Cuidado con el phishing. No muerdas en el anzuelo

Cuidado con el phishing.

«No muerdas en el anzuelo»

Hoy exploraremos cómo movernos como pez en el agua, en libertad y sin ser pescados, ya que abordaremos el tema del phishing.

El phishing se ha convertido en una de las tácticas de estafa más empleadas por los ciberdelincuentes para que sus ataques tengan éxito.

El phishing es muy peligroso, ya que muchos antivirus no detectan estos ataques, ya que somos nosotros quienes hacemos clic y caemos en la trampa.

¿Quieres conocer qué es el phishing y cómo evitar caer en sus engaños? Continúa leyendo, que te lo cuento.

¿Qué es el Phishing?

La palabra «phishing» proviene del inglés «fishing», que significa pescar. Sin embargo, en el contexto de internet, definimos el phishing como una técnica de estafa que, mediante la suplantación de identidad para ganar confianza, intenta persuadirnos a realizar acciones que permitan el robo de datos personales, como contraseñas o información bancaria.

Estos datos pueden ser entregados por nosotros mismos, pensando que los compartimos con una entidad de confianza que ha sido suplantada, o pueden ser sustraídos después de infectar nuestro dispositivo con malware.

Tipos de Phishing

Las técnicas de phishing son variadas y cada vez más sofisticadas. Dependiendo de la precisión del ataque, podemos distinguir entre:

  • Phishing Genérico: En este tipo, la víctima puede ser cualquier persona que reciba el mensaje de engaño. Su eficacia radica en enviar el mensaje a muchas víctimas en internet, esperando que alguien pique en el anzuelo. Utiliza medios como el correo electrónico o mensajes SMS, con remitentes falsos de organizaciones conocidas, como bancos, la agencia tributaria o compañías eléctricas, con el objetivo de engañarnos para que hagamos clic en un enlace o abramos un archivo adjunto.
  • Phishing Dirigido: También conocidos como «Spread Phishing», o pesca con arpón ya que son ataques más sofisticados, dirigidos a una organización o incluso a una persona específica. Aquí se incluyen los ataques al CEO, conocidos como «Whaling» o pesca de ballenas, donde los ciberdelincuentes realizan una investigación previa para preparar un anzuelo personalizado y atraer al pez gordo. Estos ataques son peligrosos, ya que es más fácil caer en la trampa.

El phishing se realiza comúnmente a través de correos electrónicos, pero los ciberdelincuentes utilizan cada vez más otros medios para contactar a la víctima, como el Vishing, que comienza con una llamada telefónica, o el SMShishing, que utiliza mensajes de texto para propagar el engaño.

¿Cómo funciona el Phishing?

Para tener éxito, el ciberdelincuente utiliza diversas técnicas, como la ingeniería social, medidas técnicas como el malware, la clonación de sitios web e incluso ataques de «smoophing» de DNS. En términos generales, un ataque de phishing sigue el siguiente proceso:

PUNTO 1. El cebo: Se realiza un primer contacto, haciéndose pasar por una compañía o entidad conocida. El mensaje puede utilizar técnicas de ingeniería social para atacar las emociones de la víctima, generando alarma, miedo o urgencia para que actúe sin pensar. El objetivo es llevar a la víctima a realizar una acción, como hacer clic en un enlace o abrir un archivo adjunto.

PUNTO 2. El anzuelo: Si se trata de un enlace, este suele llevar a una página falsa idéntica a la de la entidad suplantada. Aquí, pueden solicitar que introduzcamos datos en un formulario, como autenticarnos en nuestro supuesto banco o red social. Una vez ingresamos los datos, son robados, y posiblemente, seamos redirigidos a la página real para no levantar sospechas. También pueden descargar malware en nuestro dispositivo, espiarnos y robar información en el futuro o cifrar nuestros datos y pedir un rescate.

Cómo detectar el Phishing

Si eres un pez observador, sabrás que aunque el cebo sea muy apetecible, muchas veces está mal colocado, y si te fijas, puedes notar el anzuelo que se esconde.

Esto es lo que aprenderemos en esta sección práctica: estar atentos a esos pequeños detalles con consejos sencillos para detectar los ataques de phishing. Empecemos:

  1. Sentido común:
    • Si no estás esperando un paquete, ¿tiene sentido recibir un mensaje SMS para recogerlo?
    • Si no has participado en ningún concurso, ¿tiene sentido ganar un iPhone y tener que proporcionar tus datos para recogerlo?
    • Si tu compañía es Endesa, no tiene sentido recibir un mensaje de Iberdrola.
    • Si no esperas un mensaje de alguien que no conoces, simplemente no lo abras.
    En internet, como mencionaba Yolanda Corral en el episodio 12 del podcast, «la desconfianza es un valor». A menudo pecamos de confiados y hacemos clic sin pensar.
  2. Revisar el remitente:
    • Al recibir un correo, revisa el remitente, que a veces puede tener el nombre cambiado o un dominio sospechoso.
    • Los malos utilizan dominios con letras cambiadas (l por 1, o por cero) para confundir rápidamente.
    • Pueden utilizar otros alfabetos con letras similares, como el cirílico, para confundir aún más.
  3. Cuidado con los enlaces:
    • Si el mensaje te anima a hacer clic en un enlace, activa la señal de alarma.
    • Pasa el cursor sobre el enlace sin hacer clic para ver a qué dominio apunta y comprueba si coincide con el de la entidad real.
    • Es recomendable no hacer clic en el enlace y visitar directamente la web para evitar sorpresas.
    • Fíjate si la web utiliza HTTPS y si el certificado identifica realmente a la organización.
  4. Analizar el mensaje:
    • Revisa si el mensaje es personalizado o genérico.
    • No confíes solo en imágenes o logotipos, ya que son fáciles de replicar.
    • Presta atención a las faltas de ortografía o el uso de palabras extrañas, comunes en phishing menos sofisticados.
  5. Precaución con los adjuntos:
    • Como regla general, no abras un adjunto que no esperes, ya que puede contener malware.
    • Incluso archivos .doc o .pdf pueden estar infectados en la actualidad.
    • Si recibes un adjunto de alguien conocido pero inesperado, verifica su autenticidad llamándolo directamente.

Recomendaciones finales

Además de estar atentos a los detalles mencionados, algunas recomendaciones finales para protegerte del phishing son:

  • Mantén tu sistema operativo y aplicaciones actualizados.
  • Utiliza un programa antivirus o antimalware confiable.
  • Considera habilitar la autenticación de dos factores siempre que sea posible.
  • Realiza copias de seguridad periódicas para asegurar tus datos.

Al adoptar estas prácticas y permanecer alerta, podrás nadar en aguas digitales con mayor seguridad y evitar caer en las artimañas del phishing. Recuerda, un pez avisado vale por dos. ¡Navega con precaución!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *