador debe permitir que sólo se abran sitios web fiables.
Muchos sitios web requieren que los usuarios introduzcan información de acceso mientras se muestra la imagen del usuario. Este tipo de sistema puede estar abierto a ataques de seguridad. Una forma de garantizar la seguridad es cambiar las contraseñas con regularidad y no utilizar nunca la misma contraseña para varias cuentas. También es una buena idea que los sitios web utilicen un sistema CAPTCHA para mayor seguridad.
Los bancos y las organizaciones financieras utilizan sistemas de vigilancia para evitar el phishing. Los particulares pueden denunciar el phishing a los grupos del sector, donde se pueden emprender acciones legales contra estos sitios web fraudulentos. Las organizaciones deben proporcionar formación sobre seguridad a los empleados para que reconozcan los riesgos.
Es necesario cambiar los hábitos de navegación para evitar el phishing. Si se requiere una verificación, siempre hay que ponerse en contacto con la empresa personalmente antes de introducir cualquier dato en línea.
Si hay un enlace en un correo electrónico, pase primero por encima de la URL. Los sitios web seguros con un certificado válido de capa de conexión segura (SSL) comienzan con “https”. Con el tiempo se exigirá que todos los sitios tengan un SSL válido.
Por lo general, los correos electrónicos enviados por un ciberdelincuente se enmascaran para que parezcan enviados por una empresa cuyos servicios utiliza el destinatario. Un banco no le pedirá información personal por correo electrónico ni suspenderá su cuenta si no actualiza sus datos personales en un plazo determinado. La mayoría de los bancos e instituciones financieras también suelen proporcionar un número de cuenta u otros datos personales dentro del correo electrónico, lo que garantiza que proviene de una fuente fiable.