¿Sabes qué es phishing y cómo prevenirlo? 

¿Sabes qué es phishing y como prevenirlo?
Compartir en facebook
Compartir en linkedin
Compartir en twitter
Compartir en facebook
Compartir en linkedin
Compartir en twitter

Un término inglés que cada vez tiene más cabida en nuestro país debido a la proliferación que ha tenido, sobre todo en los últimos años, pero ¿sabes exactamente qué es phishing y cómo prevenirlo?  

En realidad, el phishing se refiere a cualquier tipo de comunicación digital o electrónica diseñada con fines maliciosos. Se trata de un tipo de ingeniería social, es decir, cualquier táctica engañosa diseñada para engañar a una víctima para que tome medidas o entregue información privada a un atacante que la usa con fines fraudulentos. Un denominador común de este tipo de ataque es que utiliza la suplantación de identidad y el engaño para persuadir a una víctima inocente de que proporcione información privada, como credenciales de inicio de sesión, información de cuenta bancaria u otros datos confidenciales.  

El objetivo de estos ciberataques es usar la información para defraudar a la víctima de alguna manera, ya sea para robarle dinero, apoderarse de una o más de sus cuentas, crear nuevas cuentas a su nombre o aumentar los cargos de la tarjeta de crédito. En algunos casos, el objetivo final del atacante es hacerse con el control del dispositivo de la víctima utilizando malware u obtener acceso (a través de la víctima) a otros recursos valiosos, como las redes, los sistemas, los datos o la propiedad intelectual de una empresa. 

  

Los dos mecanismos de entrega más comunes para el phishing son el correo electrónico y los mensajes de texto (también conocidos como smishing, abreviatura de phishing a través de SMS). Los sitios web también pueden contener anuncios maliciosos que, cuando se hace clic en ellos, redirigen al usuario a un sitio web de phishing. Un sitio web administrado por un atacante diseñado específicamente para engañar a los visitantes y pedirles que divulguen información privada o realicen una acción específica (como transferir fondos). Y las redes sociales los sitios proporcionan el lienzo perfecto para los señuelos de phishing en forma de anuncios maliciosos, concursos, ofertas gratuitas e incluso cuestionarios. Todos solicitan a los usuarios que proporcionen información personal (a menudo, respuestas a las mismas preguntas que utilizan los bancos por motivos de seguridad) o que hagan clic en enlaces maliciosos. 

¿Exactamente qué es phishing y cómo funciona?

El término «phishing», según la mayoría de las versiones, es una combinación de «pesca» (como cebar un anzuelo con un correo electrónico fraudulento) y «phreaking», una forma de fraude telefónico. 

En definitiva, tener constancia de qué es el phishing y cómo evitarlo protege en cierta manera sobre estos ciberataques que cada vez son más comunes.  En este artículo profundizamos para que cualquier usuario, sin necesidad de conocimientos informáticos, pueda entender cómo funciona y así pueda detectar y bloquear las estafas de phishing y mantener su información o datos personales a salvo de atacantes. 

 De hecho, identificarlo no es complejo, aunque los ciberdelincuentes adaptan continuamente sus métodos a las tendencias cambiantes (esto fue evidente con la pandemia de COVID-19), el proceso es bastante predecible. Los atacantes eligen sus objetivos, elaboran un señuelo convincente y luego atrapan a las víctimas.  

Paso 1: elegir a las víctimas

Las campañas de phishing vienen en todas las formas y tamaños y varían según el objetivo de la campaña de phishing. Los atacantes cuyo objetivo es recopilar una gran cantidad de credenciales de inicio de sesión suelen lanzar un correo electrónico de phishing a miles de destinatarios de correo electrónico aleatorios.  

Otros atacantes eligen el phishing selectivo, que se dirige a una industria, empresa o cualquier individuo específico dentro de una empresa, que tenga poder o acceso en determinado campo de interés para el ciberdelincuente. Este tipo de ciberataque está más enfocado a una víctima particular de alto valor, como un ejecutivo o miembro de la junta, que tenga acceso a los datos más confidenciales de una organización. 

Paso 2: Crear el señuelo de phishing

El phishing solo funciona si un atacante puede engañar con éxito a una posible víctima para que actúe, por lo que la suplantación de identidad es el denominador común en todos los tipos de phishing. El atacante se hace pasar por un individuo o entidad en la que la víctima probablemente confíe o, al menos, no cuestione. También es usual que se hagan pasar por marcas conocidas como Microsoft o Google o incluso crear una personalidad falsa como un reclutador de empleo. Es esencial que todos los usuarios entiendan que la fuente de cualquier correo electrónico o mensaje de texto se puede falsificar fácilmente, al igual que cualquier dirección web (URL). 

El atacante crea un mensaje de apariencia convincente, a veces copiando o clonando uno legítimo, que incorpora una o más de las siguientes técnicas confiables de ingeniería social: 

  • Usar el miedo, las amenazas o un sentido de urgencia: “Su cuenta expirará en los siguientes días. Para confirmar que sigue activa…” 
  • Ofreciendo ayuda para resolver un problema: “Su cuenta ha sido bloqueada; haga clic aquí para actualizar su información y desbloquear su cuenta.” O “Su sistema ha sido infectado por un virus. Haga clic aquí para descargar nuestra herramienta de reparación…” 
  • Notificarte de un premio o recompensa: “¡Felicidades! ¡Has ganado un viaje con todos los gastos pagados a las Bahamas! Haga clic aquí para obtener tu premio”.  
  • Fingiendo necesitar ayuda: “Este es el HelpDesk de TI; Necesito que verifique su contraseña para que podamos investigar alguna actividad sospechosa en su sistema”. 

Estos son solo algunos ejemplos de las técnicas de ingeniería social más comunes que utilizan los atacantes para crear señuelos.  

Paso 3: Esperar que la víctima muerda el anzuelo

Una vez que el atacante capta la atención de la víctima con un señuelo convincente, todo lo que queda es esperar que la víctima muerda el anzuelo; los dos más comunes son los archivos adjuntos maliciosos y los enlaces incrustados. 

  • Archivos adjuntos maliciosos 

Cuando se abre, un archivo adjunto malicioso generalmente envía malware al sistema de la víctima. Según el tipo de malware, le da al atacante la oportunidad de hacer varias cosas, desde registrar las pulsaciones de teclas de la víctima e informar al atacante, hasta robar datos, apoderarse de todo el sistema. Sin embargo, tenga en cuenta que un archivo adjunto no es la única forma en que los atacantes entregan malware. Cuando se hace clic, las imágenes, los gifs y los videos incrustados en un mensaje también pueden descargar automáticamente el malware utilizado por los phishers. 

  • Enlaces maliciosos 

Tres veces más común que un archivo adjunto es un enlace malicioso incluido en el contenido de un mensaje. Cuando la víctima hace clic en el enlace, lo lleva a un sitio web falso creado y controlado por el atacante. Estos tipos de ganchos son especialmente comunes en mensajes que parecen ser de instituciones financieras, como el banco de la víctima. Cuando la víctima, sin saberlo, visita el sitio falso (los usuarios a menudo no notan la URL falsa), el atacante captura las credenciales de la víctima y luego inicia sesión en el sitio legítimo para robar su dinero o hacer grandes compras. 

¿Quién está en riesgo de ataques de phishing?

El phishing puede afectar a cualquier persona de cualquier edad que use Internet o teléfonos. Y la mala noticia es que, a veces, estas amenazas no se detienen solo con el individuo afectado. Si un pirata informático ingresa a un correo electrónico, lista de contactos o redes sociales, puede enviar spam a las personas que conoce con mensajes de phishing aparentemente de la víctima. 

La confianza y la urgencia son lo que hace que el phishing sea tan engañoso y peligroso. 

Hoy en día, todos, desde los ancianos hasta los niños pequeños, utilizan dispositivos de Internet. Si un ciberdelincuente encuentra tu información de contacto públicamente, puede agregarla a su lista de objetivos de phishing. 

¿Cómo prevenir el Phishing?

El Phishing es solo la punta del iceberg de la cantidad de ataques informáticos que se han incrementado con la pandemia y con el auge del teletrabajo. Y es que el escenario digital es el lugar perfecto para los ciberdelincuentes que, cada vez más, desarrollan nuevas técnicas para captar a sus víctimas.  

Por ello, no es casualidad que la Ciberseguridad sea la profesión del futuro, ya que se estima que los trabajos en ciberseguridad crecerán un 31% aproximadamente hasta 2029. Por ello, en la Universidad de Córdoba, conscientes de esta urgente necesidad, hemos diseñado un Máster en Dirección de la Ciberseguridad para que los profesionales técnicos o directivos, independientemente de su sector o industria, puedan tomar conciencia e implementar  

¿Qué máster te interesa?

Déjanos tus datos y te contactaremos para informarte sobre el Máster que te interesa sin ningún compromiso