¿Qué es el phishing y cómo evitarlo? - Revisión geek

Andrea Danti / Shutterstock.com

El aumento del trabajo remoto, las compras en línea y el liderazgo incompetente de la FCC crea una tormenta perfecta para los estafadores. Los ataques de phishing son más comunes que nunca y, con frecuencia, provocan fraude, robo de identidad y filtraciones de datos corporativos. Pero, ¿qué es el phishing y cómo puedes evitarlo?

Índice de contenidos
  1. ¿Qué es el phishing?
  2. Las formas más comunes de phishing
  3. Cómo evitar las estafas de phishing
  4. ¿Qué debe hacer si es víctima de phishing?

¿Qué es el phishing?

“Phishing” es un término general para una variedad de delitos cibernéticos. Pero en su forma más básica, el phishing (pronunciado “fishing”) es una estafa en la que se engaña a la víctima para que comparta información confidencial o descargue ransomware.

La mayoría de los esquemas de phishing ocurren a través de correo electrónico o mensaje de texto SMS. Y tienden a seguir una fórmula simple; los estafadores se harán pasar por alguien confiable, como Amazon, un departamento de policía o un empleador, y le informarán sobre un problema que requiere atención inmediata. Por lo general, este "problema" solo se puede "resolver" compartiendo los datos de la tarjeta de crédito, abriendo un archivo malicioso o escribiendo sus datos de inicio de sesión en un sitio web falso.

La mayoría de los ataques de phishing son fáciles de detectar. Se centran en temas fraudulentos (como garantías de automóviles) y no se hacen pasar por una persona de autoridad. Si recibe un correo electrónico de "Amazon" que contiene errores tipográficos o proviene de una dirección de Yahoo, probablemente notará que algo anda mal. (Aún así, las personas caen en estos ataques de phishing "obvios" todos los días, razón por la cual son tan comunes).

Pero los esquemas de phishing pueden ser muy sofisticados. Los estafadores pueden conocer detalles sobre su empleo, suscripciones, familia o ubicación antes de intentar un ataque de phishing. Si pide zapatos de un sitio web que ha sido pirateado, por ejemplo, un estafador puede enviarle un correo electrónico pidiéndole que verifique la compra con sus datos de inicio de sesión. Y si está en edad de jubilarse, un estafador puede hacerse pasar por un miembro joven de la familia para pedir el dinero de la fianza.

Para ser claros, los esquemas de phishing no solo están dirigidos a individuos. Según un informe reciente de Proofpoint, más del 55 % de las empresas fueron víctimas de un ataque de phishing en 2020. Más de la mitad de estas empresas terminaron con ransomware en sus sistemas. Y, lamentablemente, varios de estos ataques de phishing provocaron una filtración de datos, lo que puede exponer la información del cliente a los piratas informáticos.

Los gobiernos también son un gran objetivo para los esquemas de phishing. El CSIS mantiene una larga lista de ciberataques exitosos contra organizaciones gubernamentales, y muchos de estos ataques fueron habilitados por phishing.

Las personas comunes son la primera y única línea de defensa en un ataque de phishing. Pero los datos de Proofpoint muestran que más de la mitad de todos los trabajadores de tiempo completo no saben nada sobre el phishing. Claramente, las empresas y los gobiernos no están educando a las personas sobre este tema, razón por la cual es tan importante sentarse y aprender por sí mismo.

Las formas más comunes de phishing

Una ilustración de un anzuelo recogiendo un ampersand (referencia al phishing por correo electrónico).
wek1003mike / Shutterstock.com

Una de las cosas más frustrantes del phishing, al menos desde nuestra perspectiva, es que se presenta en tantas formas y tamaños diferentes. Los ciberdelincuentes no solo repiten la misma estafa todos los días. Están constantemente desarrollando nuevas formas de engañar a sus víctimas.

Sin embargo, los estafadores tienen que hacer un acto de equilibrio al hacer phishing. Pueden lanzar una red amplia con una estafa "obvia" y esperar que alguien muerde el anzuelo, o pueden trabajar para alcanzar un objetivo específico.

Estas son las formas comunes de phishing, que deberían ilustrar mi punto:

  • Suplantación de identidad por correo electrónico: Esta es la forma más común de phishing. Un estafador se hace pasar por un sitio web o figura popular, como Amazon o un político, en un intento de robar su información o engañarlo para que descargue ransomware. Incluso pueden crear un nombre de dominio personalizado para que su dirección de correo electrónico parezca "oficial".
  • Suplantación de identidad (spear phishing): Los estafadores que quieren llegar a un objetivo específico recurrirán al "spear phishing". Recopilan información sobre su víctima antes de hacerse pasar por una persona confiable, un negocio o un mensaje automatizado.
  • Suplantación de identidad de clones: La mayoría de los correos electrónicos de phishing se envían a las víctimas al azar. Pero en algunos casos, un estafador le enviará una versión duplicada de un correo electrónico real. Si recibe una confirmación de pedido, por ejemplo, un pirata informático puede enviar una copia de "confirmación de pedido" que contenga enlaces o archivos adjuntos maliciosos.
  • Phishing emergente: Las ventanas emergentes siguen siendo un vector común de estafas y malware. Los ataques de phishing emergentes modernos generalmente aprovechan la configuración de notificación de un navegador para enviarle "advertencias de antivirus".
  • Suplantación de identidad del pescador: El mundo de las redes sociales permite a los estafadores "phish pescador" para las víctimas. Esencialmente, los estafadores se harán pasar por una figura pública o una empresa en las redes sociales. Alguien puede hacerse pasar por un creador de YouTube para compartir enlaces de "sorteos" fraudulentos en los comentarios de un video, por ejemplo.
  • Ballenero: Cuando un ataque de phishing está dirigido a una persona importante, como un director ejecutivo, se denomina "caza de ballenas". Estos objetivos a menudo son ricos, fáciles de chantajear o tienen acceso al backend de una corporación.
  • Smishing y Vishing: estos términos describen el phishing a través de un mensaje de texto SMS o una llamada telefónica. La mayoría de los mensajes de spam o llamadas automáticas automáticas que recibe son formas de "smishing" o "vishing".

Una vez más, estos ataques de phishing oscilan entre "ultraespecíficos" y "muy amplios". Los ataques más sofisticados tienden a dirigirse a una sola persona, mientras que los ataques más básicos son un poco aleatorios.

Cómo evitar las estafas de phishing

Un anzuelo quitando un candado.
wk10003mike / Shutterstock.com

Debido al aumento del trabajo remoto, el phishing es más popular que nunca. Y esperamos que siga siendo un gran problema para las personas, las corporaciones y los gobiernos: las estafas de phishing pueden ser bastante sofisticadas, por lo que incluso si tiene "conocimientos informáticos" o usa un software antivirus, debe estar atento.

Examine cada correo electrónico o mensaje SMS que llega a su bandeja de entrada. Si alguien le envía una URL o un archivo, no lo abra a menos que pueda verificar la fuente. Y no solo te estoy diciendo que mires la dirección de correo electrónico o el número de teléfono del remitente. Intente ponerse en contacto con la organización o persona que supuestamente escribió ese correo electrónico para verificar su autenticidad.

Para ser claros, hay algunas cosas que nunca debes enviar por correo electrónico o mensaje de texto. Si alguien le pide que escriba su número de seguro social o la información de su tarjeta de crédito en un correo electrónico o mensaje de texto, ¡ignórelos! Su banco no le pedirá estas cosas en una plataforma tan insegura, y tampoco lo hará el IRS.

Tenga en cuenta que algunos estafadores son lo suficientemente audaces como para hacer phishing a través de llamadas telefónicas. Incluso pueden hacerse pasar por la policía, el banco o su empleador. Si te llama un número desconocido y te pide dinero o información confidencial, cuelga. Siempre puede devolver la llamada usando un oficial número de teléfono del sitio web de la organización.

Para reducir las posibilidades de que sufras de phishing, configura filtros de correo no deseado en tu cliente de correo electrónico. También puede instalar un software antivirus y deshabilitar las notificaciones del sitio web en su navegador.

Y dado que los ataques de phishing son tan comunes, sugiero tomar algunas medidas preventivas para reducir su impacto. Use un administrador de contraseñas para crear contraseñas únicas para cada cuenta y habilite 2FA en todos los sitios web, ya que bloqueará a los estafadores incluso si tienen su contraseña. También puedes activar una alerta de fraude a través de un buró de crédito para evitar que se abran nuevas líneas de crédito a tu nombre.

¿Qué debe hacer si es víctima de phishing?

Alguien molesto en su computadora portátil.
Laboratorio Gaudí / Shutterstock.com

De acuerdo con la Comisión Federal de Comercio de EE. UU., debe informar todos los ataques de phishing al Reportar sitio web de fraude. También puede reenviar correos electrónicos de phishing a [email protected] y reenviar mensajes de texto de phishing a Correo no deseado (7726). Si un ataque de phishing se hace pasar por una persona u organización, también debe advertirle del ataque (especialmente si es un miembro de la familia o alguien dentro de su empresa).

Si es víctima de un ataque de phishing, es hora de ingresar al modo de reducción de daños. Cambie las contraseñas de todas las cuentas confidenciales o afectadas, y habilite 2FA para bloquear a los estafadores que tienen su contraseña; un administrador de contraseñas lo ayudará a hacer el trabajo.

Y si un estafador obtiene la información de su tarjeta de crédito o los datos bancarios, ¡dígaselo a su banco! Lo ayudarán a reemplazar la tarjeta afectada y a disputar los cargos fraudulentos. También es posible que deba congelar sus tarjetas de crédito o configurar una alerta de fraude si un estafador obtiene su número de seguro social, dirección o fecha de nacimiento. Esto evitará transacciones no deseadas y evitará que los estafadores abran nuevas líneas de crédito a su nombre.

Desafortunadamente, los ataques de phishing que involucran malware son un poco más complicados. Si abre un archivo adjunto malicioso o descarga software sospechoso, debe desconectar el dispositivo afectado. Ejecute un análisis antivirus o reinicie el dispositivo de fábrica para eliminar cualquier malware.

Limpiar su dispositivo de malware puede ser imposible si el ransomware lo bloquea. En esta situación, tome una foto de la pantalla de su dispositivo (para que pueda identificar el ransomware más adelante) y comuníquese con las fuerzas del orden o el FBI. No se moleste en pagar el rescate; es mejor que visite a un especialista en reparaciones o espere a que una empresa de seguridad publique una solución. A los estafadores rara vez les importa si paga un rescate y, en todo caso, simplemente los alienta a difundir más ransomware.

Descubre más contenido

Subir Change privacy settings