¿Qué son los ataques de Phising y cómo es posible evitarlo?
La palabra “Phishing” proviene de la palabra en inglés “fishing” y significa pesca. Aplicada a la informática, phising se refiere a intentos maliciosos que tienen como objetivo engañar a los usuarios para que revelen información confidencial, como contraseñas, números de tarjeta de crédito o datos personales y de esta manera poder apropiarse de la información ajena. El objetivo de los ciberdelincuentes es “pescar” los datos personales de los usuarios y poder obtener un fin lucrativo con ellos. Generalmente, estos ataques se llevan a cabo a través de correos electrónicos, mensajes de texto, mensajes a través de la aplicación de WhatsApp o sitios web falsos que imitan a entidades legítimas.
Las características principales de los ataques de phishing son las siguientes:
Simulación de identidad: los atacantes se hacen pasar por empresas conocidas, bancos o servicios en línea, utilizando logotipos y diseños similares para conseguir engañar a las víctimas.
Urgencia: los mensajes enviados incluyen un sentido de urgencia, instando a la víctima a actuar rápidamente, como "su cuenta será bloqueada si no responde".
Enlaces y archivos adjuntos: suelen incluir enlaces a sitios web falsos o archivos adjuntos maliciosos que pueden instalar malware en el dispositivo del usuario.
Solicitudes de información: los mensajes pueden pedir a los usuarios que ingresen información sensible en un sitio web que parece legítimo.
Tipos de ataques más comunes de phishing:
Phishing por correo electrónico/spam: es la forma más común, donde los atacantes envían correos electrónicos engañosos masivos para conseguir que los usuarios accedan y de esta manera puedan robar su información.
Spear phishing: son ataques dirigidos a individuos o empresas específicas, a menudo personalizados para parecer más creíbles. Correos masivos que envían a la mayor cantidad de personas posibles dentro de una organización o empresa específica.
Whaling: se corresponde a un tipo de spear phishing que apunta a ejecutivos de alto nivel dentro de una organización.
Smishing: Phishing a través de mensajes de texto.
Vishing: Phishing por voz, donde los atacantes llaman a las víctimas para obtener información confidencial. Suelen llevar a cabo la estrategia a través de números privados o con más cifras de lo habitual, aunque con el tiempo este método ha ido evolucionando y pueden utilizar números habituales de 9 cifras.
Manipulación de enlaces: es la técnica mediante la cual el phisher envía un enlace a un sitio web malicioso.
Keyloggers: se refieren al malware utilizado para identificar entradas desde el teclado.
Inyección de contenido: es la técnica en la que el phisher cambia una parte del contenido en la página de un sitio web confiable. Esto se hace para engañar al usuario para que vaya a una página fuera del sitio web legítimo donde se le pide al usuario que ingrese información personal.
Una de las técnicas más utilizadas hoy en día es a través de los mensajes de texto en los que los phisher se hacen pasar por la Agencia Tributaria y los usuarios añaden sus datos creyendo que es una notificación de Hacienda y les solicitan sus datos para realizarles una devolución del dinero resultante en su declaración de la renta. Los usuarios acceden a la página web fraudulenta a través de un mensaje de texto o una notificación que contiene un link y añaden datos personales, en ese momento los hackers consiguen la información necesaria para perpetrar el robo de datos e informaciones personales.
Es necesario educar a los usuarios en ciberseguridad para que aprendan sobre cómo identificar estos ataques son fundamentales y de esta manera protegerse. Evitar ataques de phishing requiere una combinación de concienciación, buenas prácticas y el uso de herramientas de seguridad. Destacan algunas técnicas efectivas para proteger la información:
Aprender a identificar señales de phishing, como errores gramaticales, direcciones de correo inusuales y solicitudes de información urgente.
Verificar enlaces situado el cursor sobre la url indicada para comprobar que es real y de esta manera verificar que es legítima y al comienzo contiene https:// Es importante tener en cuenta que no se debe hacer clic en enlaces de correos sospechosos, en su lugar, se debe ingresar la dirección del sitio directamente en el navegador.
Uso de Autenticación en dos factores (2FA) con el objetivo de añadir una capa extra de seguridad, requiriendo una segunda forma de verificación además de la contraseña.
Mantener el software actualizado de manera regular tanto en los sistemas operativos, navegadores y aplicaciones. Esta labor puede ayudar a proteger los dispositivos contra vulnerabilidades.
Disponer de herramientas de seguridad como antivirus para mantener la seguridad de los dispositivos y que bloqueen las posibles amenazas recibidas. También es posible implementar filtros en el email que puedan identificar y bloquear correos electrónicos de phishing.
Revisar la configuración de la privacidad de las cuentas en redes sociales y otras plataformas públicas y privadas que puedan ser accesibles a otros usuarios.
Por último, es importante denunciar los ataques de phishing y reportar los correos sospechosos a tu proveedor de correo o a organizaciones de seguridad cibernética para poder ayudar a proteger la información de otros usuarios y combatir los ataques cibernéticos.
La clave fundamental para evitar robos de información personal es mantenerse alerta y crítico ante la información que se recibe y especialmente si parece inusual.
