Los avances tecnológicos y el uso generalizado de Internet crearon muchos efectos positivos, como un mayor acceso a la información y una mayor interconexión.
Sin embargo, también exponen a los usuarios a una serie de riesgos de ciberseguridad. Uno de ellos son los ciberataques cuyo objetivo final es robar identidades, dinero o asumir ilegalmente el control de cuentas y perfiles de personas.
El phishing, como se denomina a estos ciberdelitos, está ahora tan extendido que entre enero y octubre de 2022 se produjeron más de 255 millones de ataques, un incremento del 61% respecto al año anterior.
Debido a la creciente frecuencia de estos ataques, y al daño que pueden causar a particulares y empresas, es crucial que la gente conozca qué son estos ataques, cómo funcionan, qué hacer tras un ataque de phishing y, por supuesto, cómo prevenirlos.
¿Qué es el phishing?
Para evitar convertirse en víctima de phishing, es esencial en primer lugar que la gente entienda en qué consisten estos ataques.
En pocas palabras, phishing es un tipo de fraude, a menudo ejecutada por correo electrónico, mensajes de texto o llamadas telefónicas, en la que un actor malicioso manipula a su objetivo para que comparta su información de inicio de sesión, credenciales u otros datos personales y luego los utiliza con fines nefastos.
Después de entregar su información en la estafa, el ciberdelincuente suele usar los datos de la víctima de phishing para obtener beneficios económicos o perpetuar otros delitos.
Esto suele hacerse utilizando las credenciales de inicio de sesión robadas para acceder a cuentas bancarias o tarjetas de crédito, o a buzones de correo electrónico, redes domésticas, perfiles de redes sociales e incluso cuentas del Servicio de Impuestos Internos (IRS) o de la Seguridad Social.
Si las credenciales robadas incluyen contraseñas que se utilizan en varias cuentas, el phisher podrá acceder a un mayor número de cuentas de la víctima y causar más daños.
A menudo, los phishers intentan crear una sensación de legitimidad para sus estafas haciéndose pasar por empresas o personas de confianza.
Por ejemplo, podrían enviar un correo electrónico de una gran empresa con la que la víctima de phishing podría tener una cuenta: de hecho, Yahoo, DHL, Microsoft, Google, Facebook, Adobe y Netflix se encuentran entre las marcas más suplantadas.
O bien, el phisher puede hacerse pasar por un amigo o conocido en el mensaje de phishing.
El mensaje suele incluir un vínculo que dirige al receptor a un sitio web falso, en el que se pide a la víctima que proporcione información privilegiada, como datos de inicio de sesión, información de la tarjeta de crédito o, tal vez, datos personales como fechas de nacimiento y números de la Seguridad Social.
Tipos de ataques de phishing
Hay muchas formas a través de las cuales los ciberdelincuentes pueden robar tu información personal para acceder a tu dinero o asumir tu identidad.
En la mayoría de estos casos, los hackers se hacen pasar por representantes oficiales de empresas legítimas y engañan a la víctima para que facilite datos personales que luego pueden utilizarse con fines lucrativos o para suplantar su identidad.
Entender qué aspecto pueden tener estos ciberataques puede ayudar a prevenir los ataques de phishing.
Estas son algunas de las formas más comunes de phishing de los hackers:
Correo electrónico
Muchas personas se convierten en víctimas a través de correos electrónicos maliciosos. Suelen parecer legítimos y proceder de sitios web en los que el usuario tiene una cuenta, pero en realidad son enviados por el hacker para obtener datos personales.
Los correos electrónicos suelen contener vínculos que piden al usuario que ingrese sus credenciales de inicio de sesión u otros datos confidenciales.
El hacker puede entonces robar esta información, como contraseñas o datos de tarjetas de crédito, y utilizarla para sus propios fines.
Text o SMS
Igual que el phishing de correo electrónico, el phishing de los mensajes de texto, smishing, implica vínculos que parecen proceder de fuentes legítimas y piden a los usuarios que se registren en una cuenta o ingresen datos personales.
Sin embargo, en este caso, el vínculo se envía a través de un SMS u otros mensajes de texto en lugar de por correo electrónico.
Teléfono
En este escenario, el estafador llamará a la víctima de phishing diciendo que es un representante de una empresa legítima en la que el propietario del teléfono podría tener una cuenta.
A menudo denominado "vishing", el hacker le pedirá entonces información personal para confirmar los datos de la cuenta y resolver un supuesto problema.
Si la víctima facilita estos datos, el estafador puede utilizarlos para lograr sus objetivos.
Redes sociales
Algunos hackers crean perfiles falsos en las redes sociales y realizan estafas para tratar de obtener información personal de otros usuarios.
Por ejemplo, pueden decirle a la persona que ganó un concurso y que tiene que proporcionar su número de teléfono, dirección de correo electrónico y número de seguridad social.
O pueden decir que hay un problema de seguridad con la cuenta y que si el usuario no confirma sus datos de inicio de sesión, su cuenta será bloqueada.
Es esencial que las personas recuerden que las empresas legítimas, como los bancos, los sitios de comercio electrónico y las plataformas de redes sociales, nunca pedirán a los propietarios de cuentas que proporcionen información confidencial por ninguno de los medios mencionados.
En caso de duda, siempre es mejor ignorar la posible estafa y ponerse en contacto con la empresa legítima a través de los canales oficiales.
Cómo reconocer un ataque de phishing
Los estafadores pueden robar información confidencial de las personas de muchas maneras, como hemos presentado anteriormente.
Por este motivo, conocer las tácticas más comunes que emplean los phishers para llevar a cabo sus ataques es el primer paso en la prevención.
Por ejemplo, un correo electrónico, un mensaje de texto o una llamada telefónica fraudulentos pueden decir lo siguiente:
- Se produjeron intentos sospechosos de inicio de sesión en una cuenta.
- Hay un problema con la información de facturación o pago de la cuenta.
- Es necesario confirmar los datos personales o financieros de la cuenta.
- El pago debe efectuarse haciendo clic en un vínculo.
- El titular de la cuenta puede optar a un reembolso o pago si rellena sus datos a través de un vínculo.
Además, el mensaje o la llamada telefónica pueden mostrar otros signos de phishing, como:
- Aparentar ser de una empresa legítima en la que la víctima potencial pueda tener una cuenta, como Amazon o Apple.
- Utilizar el logotipo de la empresa en el correo electrónico.
- Incluir el nombre de la empresa en la dirección de correo electrónico, pero en un formato no oficial.
- No poder o no querer confirmar su legitimidad.
Qué hacer tras un ataque de phishing
Las víctimas de phishing pueden preguntarse qué hacer después de que sus datos se hayan visto comprometidos.
Se pueden tomar numerosas medidas que pueden mitigar los daños del ataque, evitar que otras personas se conviertan en víctimas de la misma estafa e incluso protegerse de futuros ataques.
Estos son algunos aspectos a tener en cuenta.
Averiguar qué pasó
Después de un ataque de phishing, las víctimas necesitan comprender cómo se produjo el ataque.
Esto puede implicar un poco de trabajo de investigación, como un estudio del correo electrónico o de los mensajes de textos de phishing para averiguar cuál podría haber sido el propósito del ataque, comprobar los registros del firewall en busca de URL o direcciones IP sospechosas, y averiguar exactamente qué información y detalles podrían haberse visto comprometidos.
También es una buena idea comprobar cualquier cuenta que pueda estar asociada con la información robada para ver si hay alguna actividad sospechosa.
Denunciar el ataque
Para las víctimas de phishing que se preguntan qué hacer tras un ataque, una posible opción es denunciarlo a las autoridades.
Aunque esto no siempre es simple o directo, denunciar el ataque es importante por varias razones. Por ejemplo, si una organización legítima estuvo implicada en el ataque, podría garantizar que sean conscientes de que un estafador se hace pasar por un representante oficial.
Y lo que es quizás más importante, puede ayudar a la persona a recuperar el control de cualquier cuenta comprometida, protegiéndola de si el estafador intenta perpetrar un robo de identidad, y bloquear cualquier transacción financiera sospechosa.
En Mexico puedes ponerte en contacto con la Policia Cibernetica.
En Estados Unidos, el phishing puede denunciarse ante el Grupo de trabajo antiphishing y la Comisión Federal de Comercio mientras que, en Europa, la organización responsable es la Oficina Europea de Lucha contra el Fraude.
Todo esto puede contribuir a futuros esfuerzos de prevención de ataques de phishing.
Comunicarse con la empresa implicada
A menudo, empresas legítimas se ven implicadas involuntariamente en ataques de phishing porque el phisher se hace pasar por un representante o envía un mensaje que supuestamente procede de la empresa.
Si este es el caso, entonces lo que hay que hacer después de un ataque de phishing implicará ponerse en contacto con la empresa en cuestión para informar el incidente.
De este modo, pueden tomar medidas para prevenir futuros ataques de phishing aconsejando a los clientes que sean conscientes de que los estafadores se ponen en contacto con los clientes en su nombre.
Desconectar el dispositivo
En algunos casos, los ataques de phishing pueden ejecutarse con la ayuda de malware. Por esta razón, es esencial que las víctimas de phishing desconecten su dispositivo comprometido de Internet.
Esto implicará deshabilitar la conexión Wi-Fi del dispositivo, o desconectar completamente y restablecer la red Wi-Fi. Esto es importante porque garantiza que el malware no se siga transmitiendo a través de la red.
Actualizar cualquier contraseña potencialmente comprometida
Las estafas de phishing suelen manipular a las víctimas para que faciliten información confidencial. Por lo general, utilizan un vínculo para redirigir al usuario a un sitio web falso y hacer que ingrese credenciales de inicio de sesión, como contraseñas.
Después de hacer clic en un vínculo de phishing de este tipo, lo mejor es cambiar las contraseñas que puedan haberse visto comprometidas en el ataque.
Asegúrate de hacerlo a través del sitio web real y no a través del vínculo de phishing, y si la contraseña se ha reutilizado en otras cuentas, asegúrate de cambiarlas también.
Ejecuta un análisis de malware
El software antivirus es una parte crucial para garantizar la seguridad y privacidad de cualquier dispositivo, pero también es una parte importante de la prevención de ataques de phishing.
Una vez instalado el software, este debería analizar el dispositivo automáticamente para detectar cualquier malware potencial.
Sin embargo, corresponde al usuario asegurarse de que el software esté siempre al día, basta con configurar las actualizaciones automáticas, y realizar análisis manuales periódicos que comprueben la presencia de malware en todos los dispositivos, archivos, aplicaciones y servidores de la red.
Cuidado con los robos de identidad
El objetivo de algunos ataques de phishing es robar suficiente información personal sobre el objetivo para que el phisher pueda robar su identidad con fines nefastos.
Por ejemplo, al robar el número de Seguridad Social, el número de teléfono y la fecha de nacimiento de alguien, el atacante puede instigar un ataque de duplicación de SIM, sacar nuevas tarjetas de crédito o perpetrar otros tipos de fraude.
Por ello, las víctimas de phishing deben estar atentas a señales de robo de identidad, como transacciones financieras o facturas médicas inesperadas, nuevas tarjetas de crédito que no solicitaron, intentos sospechosos de inicio de sesión en cuentas en línea, por ejemplo.
Si las finanzas se ven afectadas, el ataque debe notificarse a las principales agencias de información crediticia de su país, para garantizar que la puntuación crediticia de la víctima no se vea afectada como consecuencia del fraude de identidad.
8 consejos para prevenir los ataques de phishing
A pesar de la frecuencia de estos ataques, hay muchas medidas que se pueden tomar para evitar convertirse en víctima.
Incorporar estos ocho consejos a las medidas generales de seguridad de un dispositivo electrónico puede ayudar a ahuyentar a los phishers:
Aprende las señales de los ataques de phishing
Estar familiarizado con el funcionamiento de las estafas de phishing permite a los usuarios mantenerse alerta y y evite verse afectado por este ciberataque.
Elimina o ignora los mensajes de correo electrónico y de texto sospechosos
Quienes conocen las señales del phishing pueden identificar los mensajes potencialmente maliciosos y eliminarlos activamente para no ser víctimas de la estafa.
Comprueba el remitente
Actúa con la diligencia debida para intentar verificar el remitente de un mensaje sospechoso. Esto puede significar comprobar que el dominio del correo electrónico de origen coincida con el de la empresa de la que se supone que procede o comprobar que el número de teléfono que envía un mensaje es un número oficial de la empresa, por ejemplo.
No hagas clic en vínculos ni descargues archivos de correos electrónicos dudosos
Esta es una importante medida de prevención de ataques de phishing, ya que garantiza que el receptor no facilite datos confidenciales en un sitio web falso ni instale malware sin darse cuenta.
Denuncia los ataques de phishing
Esto puede proteger a otras personas de convertirse potencialmente en víctimas de phishing, y también permite a cualquier empresa que pueda haber estado implicada en la estafa mejorar sus medidas de seguridad y alertar a sus clientes.
Instala y utiliza programas antivirus y antiphishing
Estos programas pueden ayudar a proteger la seguridad y privacidad del usuario filtrando mensajes sospechosos y eliminando y alertando a los usuarios sobre software potencialmente malicioso. Asegúrate de que estos programas se actualizan con regularidad y de que también se inician análisis manuales.
Utiliza la autenticación multifactor
Esto garantiza una capa adicional de seguridad para las cuentas, de modo que incluso si un ataque de phishing tiene éxito, el phisher tiene menos oportunidades de utilizar los datos robados para comprometer cuentas bancarias, perfiles de redes sociales o cuentas de correo electrónico, por ejemplo.
Haz copias de seguridad periódicas de todos los datos
Tanto si usas un smartphone como una computadora portátil, asegúrate de que todos los datos del dispositivo tengan una copia de seguridad periódica: en un disco duro externo o en la nube, por ejemplo, para que estén siempre protegidos y disponibles.
Conclusión
Dada la creciente sofisticación de los ciberdelincuentes, por desgracia es habitual que la gente se convierta en víctima del phishing.
Es importante comprender en qué consisten estos ciberdelitos y qué medidas poner en marcha para esforzarse en prevenir los ataques de phishing.
Sin embargo, es igualmente importante que la gente sepa qué hacer después de un ataque de phishing.
Desde proteger sus dispositivos y cuentas hasta informar el ataque de phishing y comprender cómo se produjo en primer lugar, estos pasos esenciales pueden ayudar a mitigar cualquier daño posterior.
Artículos relacionados:
- Cómo evitar que los agentes de datos vendan tu información personal
- ¿Qué es el hackeo? ¿Y Cómo evitarlo?