¿Qué es el phishing? Cómo funciona este ciberataque y cómo prevenirlo.

Actualizado 8 junio, 2020


El phishing es un delito cibernético en el que un objetivo o objetivos son contactados por correo electrónico, teléfono o mensaje de texto por alguien que se hace pasar por una institución legítima para atraer a las personas a que proporcionen datos confidenciales, como información de identificación personal, datos bancarios y de tarjetas de crédito, y contraseñas.

La información captada se utiliza para acceder a cuentas importantes y puede resultar en robo de identidad y pérdida financiera.

Lo que realmente distingue al phishing es la forma que toma el mensaje: los atacantes se hacen pasar por una fuente confiable, a menudo una persona real o plausiblemente real, o una compañía con la que la víctima podría hacer negocios. Es uno de los tipos más antiguos de ataques cibernéticos, que data de la década de 1990, y sigue siendo uno de los más generalizados y perniciosos, con mensajes y técnicas de phishing cada vez más sofisticados.

Caracteristicas del phishing

  1. Demasiado bueno para ser verdad - Las ofertas lucrativas y las declaraciones llamativas o que llaman la atención están diseñadas para atraer la atención de la gente inmediatamente. Por ejemplo, muchos afirman que usted ha ganado un iPhone, una lotería o algún otro premio de lujo. No haga clic en ningún correo electrónico sospechoso. Recuerde que si parece demasiado bueno para ser verdad, ¡probablemente sea phishing!.
  2. De carácter urgente - Una de las tácticas favoritas de los ciberdelincuentes es pedirle que actúe con rapidez, ya que los súper negocios son sólo por un tiempo limitado. Algunos de ellos incluso le dirán que sólo tiene unos minutos para responder. Cuando te encuentras con este tipo de correos electrónicos, es mejor ignorarlos. A veces, le dirán que su cuenta será suspendida a menos que actualice sus datos personales inmediatamente. La mayoría de las organizaciones fiables dan tiempo suficiente antes de cancelar una cuenta y nunca piden a los usuarios que actualicen sus datos personales a través de Internet. En caso de duda, visite la fuente directamente en lugar de hacer clic en un enlace de un correo electrónico.
  3. Hipervínculos - Un vínculo puede no ser todo lo que parece ser. Al pasar el ratón por encima de un enlace, se muestra la URL real a la que se le dirigirá al hacer clic en él. Podría ser completamente diferente o podría ser un sitio web popular con un error ortográfico, por ejemplo www.bancorner.com - la "m" es en realidad una "r" y una "n", así que mire cuidadosamente.
  4. Adjuntos - Si ves un archivo adjunto en un correo electrónico que no esperaba o que no tiene sentido, ¡no lo abras! A menudo contienen cargas útiles como ransomware u otros virus. El único tipo de archivo en el que siempre es seguro hacer clic es en un archivo.txt.
  5. Remitente Inusual - Si parece que es de alguien que no conoces o alguien que conoces, si algo parece fuera de lo común, inesperado, fuera de carácter o simplemente sospechoso en general, ¡no hagas clic en él!

He aquí un gran recurso que describe las señales de alerta que se ven comúnmente en los correos electrónicos de phishing. Recomendamos imprimir este PDF para distribuirlo a familiares, amigos y compañeros de trabajo.

que es el phishing

Tipos de phishing

Si hay un denominador común entre los ataques de phishing, es el disfraz. Los atacantes falsifican su dirección de correo electrónico para que parezca que viene de otra persona, configuran sitios web falsos que se parecen a aquellos en los que confía la víctima y utilizan conjuntos de caracteres extranjeros para disfrazar las URL.

Dicho esto, hay una variedad de técnicas que caen bajo el manto del phishing. Hay un par de formas diferentes de dividir los ataques en categorías. Uno es por el propósito del intento de phishing. Generalmente, una campaña de phishing intenta hacer que la víctima haga una de dos cosas:

  • Entregue información sensible. El objetivo de estos mensajes es engañar al usuario para que revele datos importantes, a menudo un nombre de usuario y una contraseña que el atacante puede usar para violar un sistema o cuenta. La versión clásica de esta estafa consiste en enviar un correo electrónico adaptado para que parezca un mensaje de un banco importante; Al enviar el mensaje por correo electrónico a millones de personas, los atacantes se aseguran de que al menos algunos de los destinatarios sean clientes de ese banco. La víctima hace clic en un enlace en el mensaje y es llevada a un sitio malicioso diseñado para parecerse a la página web del banco, y luego, con suerte, ingresa su nombre de usuario y contraseña. El atacante ahora puede acceder a la cuenta de la víctima.
  • Descargar malware. Como una gran cantidad de correo no deseado, este tipo de correos electrónicos de phishing tienen como objetivo hacer que la víctima infecte su propia computadora con malware. A menudo, los mensajes son "dirigidos a un público objetivo": pueden enviarse a un miembro del personal de recursos humanos con un archivo adjunto que pretende ser el currículum de un solicitante de empleo, por ejemplo. Estos archivos adjuntos suelen ser archivos .zip o documentos de Microsoft Office con código incrustado malintencionado. La forma más común de código malicioso es ransomware. El año pasado el 93% de los correos electrónicos de suplantación de identidad contenían archivos adjuntos de ransomware.

También hay varias formas diferentes de enfocar los correos electrónicos de phishing. Como notamos, a veces no están dirigidas a nada; se envían correos electrónicos a millones de víctimas potenciales para tratar de engañarlos para que inicien sesión en versiones falsas de sitios web muy populares. Vade Secure ha comparado las marcas más populares que los piratas informáticos utilizan en sus intentos de phishing. En otras ocasiones, los atacantes pueden enviar correos electrónicos con "objetivos específicos" a alguien que desempeña un papel particular en una organización, incluso si no saben nada sobre ellos personalmente.

que es el phishing informatico

Algunos ataques de phishing tienen como objetivo obtener información de inicio de sesión o infectar las computadoras de personas específicas. Los atacantes dedican más tiempo para engañar a las víctimas, que han sido seleccionadas porque las recompensas son bastante altas.

Cómo prevenir el phishing

Se pueden encontrar ejemplos de phishing en un sitio web mantenido por el departamento de servicios de tecnología de la Universidad de Lehigh, donde mantienen una galería de correos electrónicos de phishing recientes recibidos por los estudiantes y el personal.

También hay una serie de pasos que puede tomar y la mentalidad que debe seguir para evitar que se convierta en una estadística de phishing, que incluye:

  • Revise la ortografía de las URL en los enlaces de correo electrónico antes de hacer clic o ingresar información confidencial.
  • Tenga cuidado con las redirecciones de URL, donde se envía de forma sutil a un sitio web diferente con un diseño idéntico.
  • Si recibe un correo electrónico de una fuente que conoce pero parece sospechoso, póngase en contacto con esa fuente con un nuevo correo electrónico, en lugar de simplemente responder.
  • No publique datos personales, como su cumpleaños, planes de vacaciones, dirección o número de teléfono, públicamente en las redes sociales.
  • Si hay un enlace en un correo electrónico, pase el ratón por encima de la URL primero. Los sitios web seguros con un certificado SSL (Secure Socket Layer) válido comienzan con "https".