¿Qué es el phishing y cómo lo evito?

Guía de pishing en 2022

¿Sabía que cada minuto se lanza un nuevo sitio web de phishing?? Pero los atacantes de phishing no solo usan sitios web para engañar a sus víctimas. Se utilizan todo tipo de métodos, incluidos SMS, correo electrónico, redes sociales y más. Nadie está a salvo. Incluso los funcionarios de alto rango pueden ser víctimas. En el siguiente artículo, aprenderá qué es el phishing, cómo puede dañarlo y cómo puede protegerse a sí mismo y a sus seres queridos desde su alcance.

¿Qué es el phishing?

El phishing es un tipo de fraude en el que el atacante se hace pasar por una organización o persona de buena reputación.

El objetivo es engañar a la víctima para que comparta información confidencial como contraseñas e información de tarjetas de crédito o para convencer al objetivo con falsas pretensiones de enviar dinero o instalar software que contenga malware. El phishing afecta a cientos de miles de personas y empresas en todo el mundo y es una de las formas más comunes de cibercrimen.

Similar al deporte de la pesca, los ciberdelincuentes atraen a sus víctimas a una trampa . Este tipo de ataque se lleva a cabo principalmente por correo electrónico , pero también se sabe que los ciberdelincuentes utilizan mensajes de texto SMS, mensajes instantáneos y llamadas de voz para atraer a sus víctimas. De hecho, ningún sistema operativo está realmente a salvo de phishing: los usuarios de Windows, Mac, Android o iPhone pueden convertirse en víctimas de este tipo de fraude.

Aunque el phishing es una forma tecnológicamente simple de ciberataque, sigue siendo altamente efectivo y peligroso; es mucho más fácil engañar a alguien que penetrar las defensas de una computadora. Los atacantes envían millones de correos electrónicos fraudulentos todos los días, con la esperanza de que alguien finalmente muerda el anzuelo.

Fuente: Informe de tendencias de la actividad de phishing de APWG

Un ejemplo típico de phishing es cuando un usuario recibe un correo electrónico fraudulento que contiene un enlace corrupto de lo que parece un correo electrónico confiable de una empresa familiar. El atacante proporciona al usuario una explicación razonable para hacer clic en el enlace (el cebo). Una vez que el destino ha hecho clic en el enlace, el malware se descarga (y a veces se instala) en el dispositivo del usuario. A menudo, ese malware es en realidad spyware que está diseñado para robar los datos de un usuario.

Según el Informe de delitos en Internet 2020 del FBI, el Centro de quejas de delitos en Internet (IC3) recibió 791,790 quejas de civiles y empresas estadounidenses en 2020, un aumento del 69% con respecto a 2019. Además, IC3 registró más de $ 4.1 mil millones en pérdidas en 2020. Eso es un gran salto de los $ 3.4 mil millones registrados en 2019. De todos los incidentes reportados, phishing y estafas similares fueron los más comunes.

Fuente: Informe de delitos en Internet 2020 del FBI

…phishing afecta a cientos de miles de personas y empresas en todo el mundo cada año.

Recuerda, el atacante quiere que lo hagas:

  • divulgar información personal
  • descarga de malware
  • enviar dinero a una cuenta

Afortunadamente, puede evitar ataques de phishing una vez que conozca las señales de advertencia.

Cómo reconocer el phishing

La mayoría de los ataques de phishing siguen el mismo patrón, lo que los hace más fáciles de detectar para aquellos que permanecen vigilantes. Así es como puede reconocer las estafas de phishing:

  • Imita una marca conocida. Los atacantes a menudo envían correos electrónicos fraudulentos que se hacen pasar por marcas famosas, como Apple, Amazon o servicios bancarios de buena reputación, para convencer a sus víctimas de que los correos electrónicos son genuinos. ¿Sabía que, según Check Point, Apple era la marca más imitada utilizada para intentos de ataques de phishing a principios de 2020?? En el segundo trimestre, sin embargo, los correos electrónicos de phishing de Google y Amazon fueron más frecuentes.Los atacantes de phishing replican los logotipos y las características de marca de las compañías reales para que sus correos electrónicos sean más difíciles de detectar. Los atacantes también usan una técnica llamada «spoofing» para atraer objetivos desprevenidos. El spoofing se logra copiando el nombre de pantalla, la dirección de correo electrónico y el nombre de dominio de un remitente real. Aunque los piratas informáticos pueden imitar la dirección de correo electrónico de una empresa, nunca pueden usar una dirección oficial.
  • El remitente no es familiar. Si el remitente es alguien que no reconoce, debe sospechar. Considere eliminar el correo electrónico o, si desea leerlo, simplemente no haga clic en ningún enlace o archivo adjunto.
  • El remitente es familiar, pero el mensaje parece sospechoso. Otras veces, puede reconocer al remitente, pero no es alguien con quien suele hablar. Si este es el caso, entonces el correo electrónico de esa persona o la cuenta de mensajería instantánea pueden haberse violado, y un atacante lo está usando para enviarle mensajes con malware.
  • Usan un saludo genérico. La mayoría de los correos electrónicos fraudulentos no se dirigirán específicamente a usted. A menudo, se envían a miles de personas, en cuyo caso, el atacante probablemente no sabe su nombre. En cambio, estos correos electrónicos contendrán frases como «Estimado señor o señora» o «Estimado cliente».
  • Está lleno de errores gramaticales. Los correos electrónicos de phishing a menudo contienen errores gramaticales y ortográficos obvios. El formateo, el diseño y la colocación de imágenes también pueden parecer torpes.
  • Hay una sensación de urgencia. Los especialistas en marketing a menudo usan algunas tácticas para atraer a su público objetivo a tomar la acción deseada rápidamente. Los Cybercrooks también usan estas tácticas, pero de manera maliciosa. Por ejemplo, pueden afirmar que su cuenta se suspenderá si no cambia sus credenciales bancarias de inmediato (usando un enlace proporcionado en un correo electrónico). Otras veces, un mensaje puede alentarlo a enviar dinero a un pariente que está experimentando un problema.
  • La oferta es demasiado buena para ser verdad. A veces, los phishers afirman que ha ganado algo muy atractivo, como una nueva computadora portátil o un viaje exótico: estas son estafas clásicas. No se deje engañar por ellos, incluso si se ven irresistibles.
  • Los enlaces o archivos adjuntos son sospechosos. Casi todos los mensajes de phishing contienen un enlace malicioso, un archivo adjunto o ambos. Algunos de estos enlaces pueden parecer genuinos a primera vista, pero después de una inspección más cercana, parecerán sospechosos. Simplemente desplace el cursor sobre un enlace para inspeccionarlo, pero haga lo que haga, nunca haga clic en él! Tenga cuidado con los errores ortográficos sutiles (como «Anerica» en lugar de «América»). Además, no descargue ningún archivo adjunto si no está seguro de que estén seguros.

Los atacantes a menudo envían correos electrónicos fraudulentos que se hacen pasar por marcas famosas, como Apple.

Tipos de ataques de phishing

Las estafas de phishing han evolucionado y crecido en número a lo largo de los años. Los métodos presentados a continuación son tan eficientes que han durado décadas.

Estafas de correo electrónico a granel

La mayoría de los correos electrónicos de phishing se envían a millones de usuarios en todo el mundo. Aunque generalmente no se dirigen a una persona específica, a veces las víctimas se seleccionan en función de los servicios que utilizan. Ejemplo: grupos de personas que usan el mismo banco, redes sociales u otras cuentas.

Tenga en cuenta que los mensajes contenidos en los correos electrónicos de phishing varían. Por ejemplo, un correo electrónico puede pedirle que:

  • Haga clic en un enlace para actualizar su pago a un sitio web
  • Descargue un programa que promete acelerar su computadora
  • Envía dinero a un amigo que ha sufrido un accidente

La mayoría de los correos electrónicos de phishing se envían a millones de usuarios en todo el mundo.

Clone phishing

El phishing en clon podría ser la estafa más difícil de detectar. Eso se debe a que los atacantes envían versiones casi idénticas de un correo electrónico con el que la víctima está familiarizada. Por ejemplo, un correo electrónico que le notifica sobre el pago de su próxima factura de Netflix.

Fuente: FTC.gov

Los estafadores usan el mismo cuerpo (encabezado, fuentes, colores, diseño, lenguaje, etc.), pero cambie el enlace a uno malicioso. La dirección de correo electrónico exacta del remitente tampoco será la misma. Solo el remitente oficial puede usar la dirección real.

Spear phishing

Esta forma de phishing es lo opuesto al phishing a escala masiva en que la lanza-phishing apunta a una persona u organización específica.

A menudo, el mensaje se escribe explícitamente para la víctima objetivo. Por lo tanto, los atacantes primero investigan a sus víctimas para descubrir nombres, títulos de trabajo, colegas y otros detalles privados.

Un ejemplo de phishing de lanza es cuando un atacante se hace pasar por el jefe de una empresa o como alguien que maneja la nómina. El phisher puede ordenar a un empleado que envíe dinero a un proveedor utilizando un enlace fraudulento. Utilizando urgencia e información específica, el estafador engaña al empleado para que entregue su dinero.

Ballenas

Similar al phishing de lanza, la caza de ballenas también se dirige a un individuo o negocio específico. La diferencia es que la caza de ballenas se centra en grandes objetivos, como CEO, personas adineradas, celebridades o políticos.

Dado que las víctimas consisten en objetivos de alto valor, los datos que divulgan son muy sensibles. Los atacantes pasan innumerables horas investigando sus objetivos y creando correos electrónicos elaborados para engañar a sus víctimas con éxito.

Aunque los objetivos de la caza de ballenas son personas importantes, muchos de ellos son víctimas de estos ataques.

Por ejemplo, John Podesta, presidente de campaña de Hillary Clinton, fue engañado para proporcionar su contraseña de Gmail a los estafadores, lo que llevó al escándalo del correo electrónico de Clinton en 2016.

Otro ejemplo famoso de caza de ballenas fue el ataque «afectuoso» (la fuga de fotos de desnudos de celebridades en 2014), donde se engañó a varias celebridades para que compartieran sus cuentas de iCloud.

..La caza de ballenas se centra en grandes objetivos, como CEO, personas adineradas, celebridades o políticos.

SMiShing

El phishing es corto para phishing SMS. Como puede imaginar, es lo mismo que el phishing de correo electrónico, pero se hace a través de mensajes de texto SMS.

Estos textos también pueden contener enlaces maliciosos que instalan malware cuando se hace clic o lo convencen de proporcionar información confidencial.

Vishing

La pesca significa phishing de voz. Tal como su nombre lo indica, en lugar de enviar correos electrónicos fraudulentos o mensajes de texto, el phisher llama a la víctima , alegando representar a un banco u otra autoridad. A partir de aquí, la visera utiliza tácticas de miedo para convencer a la víctima de que si no se intercambian datos personales o dinero, corren el riesgo de enfrentar un castigo sustancial.

Qué hacer si eres víctima de un ataque de phishing

Si ha sido víctima de un ataque de phishing (o se ha acercado a ser uno), los pasos a continuación lo ayudarán a mitigar los daños.

Escanee su dispositivo

Si ha descargado algo de un correo electrónico sospechoso a su dispositivo, podría estar infectado con malware . Si su software antivirus no le ha advertido sobre nada, escanee a fondo su dispositivo. Si actualmente no posee un programa antivirus confiable, asegúrese de comprar uno con todas las funciones, como Bitdefender o McAfee.

Informar el ataque

El siguiente paso es informar el ataque a su proveedor de correo electrónico, entidad suplantada (como un banco) y la comisión antifraude de su país (la Comisión Federal de Comercio si vive en los Estados Unidos) . Informar una estafa ayuda a prevenir futuros ataques.

Congele su crédito

Si ha regalado información bancaria y de tarjeta de crédito, alerta a su banco lo antes posible. Dígales que ha sido víctima de una estafa de phishing y que desea congelar su cuenta para evitar pagos no autorizados. Luego, verifique su informe de crédito para cualquier actividad desconocida a su nombre.

Cambia tus contraseñas

Si sospecha que se ha instalado malware en su dispositivo, luego asegúrese de tomar la siguiente precaución: cambie las contraseñas de todas sus cuentas; crear nuevo, contraseñas complejas que contienen símbolos, números, y letras; y finalmente, no te olvides de hacerlo habilitar la autenticación multifactor para una capa adicional de seguridad.

..Cree contraseñas nuevas y complejas que contengan símbolos, números y letras.

Cómo mantenerse a salvo del phishing

Siga estos pasos para evitar que los estafadores se acerquen a su información personal, incluidas sus cuentas bancarias.

Ignorar correos electrónicos sospechosos

La mejor manera de evitar convertirse en víctima de una estafa de phishing es ignorar los correos electrónicos de aspecto sospechoso. Abrir un correo electrónico de phishing es seguro, pero asegúrese de no descargar un archivo adjunto o haga clic en ningún enlace; así es como termina infectándose con malware. Una vez que haya aprendido a reconocer una estafa (siguiendo las señales de advertencia anteriores), está un gran paso más cerca de mantener sus cuentas y dispositivos seguros.

No haga clic en enlaces sospechosos

Si abre un correo electrónico fraudulento, esté siempre atento a hacer clic en cualquier enlace o descargar archivos adjuntos. Si el correo electrónico contiene una tarea urgente que su banco o alguna otra compañía requiere que haga, no haga clic en los enlaces. A menudo lo llevarán a páginas web que descargarán e instalarán malware en su dispositivo o lo convencerán de que ingrese su información personal.

…siempre esté atento a la apertura de enlaces o la descarga de archivos adjuntos.

Nunca envíe datos financieros por correo electrónico

Los bancos y los sitios de pago en línea nunca le solicitarán los datos de su cuenta personal, los números de tarjeta de crédito o las contraseñas por correo electrónico. Si encuentra dicha solicitud, ignórela y comuníquese directamente con el banco para obtener una aclaración.

Fuente: Malwarebytes

Elija un servicio de correo electrónico de buena reputación

Gmail es el proveedor de correo electrónico más popular a nivel mundial, con una base de usuarios de más de mil millones. Lo recomendamos para uso personal y profesional; aún así, si desea utilizar otro servicio de correo electrónico, opte por uno de buena reputación como Outlook o Yahoo!. Hay muchos proveedores de correo electrónico que pueden no ser tan seguros y confiables como estos servicios.

Además, puede probar un servicio de correo electrónico centrado en la seguridad, como ProtonMail, que está protegido por las leyes de privacidad suizas.

Fuente: Informe de tendencias de la actividad de phishing APWG, segundo trimestre de 2020

Cambie las contraseñas regularmente

Otra forma de proteger sus cuentas es cambiar sus contraseñas regularmente. Algunos servicios bancarios lo obligan a hacer esto de vez en cuando, pero otros no.

Para obtener mejores resultados, haga que cambiar sus contraseñas sea un hábito. Use generadores de contraseñas seguros y asegúrese de usar letras, números y símbolos.

Use una solución antivirus de buena reputación

Casi cualquier solución antivirus respetable viene equipada con una función de protección de correo electrónico. Sin embargo, esta opción a menudo solo se incluye con versiones premium. Consulte nuestra guía de comparación para ayudarlo a encontrar la mejor solución antivirus para todas sus necesidades. Recomendamos encarecidamente una solución antivirus superior como Bitdefender o Kaspersky.

Preguntas frecuentes sobre phishing

¿Cuáles son algunos ejemplos de phishing?

Los ataques de phishing pueden provenir de correos electrónicos, SMS, mensajes instantáneos o llamadas de voz; los mensajes que puede recibir pueden variar.

Los atacantes a menudo se harán pasar por su banco, jefe, colegas o amigo. A veces incluso se hacen pasar por celebridades o marcas conocidas, etc.

Pueden pedirle algo urgente y proporcionarle enlaces o archivos adjuntos maliciosos. Si hace clic en estos enlaces y archivos adjuntos, se puede instalar malware en su dispositivo, o puede encontrarse en una página web donde se le pedirá que proporcione información confidencial.

Un programa antiphishing confiable (Norton es un gran ejemplo) lo ayudará a mantener a raya las estafas de phishing.

¿Por qué se llama phishing?

La palabra «phishing» se acuñó por primera vez en 1996. Es similar a la palabra «pesca» porque, técnicamente, son actividades similares. Los hackers echan el anzuelo a Internet y esperan para atrapar presas desprevenidas (usuarios de Internet). La «ph» se agregó como un guiño a un tipo temprano de piratería conocida como Phreaking Phone.

Estar atento y tener una solución antivirus sólida puede ayudarlo a evitar la red del phisher.

Es phishing un tipo de malware?

No. El phishing no es una forma de malware. El phishing se refiere al método empleado por el atacante para entregar malware. Se refiere a una víctima que está siendo engañada para hacer algo como divulgar información confidencial, hacer clic en enlaces maliciosos o descargar malware.

Si desea detener las infecciones de malware a través del phishing, instale una solución antiphishing de buena reputación.

¿Puede evitar que se envíen correos electrónicos de phishing a su dispositivo?

Sí. Puede detener los correos electrónicos de phishing utilizando un proveedor de correo electrónico de buena reputación o comprando un programa antivirus confiable. Recomendamos encarecidamente a Norton por sus capacidades antiphishing.

¿Qué sucede si hago clic en un correo electrónico de phishing?

Si ha hecho clic en un correo electrónico de phishing, no se preocupe. Simplemente abrir un correo electrónico no descargará ni instalará malware en su dispositivo. Dicho esto, aumenta la probabilidad de hacer clic accidentalmente en un enlace malicioso o descargar un archivo adjunto infectado. Para evitar esto, es mejor evitar abrir correos electrónicos de phishing por completo.

Para filtrar cualquier posible correo electrónico de estafa desde su bandeja de entrada, use un programa antivirus especializado en detener las amenazas de phishing. Estas aplicaciones funcionan para mejorar el filtro de correo electrónico predeterminado de su proveedor de correo electrónico para obtener excelentes resultados antiphishing.