Curso gratis en español sobre Phishing: ¿Puedes detectar cuando te están engañando?

¿Qué es el Phishing?

El phishing se refiere al envío de correos electrónicos que tienen la apariencia de proceder de fuentes de confianza (como bancos, compañías de energía etc.) pero que en realidad pretenden manipular al receptor para robar información confidencial. Por eso siempre es recomendable acceder a las páginas web escribiendo la dirección directamente en el navegador.

Cómo actúa el Phishing

La mayoría de los ataques de phishing comienzan con la recepción de un correo electrónico o un mensaje directo en el que el remitente se hace pasar por un banco, una empresa u otra organización real con el fin de engañar al destinatario. Este correo electrónico incluye enlaces a un sitio web preparado por los criminales -que imita al de la empresa legítima- y en el que se invita a la víctima a introducir sus datos personales.

En este sentido existe una vinculación entre el spam y el phishing, ya que los correos electrónicos fraudulentos suelen enviarse de forma masiva para multiplicar el número de víctimas potenciales de los hackers.

De hecho, si bien el email sigue siendo una de los medios por los ciberdelincuentes para este tipo de fraudes, el phishing puede utilizar otros medios de comunicación además: son frecuentes los intentos vía SMS (a veces llamados smishing), VoIP (vishing) o los mensajes instantáneos en redes sociales.

Además los criminales se valen de ciertos trucos de ingeniería social para crear alarma en los receptores de los mensajes, con indicaciones de urgencia, alarma y diferentes llamadas a la acción. La idea es que el usuario actúe de inmediato ante el estímulo y no se detenga a analizar los riesgos de su acción.

Cómo reconocer un mensaje de Phishing

• Es raro que las empresas -ya sean de banca, energía o telecomunicaciones- pidan datos personales vía correo electrónico. El mero hecho de que ocurra debería ponernos en guardia.
• No siempre es fácil reconocer los mensajes de phishing por su apariencia. Sin embargo reproducir de manera fidedigna el formato de una empresa requiere un tiempo y esfuerzo que los criminales no suelen estar dispuestos a invertir. Los errores, incoherencias o faltas de ortografía son un indicio claro. Fíjate también en la dirección del remitente.

¿Cómo protegerse del phishing?

Como se ha indicado previamente, el phishing es una amenaza que ofrece “igualdad de oportunidades”, capaz de aparecer en ordenadores de escritorio, portátiles, tabletas y teléfonos inteligentes. La mayoría de los navegadores de Internet disponen de formas de comprobar si un enlace es seguro, pero la primera línea de defensa contra el phishing es su buen criterio. Aprenda a reconocer los signos del phishing e intente practicar informática segura siempre que compruebe su correo electrónico, lea posts de Facebook, o juegue a su juego online favorito.

Una vez más, nuestro Adam Kujawa propone algunas de las prácticas más importantes para mantenerse a salvo:

• No abra correos electrónicos de remitentes que no le sean familiares.
• No haga clic en un enlace dentro de un correo electrónico a menos que sepa exactamente a dónde le lleva.
• Para aplicar esa capa de protección, si recibe un correo electrónico de una fuente de que la que no está seguro, navegue manualmente hasta el enlace proporcionado escribiendo la dirección legítima del sitio web en su navegador.
• Busque el certificado digital del sitio web.
• Si se le pide que proporcione información confidencial, compruebe que la URL de la página comienza con “HTTPS” en lugar de simplemente “HTTP”. La “S” significa “seguro”. No es una garantía de que un sitio sea legítimo, pero la mayoría de los sitios legítimos utilizan HTTPS porque es más seguro. Los sitios HTTP, incluso los legítimos, son vulnerables para los hackers.
• Si sospecha que un correo electrónico no es legítimo, seleccione un nombre o parte del texto del mensaje y llévelo a un motor de búsqueda para ver si existe algún ataque de phishing conocido que utiliza los mismos métodos.
• Pase el cursor del ratón por encima del enlace para ver si es legítimo.

Como siempre, recomendamos utilizar algún tipo de software de seguridad antimalware. La mayoría de las herramientas de seguridad informática tienen la capacidad de detectar cuando un enlace o un archivo adjunto no es lo que parece, por lo que incluso si llega a caer en un intento inteligente de phishing, no terminará compartiendo su información con las personas erróneas.

Tipos de ataques de phishing

A pesar de sus muchas variedades, el denominador común de todos los ataques de phishing es el uso de un pretexto fraudulento para adquirir datos valiosos. Algunas categorías principales incluyen:

Spear phishing

Mientras la mayoría de las campañas de phishing envían correos electrónicos masivos al mayor número posible de personas, el spear phishing es un ataque dirigido. Spear phishing ataca a una persona u organización específica, a menudo con contenido personalizado para la víctima o víctimas. Requiere un reconocimiento previo al ataque para descubrir nombres, cargos, direcciones de correo electrónico y similares.

Los hackers buscan en Internet para relacionar esta información con lo que han averiguado sobre los colegas profesionales del objetivo, junto con los nombres y las relaciones profesionales de los empleados clave en sus organizaciones. Con esto, el autor del phishing crea un correo electrónico creíble.

Phishing de clonación

En este ataque, los delincuentes hacen una copia, o clonan, correos electrónicos legítimos enviados anteriormente que contienen un enlace o un archivo adjunto. Luego, el autor del phishing sustituye los enlaces o archivos adjuntos con contenido malicioso disfrazado para hacerse pasar por el auténtico.

Los usuarios desprevenidos hacen clic en el enlace o abren el adjunto, lo que a menudo permite tomar el control de sus sistemas. Luego el autor del phishing puede falsificar la identidad de la víctima para hacerse pasar por un remitente de confianza ante otras víctimas de la misma organización.

419/Estafas nigerianas

Un extenso correo electrónico de phishing de alguien que afirmaba ser un príncipe nigeriano es una de las estafas más antiguas de Internet. Según Wendy Zamora, jefe de contenido de Malwarebytes Labs, “el phishing del príncipe nigeriano procede de una persona que afirma ser un funcionario del gobierno o miembro de una familia real que necesita ayuda para transferir millones de dólares desde Nigeria.

El correo electrónico se marca como ‘urgente’ o ‘privado’ y su remitente solicita al destinatario que proporcione un número de cuenta bancaria para remitir los fondos a un lugar seguro”.

Phishing telefónico

Con los intentos de phishing a través del teléfono, a veces llamados phishing de voz o “vishing” el phisher llama afirmando representar a su banco local, la policía o incluso la Agencia Tributaria.

A continuación, le asustan con algún tipo de problema e insisten en que lo solucione inmediatamente facilitando su información de cuenta o pagando una multa. Normalmente le piden que pague con una transferencia bancaria o con tarjetas prepago, porque son imposibles de rastrear.

Para conocer un poco mas sobre este tema te invitamos a que tomes el curso es completamente gratuito solo selecciona el siguiente botón