CÓMO RECONOCER PHISHING Y MÉTODOS DE ATAQUE

El phishing es uno de los tipos de ciberataques más frecuentes en la actualidad. Este término, también llamado suplantación de identidad, es una estrategia de ingeniería social empleada para obtener datos confidenciales. Los ciberdelincuentes utilizan diversos métodos fraudulentos para adquirir y robar información, como contraseñas, nombres de usuario, números de tarjetas de crédito e información bancaria de las víctimas. 

La palabra "phishing" proviene del inglés y combina "fishing" (pescar) con "ph", una sustitución que suelen hacer los hackers por la letra "f". Esto simboliza cómo el atacante “lanza un anzuelo” para captar a una víctima y robar su información. 

A quien lleva a cabo el phishing se le llama "phisher". Estos ataques consisten en mensajes engañosos que imitan ser de fuentes confiables o sitios web legítimos. Los atacantes suelen hacerse pasar por empresas o individuos conocidos, contactando a la víctima mediante comunicaciones electrónicas que parecen oficiales. Estos intentos también pueden realizarse a través de correos electrónicos, sistemas de mensajería instantáneas, redes sociales, malwares, etc. 

Métodos de ataque  

Los correos de phishing suelen simular ser comunicaciones legítimas provenientes de entidades oficiales. Las estrategias empleadas en estos ataques buscan replicar de forma convincente la apariencia de dichas organizaciones, aunque en realidad se trata de falsificaciones. 

Es habitual que los actores maliciosos envíen mensajes en los que, de manera formal y persuasiva, soliciten que el usuario actualice, verifique o confirme datos de su cuenta, bajo el pretexto de algún error o la necesidad de realizar actualizaciones. Al interactuar con el enlace proporcionado, el usuario es redirigido a un sitio web clonado, diseñado para simular el original, donde se le solicita información sensible, lo que facilita el robo de identidad y la extracción de datos confidenciales. 

Para mitigar el riesgo de fraudes de este tipo, es esencial adoptar una actitud crítica ante correos que soliciten datos privados de manera urgente o que presenten solicitudes no esperadas. 

Excusas más utilizadas para estafar a las víctimas 

• Cambios en la normativa del banco, servicio, páginas web… 

• Cierre incorrecto de la sesión del usuario 

• Mejoras de seguridad 

• Bloqueos de tus cuentas por motivos de seguridad 

• Actualizaciones 

Tipos de Phishing 

• Phishing tradicional: Vinculado a la copia de un sitio conocido por la víctima, en la cual, se cambia la dirección a donde llegan los datos que te hacen ingresar. El ciberdelincuente roba información confidencial. Está ligado a un solo sitio web en el cual se alojan todos los contenidos del portal falso. 

• Phishing redirector: Se realiza en campañas masivas. Utiliza dos o más sitios o dominios para realizar la estafa. 

• Smishing (SMS): Este tipo de phishing está vinculado con el uso de otro canal digital como lo son los teléfonos móviles. Se realiza el fraude a través de SMS o WhatsApp. 

• Vishing: Se realiza el fraude por medio de llamadas telefónicas. Supuestas y encubiertas operadoras de telefonías móviles o agentes bancarios o vendedores llaman para que realices encuestas donde se te pide información de tus datos bancarios. 

• Spear phishing: Es una ciber amenaza dirigida a personas o grupos reducidos, como empresas u organizaciones. Acostumbran a ser campañas personificadas y con un porcentaje mayor de víctimas. En este caso, la comunicación que reciben las víctimas llega personalizada. Por lo tanto, los delincuentes obtienen información antes de enviar la comunicación. 

• Whaling: Phishing dirigido a individuos específicos y planeados, normalmente altos ejecutivos o personas con perfiles públicos relevantes. 

Consejos para evitar y prevenir el Phishing 

• No abrir o responder correos sospechosos 

• Verificar la fuente de información de los correos que nos llegan. Los bancos nunca te pedirán que les envíes tus claves o datos personales por correo. 

• Nunca entres en la web de tu banco pulsando en links incluidos en correos electrónicos 

• Evita el SPAM 

• No respondas a solicitudes de información que lleguen por e-mail 

• No proporciones información confidencial a nadie por teléfono, en persona o a través del correo electrónico 

• Compruebe la URL del sitio (dirección web) 

• Usa antivirus 

• Mantén actualizado tu navegador y aplica los parches de seguridad 

• No compartas información personal o confidencial 

• No hagas click en ligas o softwares desconocidos 

• Introduce tus datos confidenciales únicamente en webs seguras 

• Los mensajes de correo electrónico de Phishing no suelen estar personalizados, mientras que los mensajes de las entidades de las que somos clientes sí suelen estarlo. 

• Revisa periódicamente tus cuentas 

• Evitar rellenar formularios en correos que te soliciten información financiera personal 

 

Elaborado por:

HLB Consultores Morán Cedillo