¿Qué es el phishing? Todo lo que necesitas saber para protegerte de los estafadores

A menudo se lleva a cabo por correo electrónico, aunque la estafa ahora se ha extendido más allá de los correos electrónicos sospechosos a llamadas telefónicas (el llamado “vishing”), redes sociales, servicios de mensajería SMS (también conocidos como “smishing”) y aplicaciones: un ataque de phishing básico intenta para engañar al objetivo para que haga lo que quiere el estafador.

Exactamente lo que quiere el estafador puede variar enormemente entre ataques. Podría ser entregar contraseñas para que sea más fácil piratear una empresa o persona, o enviar pagos a estafadores en lugar de a la cuenta correcta. Esta información a menudo se roba al realizar solicitudes que parecen completamente legítimas, como un correo electrónico de su jefe, para que no lo piense dos veces antes de hacer lo que le piden.

También: Los mejores servicios VPN ahora mismo

Un ataque de phishing exitoso es aquel que puede proporcionar todo lo que los estafadores necesitan para saquear la información de las cuentas personales y laborales de sus objetivos, incluidos nombres de usuario, contraseñas, información financiera y otros datos confidenciales.

El phishing también es un método popular para que los ciberatacantes entreguen malware animando a las víctimas a descargar un documento armado o visitar un enlace malicioso que instalará en secreto la carga maliciosa en ataques que podrían distribuir malware troyano, ransomware o todo tipo de ataques dañinos y disruptivos. .

El término general para estas estafas, phishing, es una versión modificada de “pesca”, excepto que en este caso quien realiza esta pesca es un estafador y está tratando de atraparlo y atraerlo con su engañoso señuelo de correo electrónico. En la mayoría de los casos, sacarán muchos de estos señuelos. La mayoría de las personas ignorarán estos correos electrónicos fraudulentos, pero eventualmente alguien los muerde.

También: Cómo mantenerse seguro en una red Wi-Fi pública: 5 consejos importantes

También es probable que sea una referencia a la historia de los piratas informáticos: algunos de los primeros piratas informáticos eran conocidos como “phreaks” o “phreakers” porque realizaban ingeniería inversa en los teléfonos para realizar llamadas gratuitas.

Estas estafas pueden apuntar a cualquier persona y en cualquier momento. El objetivo y la mecánica precisa de las estafas de phishing varían: por ejemplo, se puede engañar a las víctimas para que hagan clic en un enlace que conduce a una página web falsa con el objetivo de persuadir al usuario a que ingrese información personal. En este caso, el atractivo podría ser que haya ganado un premio, o la oportunidad de obtener una oferta especial imprescindible, o (oh, qué ironía) una afirmación de que su cuenta ha sido pirateada y que debe iniciar sesión para actuar.

También: Cómo encontrar y eliminar software espía de su teléfono

Los esquemas de phishing más complejos pueden implicar un juego largo, en el que los piratas informáticos utilizan perfiles de redes sociales, correos electrónicos y más falsos para establecer una relación con la víctima durante meses o incluso años, especialmente en casos en los que individuos específicos son el objetivo de datos que solo obtendrían. entregarlo a personas en las que confían.

Esos datos pueden variar desde su dirección de correo electrónico personal o corporativa y su contraseña hasta datos financieros como detalles de tarjetas de crédito, cuentas bancarias en línea y billeteras de criptomonedas, o incluso datos personales que incluyen su fecha de nacimiento, dirección y número de seguro social.

En manos de los estafadores, toda esa información puede usarse para llevar a cabo estafas como el robo de identidad o el uso de datos robados para comprar cosas o incluso vender su información privada a otros ciberdelincuentes en la web oscura, quienes pueden usarla como quieran. . Por ejemplo, los nombres de usuario y contraseñas phishing suelen ser el punto de partida de los ataques de ransomware.

También: Su guía para la web oscura y cómo acceder de forma segura a sitios web .onion

Debido a que el phishing puede ser tan efectivo, es una de las técnicas más comunes utilizadas por los grupos de piratería respaldados por el estado para realizar espionaje contra otros gobiernos u otras organizaciones de interés.

En última instancia, cualquiera puede ser víctima de un ataque de phishing, desde funcionarios de alto rango hasta líderes empresariales y profesionales de oficina; cualquiera que tenga un correo electrónico o una cuenta de redes sociales podría ser víctima de un ataque de phishing.

Un ataque de phishing básico intenta engañar a un usuario para que proporcione datos personales u otra información confidencial, y el correo electrónico es el método más común para realizar estos ataques.

La gran cantidad de correos electrónicos enviados cada día significa que es un vector de ataque obvio para los ciberdelincuentes. Cada día se envían más de 300 mil millones de correos electrónicos, y se cree que al menos tres mil millones de ellos son correos electrónicos de phishing maliciosos.

También: Los mejores administradores de contraseñas que puedes usar

La mayoría de las personas simplemente no tienen tiempo para analizar cuidadosamente cada mensaje que llega a su bandeja de entrada.

Algunos estafadores se dirigen a consumidores desprevenidos. La línea de asunto de su correo electrónico estará diseñada para captar la atención de la víctima. Las técnicas habituales de las campañas de phishing incluyen ofertas de premios ganados en concursos falsos, como loterías o concursos realizados por minoristas que ofrecen un vale ganador.

Para recibir el premio, las víctimas deben ingresar sus datos como nombre, fecha de nacimiento, dirección y datos bancarios, así como su nombre de usuario y contraseña, para poder reclamarlo. Evidentemente no hay premio y lo único que han hecho es poner sus datos personales en manos de estafadores.

También: El mejor software y aplicaciones antivirus del momento

Otros correos electrónicos de phishing afirman ser de un banco u otra institución financiera que busca verificar detalles, tiendas en línea que intentan verificar compras inexistentes o, a veces, incluso de manera más descarada, atacantes afirmarán que ha habido un comportamiento sospechoso en su cuenta y que usted debe inicie sesión para verificar.

A veces incluso afirman ser representantes de empresas de tecnología o ciberseguridad y que necesitan acceso a la información para mantener seguros a sus clientes.

Otras estafas, normalmente más sofisticadas, están dirigidas a usuarios empresariales. En este caso, los atacantes pueden hacerse pasar por alguien de la misma organización o uno de sus proveedores y le pedirán que descargue un archivo adjunto que, según afirman, contiene información sobre un contrato o acuerdo.

También: Los datos de mi tarjeta de crédito robada se utilizaron a 4.500 millas de distancia. Cómo pasó

Los atacantes suelen utilizar eventos de alto perfil como señuelo para alcanzar sus objetivos finales. Por ejemplo, durante el apogeo de la pandemia de coronavirus, los ciberdelincuentes enviaron numerosos correos electrónicos que supuestamente contenían información sobre el coronavirus como medio para atraer a las personas y convertirlas en víctimas.

Una técnica común es entregar un documento de Microsoft Office que requiere que el usuario habilite la ejecución de macros. El mensaje que viene con el documento tiene como objetivo engañar a la víctima potencial para que habilite macros que permitan ver el documento correctamente, pero en este caso permitirá a los delincuentes entregar en secreto su carga útil de malware.

Es difícil calcular el costo total del fraude que surge de las estafas de phishing, porque las pérdidas pueden variar desde unos pocos dólares por un ataque de phishing contra una persona hasta ataques de phishing exitosos contra grandes organizaciones que pueden costar millones de dólares.

Un artículo de investigación sugiere que el costo del phishing para las grandes empresas es de casi 15 millones de dólares al año, mientras que el FBI sugiere que el costo total de los ataques en línea ha costado a las empresas estadounidenses más de 43 mil millones de dólares en los últimos años.

El “rociar y rezar” es el tipo menos sofisticado de ataque de phishing, mediante el cual se envían mensajes básicos y genéricos por correo masivo a millones de usuarios.

Estos son los mensajes “Mensaje URGENTE de su banco” y “Te has ganado la lotería”, que tienen como objetivo asustar a las víctimas para que cometan un error o cegarlas con avaricia. Algunos correos electrónicos intentan utilizar el miedo, sugiriendo que hay una orden de arresto contra la víctima y que serán encarcelados si no hacen clic.

También: Las mejores llaves de seguridad que puedes comprar

Los esquemas de este tipo son tan básicos que a menudo ni siquiera involucran una página web falsa: a menudo a las víctimas simplemente se les dice que respondan al atacante por correo electrónico. A veces, los correos electrónicos pueden jugar con la pura curiosidad de la víctima, apareciendo como un mensaje en blanco con un archivo adjunto malicioso para descargar.

Estos ataques son en su mayoría ineficaces, pero la gran cantidad de mensajes que se envían significa que habrá personas que caigan en la estafa y sin darse cuenta envíen detalles a ciberatacantes que explotarán la información de cualquier manera que puedan.

A los ciberdelincuentes les lleva poco tiempo y esfuerzo enviar spam (la actividad a menudo se subcontrata a bots), lo que significa que probablemente estén obteniendo ganancias, aunque no sean muchas.

En el centro de los ataques de phishing, independientemente de la tecnología o del objetivo particular, se encuentra el engaño.

Si bien muchos en el sector de la seguridad de la información podrían sorprenderse cuando se trata de la falta de sofisticación de algunas campañas de phishing, es fácil olvidar que hay miles de millones de usuarios de Internet, y todos los días hay personas que acceden a Internet por primera vez.

También: Información de identificación personal (PII): qué es, cómo se utiliza y cómo protegerla

Muchos usuarios de Internet ni siquiera serán conscientes de la amenaza potencial del phishing, y mucho menos de que podrían ser atacados por atacantes que lo utilicen. ¿Por qué sospecharían siquiera que el mensaje en su bandeja de entrada no proviene en realidad de la organización o del amigo que dice ser?

Pero si bien algunas campañas de phishing son tan sofisticadas y diseñadas especialmente que el mensaje parece totalmente auténtico, hay algunos indicios clave en campañas menos avanzadas que pueden facilitar la detección de un intento de ataque. Aquí hay cuatro obsequios de este tipo que debe buscar.