¿Qué es el phishing?

A ver, imagínate que estás tranquilamente navegando por internet y de repente te llega un mensaje de alguien que se hace pasar por tu banco o por esa tienda online que tanto te gusta. Te dicen que hay un problemilla con tu cuenta o que te ganaste un premio increíble, y para solucionarlo o reclamarlo, ¡zas!, te piden tus claves secretas o los números de tu tarjeta. Pues eso, ¡eso es el phishing! Te intentan engañar con mensajes súper convincentes y a veces con imágenes que parecen reales, ¡pero ojo! Hay que revisarlas bien. ¡No te dejes llevar por la emoción o el miedo! Si tienes dudas, mejor pregunta a la fuente oficial o visita páginas de confianza.

 

 Consecuencias para las víctimas

Pues la cosa se pone fea. Te pueden hacer compras sin permiso, vaciarte la cuenta del banco o incluso robarte tu identidad. ¡Un verdadero dolor de cabeza! Por eso es importante entender cómo funciona todo esto. Si te interesa saber más, busca "qué es el phishing" en nuestro sitio.

Phishing como puerta de entrada a ataques mayores

A veces, estos engaños son solo la primera parte de un ataque más grande. Los hackers se meten en las redes de empresas o instituciones haciéndose pasar por empleados para instalar virus o robar información secreta. ¡Es como si les abrieras la puerta de tu casa sin darte cuenta!

 

Ejemplos de ataques con phishing

• Imagínate que le llega un correo a un montón de profes de la universidad (myuniversity.edu) diciendo que su contraseña va a caducar y que tienen que cambiarla rapidísimo en una página (myuniversity.edu/renewal). Pero, ¡sorpresa!, al hacer clic, los pueden llevar a una página falsa que se parece muchísimo a la real (myuniversity.edurenewal.com) y ahí les roban la contraseña. O incluso, aunque los lleven a la página buena, ¡les pueden robar la "galleta" de la sesión sin que se enteren! Para que otros se enteren de esto, podríamos usar un título llamativo como "¡Cuidado con el phishing!". "Protégete online" y una descripción que diga: "Descubre cómo te intentan engañar por internet y aprende a reconocer los fraudes para que no te roben tus datos. ¡Mantente a salvo! Si tuviéramos un video cortito, podríamos mostrar un ejemplo de correo sospechoso.

• Técnicas de phishing

• Estafas de phishing por correo electrónico

• Los que hacen phishing mandan muchísimos correos falsos a la vez, ¡a ver quién pica! Y para que parezcan de verdad, usan los mismos logos, colores y hasta las mismas frases que las empresas reales. ¡Son unos artistas del engaño!

  También te meten prisa, diciéndote que si no haces clic rápido o no das tus datos ya, vas a perder tu cuenta o tu súper premio. ¡No te dejes presionar! Y fíjate muy bien en los enlaces que te mandan; a veces cambian una letra o añaden algo para que no te des cuenta.

  Tácticas para hacer que los mensajes parezcan legítimos

• Los que hacen phishing se curran mucho los mensajes para que parezcan de verdad. Usan los mismos logos, los mismos colores, las mismas letras y hasta las mismas frases que las empresas de verdad. ¡Son unos copiones!

• Además, te meten prisa para que no pienses mucho. Te dicen que tienes que hacer clic ya o que vas a perder algo importante. ¡No te dejes presionar! Y mira súper bien los enlaces que te envían. A veces cambian un poquito la dirección para que no te des cuenta del engaño. Por ejemplo, en vez de myuniversity.edu/renewal, ponen myuniversity.edurenewal.com. ¡Parece igual, pero no lo es!

• Luego está el "spear phishing", que es cuando van directamente a por ti o a por tu empresa. Investigan todo sobre ti para mandarte un mensaje súper creíble y que te confíes al máximo. ¡Son unos espías!

  Estrategias de manipulación y engaño en los enlaces

  Además, los atacantes generalmente intentarán empujar a los usuarios a la acción creando un sentido de urgencia. Por ejemplo, como se mostró anteriormente, un correo electrónico podría amenazar con el vencimiento de la cuenta y colocar al destinatario en un temporizador. Aplicar tal presión hace que el usuario sea menos diligente y más propenso a cometer errores.

  Por último, los enlaces dentro de los mensajes se parecen a sus contrapartes legítimas, pero generalmente tienen un nombre de dominio mal escrito o subdominios adicionales. En el ejemplo anterior, la URL myuniversity.edu/renewal se cambió a myuniversity.edurenewal.com. Las similitudes entre las dos direcciones dan la impresión de un enlace seguro, lo que hace que el destinatario sea menos consciente de que se está produciendo un ataque.

Suplantación de identidad

Spear phishing se dirige a una persona o empresa específica, a diferencia de usuarios de aplicaciones aleatorios. Es una versión más profunda del phishing que requiere un conocimiento especial sobre una organización, incluida su estructura de poder.

Investigación previa y personalización del ataque

Un hacker se pone a investigar a la gente que trabaja en una empresa, sobre todo a los del departamento de marketing. ¡Incluso se consiguen las facturas de los últimos proyectos!

Ejecución del ataque y robo de credenciales

Haciéndose pasar por el director de marketing, el atacante envía un correo electrónico a un gerente departamental de proyectos (PM) usando una línea de asunto que dice "Factura actualizada para las campañas del tercer trimestre". El texto, el estilo y el logotipo incluido duplican la plantilla de correo electrónico estándar de la organización.

Un enlace en el correo electrónico redirige a un documento interno protegido por contraseña, que en realidad es una versión falsificada de una factura robada.

Se solicita al PM que inicie sesión para ver el documento. El atacante roba sus credenciales y obtiene acceso completo a áreas confidenciales dentro de la red de la organización.

Cómo prevenir el phishing.

Pues la cosa se pone fea. Te pueden hacer compras sin permiso, vaciarte la cuenta del banco o incluso robarte tu identidad. ¡Un verdadero dolor de cabeza! Por eso es importante entender cómo funciona todo esto. Si te interesa saber más, busca "qué es el phishing" en nuestro sitio y también puedes encontrar info útil con palabras como "fraude online", "seguridad en internet" o "engaños por internet".

Lo más importante es estar súper atento a todo lo que te llega. Si ves algo raro en un mensaje, como faltas de ortografía o una dirección web sospechosa, ¡enciende las alarmas! Y párate un segundo a pensar por qué te están mandando ese correo.

Las empresas también tienen que poner de su parte para protegernos. Una buena idea es usar la "autenticación de dos factores", que es como tener una doble cerradura en tus cuentas. Así, si alguien consigue tu contraseña, no podrá entrar sin el código que te llega al móvil.

También es fundamental que las empresas nos enseñen a todos a tener contraseñas seguras y a no hacer clic en enlaces raros. ¡Cuanto más sepamos, más seguros estaremos!

¡Así que ya sabes! No te confíes de todo lo que ves en internet y aprende a protegerte para que no te roben tus datos.

Vigilancia y buenas prácticas por parte de los usuarios

Para los usuarios, la vigilancia es clave. Un mensaje falsificado a menudo contiene errores sutiles que exponen su verdadera identidad. Estos pueden incluir errores ortográficos o cambios en los nombres de dominio, como se vio en el ejemplo de URL anterior. Los usuarios también deben detenerse y pensar por qué están recibiendo ese correo electrónico.

Medidas técnicas de protección para las empresas

Para las empresas, se pueden tomar una serie de pasos para mitigar los ataques de phishing y de phishing selectivo:

La autenticación de dos factores (2FA) es el método más efectivo para contrarrestar los ataques de phishing, ya que agrega una capa de verificación adicional al iniciar sesión en aplicaciones confidenciales. 2FA se basa en que los usuarios tengan dos cosas: algo que saben, como una contraseña y un nombre de usuario, y algo que tienen, como sus teléfonos inteligentes. Incluso cuando los empleados están comprometidos, 2FA evita el uso de sus credenciales comprometidas, ya que estas por sí solas son insuficientes para ingresar.

 

Políticas y formación como complemento a la seguridad

Además de usar 2FA, las organizaciones deben aplicar políticas estrictas de administración de contraseñas. Por ejemplo, se debe exigir a los empleados que cambien con frecuencia sus contraseñas y que no se les permita reutilizar una contraseña para múltiples aplicaciones.

Las campañas educativas también pueden ayudar a disminuir la amenaza de ataques de phishing mediante la aplicación de prácticas seguras, como no hacer clic en enlaces de correo electrónico externos.

¡No te dejes engañar! Aprende ahora cómo estar seguro online.

Fuente: ¿Qué es el phishing?

Contactos

Metro Manuel Becerra

Calle Doctor Esquerdo 12, local 6

28028 Madrid

Fijo: 910 174 686

Móvil: 661531890

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Metro Cuatro Caminos Calle Hernani 13, local 97 (dentro del Mercado Maravillas)

28020 Madrid

Fijo: 910237098

Móvil: 620679252

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.