Phishing 101: una guía para principiantes sobre ataques de phishing

Tabla de contenido

• 1. ¿Qué es el phishing?

• 2. Cómo funciona el phishing

• 3. Tipos de phishing

• 4. Estafas de phishing: una descripción general

• 5. Cómo prevenir ataques de phishing

• 6. Cómo denunciar el phishing

¿Qué es el phishing?

El phishing se puede describir como un tipo de delito cibernético en el que las víctimas son contactadas por correo electrónico, teléfono o mensaje por un individuo o grupo de personas que se hacen pasar por una institución legítima.

El objetivo es atraer a las víctimas para que proporcionen datos confidenciales como información personal, datos bancarios, datos de tarjetas de crédito y contraseñas. Luego, los datos se utilizan para identificar objetivos importantes y defraudar a estas víctimas.

El phishing ha estado ocurriendo durante años: las primeras estafas de phishing ocurrieron en los años 90 con personas que se hacían pasar por administradores de AOL. Estas personas recopilaron las credenciales de inicio de sesión de sus víctimas para que pudieran acceder a Internet de forma gratuita.

En mayo de 2000, comenzó en Filipinas otra estafa de phishing llamada Love Bug. Recibiría un mensaje en su buzón de correo titulado "ILOVEYOU". Luego, el cuerpo del correo le indicaría que toque un archivo adjunto, lo que liberaría un virus en su sistema. Desde entonces, el phishing ha evolucionado en complejidad y uso a lo largo de los años.

Cómo funciona el phishing

Es lunes por la mañana, está revisando sus correos electrónicos y limpiando su carpeta de correo no deseado. Por curiosidad, abres un correo electrónico y el contenido es impactante. Alguien dice ser un representante de su banco.

Su cuenta pronto se desactivará y se le pedirá que haga clic en un enlace o proporcione información bancaria confidencial para no perder su cuenta bancaria. Así es como ocurre el phishing: como un mensaje aleatorio escrito para que proporcione sus datos.

El phishing en general utiliza la manipulación como herramienta principal. Los mensajes a menudo enviados por mensajes de texto, correos electrónicos o incluso mensajes de redes sociales están escritos con la intención de causar miedo y una sensación de urgencia. Los objetivos se identifican en fuentes públicas de información como las redes sociales.

Una vez que se identifican los nombres de destino, los cargos, los detalles personales y las direcciones de correo electrónico, se elaboran y envían mensajes creíbles. Estos mensajes a menudo incluyen un enlace malicioso, un archivo adjunto o una llamada para responder con información confidencial.

La intención del phishing puede ser instalar malware, redirigir a las víctimas a un sitio web fraudulento, obtener contraseñas y datos bancarios y defraudar a los objetivos. Los phishers a menudo emplean diferentes trucos para defraudar a sus víctimas y tratan de parecer lo más legítimos posible. Pueden usar logotipos de empresas, imitar correos electrónicos oficiales y ocultar URL solo para defraudar a sus víctimas.

Tipos de suplantación de identidad

Existen diferentes tipos de phishing: he compilado una lista de los tipos más comunes de estafas de phishing y cómo ocurren. Los tipos de phishing son:

•Email phishing : Este es el tipo más común de phishing en el que las víctimas reciben correos electrónicos informándoles que sus cuentas personales han sido comprometidas y se requiere una respuesta inmediata. El phishing por correo electrónico tiene como objetivo crear una sensación de urgencia y hacer que la víctima haga clic en un enlace malicioso que conduce a una página de inicio de sesión falsa. La información personal confidencial se entrega directamente a los estafadores.

•Phishing HTTPS : en el phishing HTTPS, los piratas informáticos pueden obtener acceso a conversaciones seguras mediante el uso de certificados SSL vencidos o eliminar el cifrado de sitios web seguros al degradar los sitios HTTPS a HTTP. Luego se crean sitios web falsos similares a los sitios web organizacionales, para vincularlos en los correos electrónicos. Luego, los phishers envían correos electrónicos falsos utilizando las identificaciones de la organización a los empleados, infiltrándose en las organizaciones y robando datos valiosos.

• Spear phishing : Spear phishing se utiliza para dirigirse a personas, grupos y organizaciones específicas. Spear phishing a menudo implica la investigación sobre el objetivo y las fuentes de información disponibles públicamente. El objetivo del phishing selectivo es obtener acceso a una cuenta individual o hacerse pasar por personal de alto rango, así como personal en posesión de información confidencial. Por lo general, se envía un correo electrónico que incluye el nombre del objetivo, el rango y un archivo adjunto para llevar a cabo el phishing selectivo.

• Whaling : Whaling es un tipo de spear phishing que suele estar dirigido a ejecutivos de alto nivel. Los estafadores fingen ser fuentes legítimas y alientan a las víctimas a compartir información confidencial o transferir grandes cantidades de dinero. La caza de ballenas a menudo ocurre como un correo electrónico de una fuente confiable, como un contacto de la empresa, un socio, un proveedor o una cuenta de cliente. El correo electrónico a menudo incluye datos personales o referencias obtenidas de Internet para parecer confiable. El correo electrónico puede incluir enlaces a un sitio web falso que recopila información o instala malware. Alternativamente, el correo electrónico podría incluir solicitudes de datos confidenciales como nómina, declaraciones de impuestos, números de cuentas bancarias o una transferencia de dinero por cable a una cuenta específica. La caza de ballenas se realiza para robar datos o dinero de los ejecutivos de alto nivel.

• Smishing : Smishing, también conocido como phishing por SMS, es una forma de phishing en la que se engaña a las víctimas para que hagan clic en un enlace o proporcionen información privada a través de mensajes de texto. El smishing se realiza con el uso de información básica del objetivo, como el nombre, la edad y la ubicación. Si se incluye un enlace en el mensaje de texto, puede conducir a un sitio web falso o malware diseñado para comprometer el teléfono. El malware puede usarse para husmear en los datos del teléfono de los usuarios o enviar datos confidenciales a un servidor controlado por un atacante. El smishing se presenta de diferentes formas: desde mensajes que indican que tienes problemas hasta mensajes que muestran que has ganado un paquete.

• Vishing : El vishing o phishing de voz es una forma de phishing en la que se manipula a las víctimas para que revelen información personal como datos bancarios y números de tarjetas de crédito a través de llamadas telefónicas y mensajes de voz. En la mayoría de los casos, los estafadores pretenden pertenecer a organizaciones acreditadas como bancos, departamentos de impuestos, policía o el gobierno. El vishing se realiza mediante el uso de amenazas y un lenguaje convincente para hacer creer a las víctimas que deben devolver la llamada de inmediato o correr el riesgo de ser arrestadas y perder sus cuentas bancarias.

•Phishing de pescador: el phishing de pescador es un tipo de phishing en el que los estafadores se hacen pasar por personal de atención al cliente utilizando plataformas y cuentas de redes sociales. El phishing de pescadores generalmente se dirige a clientes descontentos que se quejan del servicio de una organización en las redes sociales. Estos clientes son engañados para que revelen sus datos cuando un personal del cliente falso les envía un mensaje directo. El mensaje solicitará información personal o un enlace a un sitio falso que luego instala malware o recopila datos confidenciales del cliente desprevenido.

• Clon de phishing : el clon de phishing utiliza un correo electrónico legítimo o enviado previamente que contiene enlaces. El clon es similar al correo electrónico legítimo, pero los enlaces incluidos son enlaces de malware. Luego, el correo electrónico clonado se envía como un reenvío del remitente original a las víctimas. Cuando las víctimas hacen clic en el enlace del correo electrónico clonado, el pirata informático puede reenviar el mismo correo electrónico a los contactos en el buzón de la víctima. Es el tipo de phishing más difícil de identificar: el clon phishing tiene numerosas víctimas.

• Phishing del gemelo malvado: el phishing del gemelo malvado implica la configuración de un punto de acceso Wi-Fi que se disfraza como uno legítimo para obtener acceso a información confidencial sin el conocimiento de la víctima. Los estafadores observan los detalles de un punto de acceso Wi-Fi legítimo y crean un punto de acceso idéntico con el mismo nombre. Las víctimas se conectan al punto de acceso Wi-Fi y el gemelo malvado Wi-Fi se convierte en su punto de acceso inalámbrico. Los piratas informáticos pueden interceptar datos confidenciales, como información de inicio de sesión, datos bancarios o información de tarjetas de crédito.

•Phishing en redes sociales: el phishing en redes sociales es una forma de phishing que emplea el uso de plataformas de redes sociales como Facebook, LinkedIn, Twitter, Instagram, etc., para engañar a las víctimas para que revelen datos confidenciales. En algunas ocasiones, estas estafas de phishing ocurren cuando las víctimas reciben mensajes pidiéndoles que paguen por los seguidores. En otras ocasiones, los mensajes pueden incluir enlaces maliciosos a una página de inicio de sesión de redes sociales falsa. Al iniciar sesión, las credenciales de la víctima se guardan para suplantación y acceso a información financiera y personal.

• Pharming : a menudo descrito como una combinación de las palabras phishing y farming, Pharming es un método de estafa en el que se instala un código malicioso en una computadora o servidor con la intención de desviar a los usuarios a sitios web fraudulentos. El pharming se puede hacer enviando códigos en un correo electrónico. Estos códigos modifican los sitios de host locales que convierten las URL en la dirección IP que usa la computadora para acceder a los sitios web. Incluso si los usuarios ingresan la dirección web correcta, son dirigidos a un sitio web falso donde su información confidencial se entrega a los estafadores.

Estafas de phishing: una descripción general

Las estafas de phishing son bastante populares: según el informe Verizon Data Breach de 2021, el phishing está involucrado en el 36 % de las infracciones. Además, este informe reveló que el 95 % de las pérdidas por compromiso de correo electrónico comercial oscilaron entre $250 y $984 855, con una pérdida media establecida en $30 000 para compromisos de correo electrónico comercial. Esto muestra que muchas personas y organizaciones han perdido un porcentaje significativo de sus fondos debido a estafas de phishing.

En 2019, el análisis de Avanan de 55,5 correos electrónicos reveló que uno de cada noventa y nueve correos electrónicos es un correo electrónico de phishing. Es más preocupante que más del 70% de estos correos electrónicos son abiertos por sus destinatarios; entre octubre de 2013 y mayo de 2018, los correos electrónicos comerciales comprometidos costaron a las empresas la friolera de $ 12.5 mil millones.

El phishing, en general, tiene muchos efectos negativos , especialmente en las empresas. Estos efectos incluyen la pérdida de fondos, la pérdida de datos confidenciales, la pérdida de propiedad intelectual, el daño a la reputación de la marca, la pérdida de productividad, la interrupción de las actividades laborales y la instalación de malware. Además de todos estos efectos, los clientes pueden perder la confianza en el negocio y los productos que la organización intenta vender.

Los efectos de un ataque de phishing pueden depender del motivo del estafador: suplantación de identidad, fraude o incluso diversión. Si los phishers instalan malware con éxito, es probable que puedan extorsionar a la organización o al individuo. Si se revelan los datos bancarios o la información de la tarjeta de crédito, las personas pueden perder los ahorros de toda su vida. El phishing no solo genera pérdidas monetarias: puede crear una sensación de inseguridad al usar computadoras, dispositivos móviles y redes sociales.

Cómo prevenir los ataques de phishing

La prevención de los ataques de phishing implica un mecanismo bidireccional: identificar los ataques de phishing y tomar medidas activas para prevenirlos. Saber identificar los ataques de phishing es el primer paso para prevenirlos. El punto clave es tener cuidado: busque signos clave de phishing .

Signos como remitentes de correo electrónico por primera vez, solicitudes urgentes de información personal, saludos genéricos, errores de ortografía en los mensajes, archivos adjuntos no solicitados, enlaces extraños en los mensajes y nombres de dominio extraños son marcadores claros de que algo anda mal.

Debe ignorar cualquier correo electrónico, llamada telefónica o mensaje que solicite su información personal, como detalles de la cuenta bancaria, detalles de la tarjeta y datos de la empresa, si maneja datos confidenciales en su lugar de trabajo.

Prevenir el phishing implica tomar medidas activas para proteger sus datos y evitar que caigan en manos de estafadores. Lo primero que debe hacer es evitar hacer clic en cualquier enlace sospechoso enviado en sus correos electrónicos y mensajes. Luego, debe instalar navegadores antiphishing en sus navegadores web. Además, instale software antivirus en su computadora.

Todos sus navegadores y software deben mantenerse actualizados para evitar filtraciones de datos que expongan sus datos a los phishers. Utilice firewalls protectores en su computadora: un firewall de escritorio y un firewall de red para proteger su sistema de los piratas informáticos. También debe recordar no usar sitios que no sean seguros: como regla general, apéguese a HTTPS, no a sitios HTTP.

Al final del día, incluso después de emplear estas tácticas, nadie está completamente a salvo de los phishers. Sin embargo, puede reducir el riesgo de convertirse en víctima.

Cómo denunciar suplantación de identidad

En algunas ocasiones, después de todos sus intentos de protegerse de ser víctima de phishing, los phishers aún pueden romper sus defensas. No debes culparte a ti mismo; la solución está en denunciar el phishing. Informar sobre el phishing puede ayudar a las fuerzas del orden a atrapar a los ciberdelincuentes, proporcionar una red de seguridad para sus pérdidas y evitar que otros se conviertan en víctimas del phishing.

En los EE. UU., el sitio web de la Comisión Federal de Comercio ha descrito cómo denunciar un correo electrónico de phishing. Debe reenviar el correo electrónico de phishing a [email protected] e informar el delito a la Comisión Federal de Comercio en la sección de quejas. También debe ponerse en contacto con la organización o la persona que fue suplantada y notificar a los clientes y al personal de su organización.

La organización US-CERT se asocia con el Grupo de Trabajo Anti-Phishing (APWG) para recopilar mensajes de correo electrónico de phishing y ubicaciones de sitios web. Puede denunciar el phishing a APWG enviando un correo electrónico a [email protected] .

En el Reino Unido, el Centro Nacional de Seguridad Cibernética (NCSC) tiene derecho a investigar y eliminar correos electrónicos y sitios web fraudulentos. Todo lo que necesita hacer es enviar un correo electrónico o capturas de pantalla a [email protected] . Si recibe un mensaje de texto de phishing en el Reino Unido, reenvíe el mensaje al 7726.

Para organizaciones como Google y Microsoft , puede denunciar mensajes de phishing y correos electrónicos en sus sitios web y aplicaciones. Todo lo que necesita hacer es hacer clic en el mensaje, luego en los botones Más e Informe. Cuando denuncia a estos phishers, sus correos electrónicos se bloquean y otras personas están a salvo de los ataques de phishing.

No obstante, es mejor prevenir el phishing que tener que denunciar un caso de phishing. Por lo tanto, debe mantenerse alerta y enviar ese correo electrónico de aspecto sospechoso al correo no deseado. ¡En este momento!