8 de septiembre de 2022 • Phishing
¿Qué significa exactamente phishing ?
Phishing una forma de fraude digital en la que los ciberdelincuentes se hacen pasar por una autoridad de confianza, como un banco, una agencia gubernamental o una empresa conocida, y le envían un mensaje urgente. A través de un correo electrónico, una llamada telefónica, un mensaje de WhatsApp o un SMS, se le pide que haga clic en un enlace, abra un archivo adjunto o proporcione información confidencial. Antes de que se dé cuenta, el estafador ha obtenido acceso a sus datos bancarios, credenciales de inicio de sesión o documentos personales.
El términophishingderiva de la palabra «fishing» (pescar). Al igual que un pescador lanza el anzuelo con la esperanza de que algo pique, los ciberdelincuentes lanzan mensajes engañosos con la esperanza de que sus víctimas muerdan el anzuelo. Y, por desgracia, funciona: el phishing uno de los métodos de ciberataque más comunes y eficaces en todo el mundo.
Phishing en los Países Bajos
Según cifras de la Oficina Central de Estadística (CBS), nada menos que 2,5 millones de holandeses fueron víctimas de phishing solo phishing 2021. Esta forma de ciberdelincuencia está creciendo rápidamente porque los mensajes fraudulentos son cada vez más difíciles de reconocer. Los correos electrónicos falsos ahora tienen un aspecto muy profesional, ya que a menudo reproducen exactamente el diseño, los logotipos y el tono de las organizaciones legítimas. Incluso las personas con conocimientos digitales tienen dificultades para distinguir entre un mensaje auténtico y uno falso cuidadosamente elaborado.
Para las empresas, el riesgo es aún mayor. Un solo empleado que haga clic en el enlace equivocado puede exponer a toda una organización a violaciones de datos, pérdidas financieras y daños a su reputación.
Tipos comunes de phishing
Phishing no Phishing un ataque único para todos los casos. Los ciberdelincuentes utilizan una variedad de técnicas, cada una diseñada para explotar diferentes canales de comunicación y objetivos.
phishing por correo electrónico es la forma más extendida. Los atacantes envían correos electrónicos masivos que parecen provenir de organizaciones legítimas, instando a los destinatarios a hacer clic en un enlace malicioso o descargar un archivo adjunto infectado. Estos correos electrónicos suelen imitar a bancos, servicios de entrega o proveedores de software.
El smishing ( phishing por SMS) utiliza mensajes de texto para engañar a las víctimas. Es posible que reciba un SMS en el que se le informe de que su paquete está retenido o que su cuenta bancaria ha sido comprometida, con un enlace que le lleva a un sitio web falso diseñado para robar sus credenciales.
El vishing ( phishing por voz) consiste en llamadas telefónicas de estafadores que se hacen pasar por empleados bancarios, personal de soporte informático o funcionarios públicos. Utilizan la presión y la urgencia para convencerte de que les facilites información personal o les concedas acceso remoto a tu dispositivo.
phishing spear phishing es una forma específica de phishing la que el atacante investiga a una persona u organización concreta antes de redactar un mensaje altamente personalizado. Dado que estos correos electrónicos hacen referencia a nombres reales, cargos o actividades recientes, resultan mucho más convincentes —y mucho más peligrosos— que phishing genéricos.
El whaling lleva phishing spear phishing paso más allá al dirigirse a altos ejecutivos y responsables de la toma de decisiones. Estos ataques suelen implicar facturas falsas, solicitudes urgentes de transferencias bancarias o suplantación de identidad de miembros del consejo de administración, y pueden provocar importantes pérdidas económicas.
Diferentes formas de phishing
Existen muchas formas diferentes de phishing. Un ejemplo es phishing spear phishing. También existe phishing clone phishing, en el que el ciberdelincuente copia un correo electrónico de una empresa legítima. A continuación, los enlaces originales se sustituyen por enlaces maliciosos. También phishing posible phishing telefónico, en el que el delincuente se hace pasar por un empleado de, por ejemplo, un banco.
¿Cómo se pueden detectar los mensajes falsos?
Reconocer phishing puede resultar complicado. A continuación, compartimos algunos ejemplos y consejos sobre cómo reconocer un mensaje falso.
En primer lugar, comprueba la dirección de correo electrónico del remitente. A menudo, se puede detectar en el correo electrónico que no se trata de un correo electrónico real de la empresa. Por ejemplo, la dirección de correo electrónico real de una tienda online es [email protected], pero la dirección de correo electrónico del correo electrónico de phishing es [email protected].
Lo mismo ocurre con los enlaces del correo electrónico. Un consejo es pasar el cursor por encima del enlace para ver la URL real del mismo. A menudo verás que el enlace no remite al sitio web real. Por lo tanto, comprueba siempre esto antes de hacer clic en un enlace.
Otra forma de reconocer un mensaje falso es por el texto en sí. Muchos mensajes de phishing contienen errores ortográficos, lo que es un indicio de que no se trata de un correo electrónico real.
Por último, ten cuidado cuando un mensaje te haga sentir que hay prisa. Frases como «tu cuenta se cerrará en 24 horas» o «se requiere acción inmediata» están pensadas para que actúes antes de pensar. Las organizaciones legítimas casi nunca te presionan para que hagas algo de inmediato.
Phishing a través de las redes sociales
Phishing también Phishing realiza a través de las redes sociales. Los ciberdelincuentes crean un portal de inicio de sesión falso. Por ejemplo, ves un portal de inicio de sesión de Facebook. Sin embargo, el portal ha sido creado por ciberdelincuentes. Si alguien inicia sesión a través de este portal, las credenciales de inicio de sesión se envían al creador del portal.
LinkedIn es otro objetivo habitual. Los atacantes envían solicitudes de conexión falsas u ofertas de trabajo que contienen enlaces maliciosos, aprovechando la confianza profesional que los usuarios depositan en la plataforma. En Instagram y WhatsApp, los estafadores suelen suplantar la identidad de amigos o marcas y envían mensajes con enlaces a sorteos falsos o páginas de «verificación de cuentas». Dado que los mensajes de las redes sociales parecen más personales que los correos electrónicos, las víctimas suelen ser menos cautelosas, lo que hace que estos ataques sean especialmente eficaces.
Phishing mediante códigos QR (quishing)
Los códigos QR se utilizan para acceder rápida y fácilmente a sitios web desde el teléfono. Sin embargo, hay que tener cuidado con esto. Cuando se escanea un código QR, no se sabe de antemano a qué sitio web se va a acceder. Así que puede que introduzca los datos de acceso a su cuenta bancaria en un sitio web creado por delincuentes.
Este tipo de ataque, conocido como «quishing», está creciendo rápidamente. Los códigos QR falsos aparecen en parquímetros, menús de restaurantes e incluso en el correo postal. Comprueba siempre la URL que aparece después de escanear antes de introducir cualquier información personal y evita escanear códigos QR de fuentes desconocidas o sospechosas.
¿Y si hace clic en un correo electrónico de phishing ?
Si sospecha que ha sido víctima de un ataque de phishing, actúe rápidamente para limitar los daños:
Cambie sus contraseñas inmediatamente, empezando por la cuenta que ha sido comprometida y cualquier otra cuenta en la que utilice la misma contraseña. Utilice contraseñas seguras y únicas para cada servicio.
Póngase en contacto con su banco si ha compartido información financiera o ha detectado transacciones sospechosas. La mayoría de los bancos pueden congelar su cuenta o revertir pagos no autorizados si actúa con la suficiente rapidez.
Denuncia el incidente. En los Países Bajos, puedes denunciar el phishing al Servicio de Asistencia contra el Fraude (fraudehelpdesk.nl). Si eres empleado, informa inmediatamente a tu departamento de TI para que puedan evaluar si los sistemas de la empresa se han visto afectados.
Ejecute un análisis de malware en su dispositivo. Si ha hecho clic en un enlace sospechoso o ha descargado un archivo adjunto, es posible que se haya instalado malware. Utilice un software antivirus actualizado para comprobar y eliminar cualquier amenaza.
Cómo proteger su organización contra el phishing
Las medidas técnicas, como los filtros de spam y los cortafuegos, son importantes, pero no pueden detectar todos los intentos de phishing. La defensa más eficaz es asegurarse de que las personas de su organización sepan cómo reconocer y responder a las amenazas.
La formación en materia de seguridad enseña a los empleados a identificar los correos electrónicos de phishing, los enlaces sospechosos y las tácticas de ingeniería social. La formación periódica garantiza que los conocimientos se mantengan actualizados y que su equipo esté preparado para los métodos de ataque más recientes.
Las simulaciones de phishing van un paso más allá enviando correos electrónicos falsos realistas pero inofensivos a sus empleados. Esto le permite medir cómo responde su organización en la práctica e identificar quién necesita apoyo adicional.
Con Guardey, puedes combinar la formación en concienciación sobre seguridad gamificada con simulaciones automatizadas de phishing, lo que ayuda a tu equipo a desarrollar habilidades reales, en lugar de limitarse a marcar una casilla. Empieza una prueba gratuita de 14 días y comprueba los resultados por ti mismo.