Base de datos Cyber Security Phishing Sitos web

¿Qué es el phishing? Todo lo que debe saber para protegerse de los estafadores

El phishing se produce cuando los piratas informáticos se hacen pasar por una figura de confianza empleando correos electrónicos cuidadosamente elaborados para engañarle y conseguir que visite un sitio web malicioso, descargue un archivo corrupto o entregue su contraseña para obtener acceso a una red empresarial o a su información personal.

Una de las formas más comunes de phishing es utilizar el arte de la narración para atraer a los usuarios a interactuar con un enlace o archivo adjunto. Esto puede incluir tácticas como:

  • Incluir una factura falsa
  • Pedirle que confirme información personal
  • Afirmar que hay un problema con su cuenta o con la información de pago.
  • Notificarle una actividad sospechosa o intentos de inicio de sesión.
  • Pedirle que haga clic en un enlace para enviar un pago.

¿Cómo detectar un ataque?

La mejor manera de evitar una estafa de phishing es conocer los distintos tipos de ataques de phishing que puede sufrir un usuario. Los piratas informáticos suelen tener más éxito en la suplantación de identidad de empleados porque éstos pasan la mayor parte del día haciendo clic en enlaces y descargando archivos para trabajar. He aquí algunos ejemplos de información engañosa que los estafadores utilizan para atraer a los usuarios a interactuar con sus correos electrónicos:

  • Notificaciones de envío o entregas falsas
  • Confirmaciones de compra y facturas falsas
  • Solicitudes de información personal
  • Promesas de atractivas recompensas
  • Estafas con tarjetas de regalo
  • Uso de lenguaje urgente o amenazador
  • Correos electrónicos inesperados

Estas son sólo algunas de las formas en que un estafador intentará engañarle para que haga clic en un enlace o abra un archivo adjunto peligroso. Siempre hay que prestar atención a algunos detalles claves cuando se trata de determinar si un correo electrónico es seguro o no. Fíjese en factores como:

Una dirección de remitente extraña o que no coincide: Recibes un mensaje que parece proceder de una cuenta oficial de la empresa. El mensaje le advierte de que se ha producido una actividad extraña en su cuenta y le insta a hacer clic en el enlace proporcionado para verificar sus datos de acceso y las acciones que se han llevado a cabo. 

El mensaje parece legítimo, con buena ortografía y gramática, el formato correcto y el logotipo de la empresa, la dirección e incluso la dirección de correo electrónico de contacto en el cuerpo del mensaje. Pero, ¿qué pasa con la dirección del remitente?

En muchos casos, el atacante no puede falsificar una dirección real y sólo espera que los lectores no lo comprueben. A menudo, la dirección del remitente sólo aparece como una cadena de caracteres en lugar de como enviada por una fuente oficial, por lo que, verifique la dirección del remitente para asegurarte de que el mensaje procede legítimamente de quien dice ser.

¿Quién es el destinatario?: Los piratas informáticos pueden apuntar a destinatarios de su organización que podrían tener acceso a datos privados de la empresa. Si usted es una persona que gestiona información confidencial como finanzas, datos de clientes o propiedad intelectual, tenga en cuenta que es un objetivo prioritario para los atacantes.

Mala ortografía y gramática: Muchos de los operadores de phishing menos profesionales siguen cometiendo errores básicos en sus mensajes, sobre todo de ortografía y gramática. 

Es poco probable que los mensajes oficiales de cualquier organización importante contengan errores ortográficos o gramaticales, y menos aún que se repitan a lo largo de todo el mensaje. Un mensaje mal escrito debería ser una advertencia inmediata de que la comunicación podría no ser legítima.

URL sospechosos: Es muy común que los mensajes de phishing por correo electrónico obliguen a la víctima a hacer clic en un enlace a un sitio web malicioso o falso. Muchos ataques de phishing contienen lo que parece una URL oficial. Sin embargo, merece la pena echar un segundo vistazo.

En algunos casos, puede tratarse simplemente de una URL acortada, con la que los atacantes esperan que la víctima no compruebe el enlace y haga clic. En otros casos, los atacantes tomarán una variación menor de una dirección web legítima y esperan que el usuario no se dé cuenta.

En última instancia, si sospecha de una URL en un correo electrónico, pase el ratón por encima para examinar la dirección de la página de destino y, si parece falsa, no haga clic en ella. Y compruebe que se trata de la URL correcta y no de una muy parecida pero ligeramente diferente a la que se esperaría normalmente.

El mensaje parece demasiado extraño o demasiado bueno para ser verdad:¡Felicidades! Acaba de ganar la lotería/boletos de avión gratuitos/un vale para gastar en nuestra tienda. Ahora sólo tiene que facilitarnos toda su información personal, incluidos sus datos bancarios, para reclamar el premio. Como ocurre con muchas cosas en la vida, si parece demasiado bueno para ser verdad, probablemente sea falso.

En muchos casos, los correos electrónicos de phishing con el objetivo de distribuir malware se envían en un mensaje en blanco que contiene un archivo adjunto.  Nunca haga clic en archivos adjuntos misteriosos y no solicitados es una buena regla para vivir en línea.

¿Cómo protegerse de los ataques de phishing?

Aunque nos encantaría pensar que nuestro proveedor de correo electrónico es perfecto y filtra automáticamente cualquier mensaje sospechoso o no deseado, no siempre es así. Los estafadores son cada vez más astutos a la hora de burlar los filtros de spam, lo que les permite llegar con más facilidad a la bandeja de entrada. Siempre es una buena idea contar con algunas capas adicionales de protección para evitar los ataques de phishing.

  • Piense dos veces antes de hacer clic en cualquier enlace.
  • Asegúrese de que el software de seguridad de su ordenador está actualizado.
  • No compartas información personal o financiera a través de enlaces que encuentres en correos electrónicos.
  • Proteja sus cuentas utilizando la autenticación multifactor.
  • Sea precavido y evite hacer clic en cuadros de diálogo emergentes.

Aunque el phishing puede ser un área difícil de abordar en ocasiones, si se siguen los sencillos consejos y sugerencias descritos en este artículo (y se adoptan las herramientas de prevención del phishing adecuadas), se puede minimizar en gran medida el riesgo de ser víctima de los piratas informáticos.

Si está buscando asesoría para protección de sus proyectos, en PulpoLine podemos ayudarlo a obtener una serie de beneficios. Contáctanos para obtener más información sobre phishing o sobre otros de los servicios de PulpoLine.

es_ESES