Introducción
¿Alguna vez has recibido un correo electrónico cuya dirección es sospechosa, mal redactado, que utiliza caracteres extraños o que directamente te contactan de un servicio o empresa con la que no tienes relación?
Si un banco te ha contactado para decirte que te han bloqueado tu tarjeta, o una empresa te comunica que has ganado un premio y nunca habías oído hablar de ella, es posible que hayas recibido un Phishing.
¿Qué es el phishing y cómo reconocer un mensaje fraudulento?
El phishing es uno de los ataques más populares de la ingeniería social, porque es la forma más sencilla de realizar un ciberataque al receptor y, a la par, es la más peligrosa y efectiva de todos los ciberataques, se presenta como un correo electrónico con apariencia de proceder de fuentes de confianzas (como bancos, compañías telefónicas, etc.), pero en realidad tiene la intención de manipular al receptor para poder robar información confidencial.
Los hackers buscan nuestro nombre de usuario y contraseña de los servicios que solemos utilizar y, además, nuestra información personal y financiera con la finalidad de saquear nuestra cuenta bancaria, hacerse pasar por nosotros para cometer delitos, etc.
¿Cómo reconocer un mensaje Phishing?
- Es realmente sospechoso que las empresas pidan datos personales por correo electrónico.
- Es bastante común ver errores ortográficos e incoherencias en los textos.
- Fijarse muy bien la dirección del remitente.
- Tener mucho cuidado con archivos adjuntos o vínculos.
- Diseño del correo poco profesional.
- Tener mucho cuidado con los enlaces.
¿Cuáles son los tipos de estafas por Phishing?
Ya hemos hablado de que es phishing. Ahora, te contamos cuáles son los diferentes tipos de estafas por Phishing que hay, algunos engaños van por vía teléfono, redes sociales o mensajes de texto. A continuación, te voy a hablar de los tipos más comunes:
Phishing ‘Spray and Pray’: Es el más antiguo que existe hoy en día. Los hackers utilizan este método para enviar un conjunto de emails con el asunto de ‘urgente’. En un principio, te pueden pedir la actualización de alguna contraseña o un mensaje de que tú has ganado algún sorteo. Estos correos electrónicos contienen enlaces a páginas de registro falsas. La víctima escribe sus datos y estos se almacenan en un servidor al que los atacantes tienen acceso.
Vishing: Hace referencia a ‘voice phishing’. Es la versión sonora del Phishing. El hacker habla por teléfono a las víctimas para que le digan sus datos personales y así poder realizar un robo de identidad.
Smishing: Es un método de phishing que utilizan los teléfonos móviles como la plataforma de ataque. Por lo general, utilizan un servicio de mensajería ( WhatsApp, Telegram, etc.) o SMS. Esta forma de ataque se hecho muy popular porque las personas suelen confiar más en un mensaje que llega a través de una aplicación de mensajería en su teléfono que un mensaje de correo electrónico.
Phishing por redes sociales: Los atacantes pueden colarse en cuentas de redes sociales y obligan a enviar correos electrónicos maliciosos o mensajes fraudulento a otros usuarios para infectar malware. Algunos utilizan perfiles falsos y con esos perfiles engañan a las víctimas.
Fraude al CEO: Es el más sofisticado, es poco común ya que puede ser exigente para el hacker. Consiste en engañar a empleados haciéndose pasar por el CEO de la compañía. Te pedirá tus datos personales y que envíes correos a otros empleados.
Ejemplos de ataques Phishing
Ninguna empresa está a salvo de un phishing, sin importar la reputación que tenga la compañía. A continuación, verás los ataques más sonados de los últimos años.
1. Mundial de 2018:
Antes del Mundial FIFA de 2018, Se inundaron de estafas Phishing. Atraían a las víctimas con entradas gratis, ofertas de hoteles. Un grupo de hackers atacaron en las bases de datos de hoteles asociados a Booking.com y lanzaron smishing (Phishing por SMS) por medio de WhatsApp y SMS.
2. Anthem:
En 2014, un grupo de atacantes atacaron a Anthem, una aseguradora médica de EEUU y permitió robar hasta 80 millones de historiales médicos.
3. Operación ‘Phish Phry’:
Se inicio en 2007, en aquella época se convirtió en la investigación de ciberdelincuencia más grande del FBI. Cundo la investigación se finalizó, los hackers consiguieron robar 1,5 millones de dólares a sus víctimas.
4. Venta de datos de usuarios de Facebook:
Facebook se vio afectada una brecha de seguridad en el momento que se pusieron a la venta los datos de 533 millones de usuarios de la red social. En España esta filtración afectó a 11 millones de cuentas.
¿Cómo protegerse de un ataque de Phishing?
Es muy importante saber como protegerse de un ataque de Phishing para mantenerse a salvo de cualquier amenaza. Aquí leerás algunos consejos:
- Instalar un software anti-phishing.
- No dar información personal.
- No abrir correos electrónicos de direcciones de emails desconocidos.
- Comprobar quién nos envía un correo, si tenemos dudas sobre su veracidad.
- No clicar en enlaces o descargar archivos adjuntos desconocidos.
- Cambiar la contraseña con regularidad.
- Verificar los certificados de seguridad.
- Actualizar antivirus y programas de protección con regularidad.
- Utilizar un bloqueador de anuncios.
Y, por último, el más importante:
10. ¡Formar a todo el equipo para que sepan reconocer un ataque phishing al instante!
Estamos en una era donde es más fácil que nunca ser engañados a un simple golpe de clic. Por ello, es importante ser cautelosos al utilizar internet y todas sus aplicaciones, pero, sobre todo, estar informados y contar con un mínimo de conocimiento es clave para hacer frente al engaño cibernético.
