:format(avif))
:format(avif))
¿Seguro que era tu banco el que te acaba de enviar un correo electrónico? ¿Crees que es seguro hacer clic en el enlace? ¿O estás a punto de convertirse en la última víctima de una estafa de phishing?
Índice:
El phishing o suplantación de identidad es un ataque creativo que se usa desde hace años para engañar a la gente. Si tiene éxito, puede poner tus datos y tu dinero en manos de delincuentes y llenar tus dispositivos de malware y virus.
A continuación, te explicamos cómo detectar este tipo de estafas y cómo protegerte de ellas.
¿Qué es el phishing?
Seguro que adivinas de dónde viene el nombre. La palabra «phishing» hace referencia a la forma en que se lleva a cabo la estafa: poniendo un cebo, atrayendo y engañando a la víctima. El delincuente es quien sujeta la caña y, como puedes imaginar, el pez eres tú.
Existen diferentes técnicas de phishing. Los métodos más frecuentes se valen del correo electrónico, aunque en los ataques más complejos, ese no es más que el principio.
Para que los correos de phishing funcionen, deben usar un buen disfraz. El delincuente se hará pasar por un contacto de confianza, un amigo o una empresa legítima. Para ello, redactará su mensaje con una línea de asunto llamativa y todos los elementos de un correo electrónico auténtico.
Tipos de phishing
Estos son tres de los tipos de phishing más habituales.
Extorsión directa
El ejemplo más famoso quizá sea la llamada «estafa del príncipe nigeriano». Consiste en que el delincuente inicia una conversación con la víctima hasta que consigue convencerla de que le transfiera dinero. Con frecuencia, el atacante se hace pasar por un rico extranjero y promete un pago cuantioso a cambio de una «pequeña» inversión económica.
En los últimos años, algunos delincuentes han empezado a abordar a los usuarios en las aplicaciones de citas. Tras ganarse la confianza de la víctima y convencerla que siente un verdadero interés por ella, el estafador suele inventarse una situación en la que necesita dinero urgentemente.
Por suerte, este tipo de estafas van siendo más conocidas, por lo que cada vez menos personas se dejan engañar.
Sitios web falsos
En algunas estafas de phishing, el primer correo electrónico no es más que el punto de partida para un delito más complejo.
La trampa es la misma que la del correo con un enlace peligroso, pero en este caso, el enlace lleva a las posibles víctimas a una página web diseñada expresamente por el delincuente. Esta página utiliza el mismo tema y el mismo disfraz que el correo electrónico. Si el estafador se hace pasar por tu banco y te pide que restablezcas tu contraseña, la página imitará los colores y el diseño de la web del banco.
Si finalmente introduces los datos que te solicitan (contraseñas o datos de la tarjeta), la información no se cifrará y el delincuente podrá verla.
Tipos de ataques de phishing
Los ataques de phishing adoptan distintas formas. La principal diferencia entre unas y otras es el medio por el cual se llevan a cabo. Estos son algunos de los tipos de ataques de phising más comunes.
Phishing por correo electrónico
El phishing por correo electrónico es posiblemente el tipo más común de phishing. Como su nombre indica, se lleva a cabo por correo electrónico. Por lo general, los delincuentes envían correos que imitan a remitentes auténticos para engañar a los usuarios incautos y que revelen datos confidenciales.
Spear phishing
La diferencia básica entre el spear phishing y otros tipos de ataques de phishing es que en un ataque de spear phishing, los malos actores se centran con gran precisión en un único objetivo. En la mayoría de los casos, dichos objetivos son personas u organizaciones concretas.
Whaling
El whalingo también llamado fraude del CEO, es un tipo de ataque que, al igual que el spear phishing, se centra en un único objetivo. La diferencia es que, normalmente, se dirige a ejecutivos de alto rango u otros altos cargos de la organización para conseguir acceso no autorizado a datos financieros confidenciales o a sistemas informáticos.
Vishing y smishing
La gran diferencia entre ambos Vishing y smishing de otros tipos de ataques de phishing es que ambos se limitan al teléfono de la víctima potencial. El vishing se refiere al phishing por voz. Son las típicas llamadas fraudulentas haciéndose pasar por un banco u ofreciendo lucrativas oportunidades de inversión. El smishing, por otro lado, se realiza exclusivamente mediante mensajes de texto, pero el objetivo del ataque y la forma en que está diseñado son muy similares al phishing normal por correo electrónico.
Aumenta tu seguridad en Internet
Almacena y gestiona tus objetos de valor digitales de forma segura
Empieza la prueba gratisEstadísticas relativas al phishing
Actualmente, los ataques de phishing se cuentan entre los ciberdelitos más frecuentes y peligrosos a los que se enfrentan a diario las empresas y los particulares.
Un estudio reciente de ESET descubrió un aumento del 7,3 % en los ataques de phishing por correo electrónico entre mayo y agosto de 2021. Otro estudio, realizado por IBM, descubrió un aumento del 2 % en dichos ataques entre 2019 y 2020. El informe de Verizon sobre filtraciones de datos de 2021 señaló que los ataques de phishing están implicados de un modo u otro en cerca del 36 % de todas las filtraciones.
A lo largo de los años, los ataques de phishing no solo se han hecho cada vez más frecuentes, sino también más sofisticados. Aunque los investigadores de Tessian descubrieron que el 76 % de los correos electrónicos de phishing no contenían archivos adjuntos maliciosos, el Informe sobre ciberamenazas de SonicWall de 2021 descubrió un fuerte aumento del número de archivos PDF y Microsoft Office maliciosos entre 2018 y 2020. Probablemente, este aumento se debe a que la mayoría de las personas tienden a confiar en esos tipos de documentos. Esta confianza se refleja en el hecho de que Microsoft es una de las marcas más suplantadas según Check Point, que descubrió que hasta el 43 % de los correos electrónicos falsos suplantaron la identidad del gigante tecnológico. Otras organizaciones por las que suelen hacerse pasar los estafadores son DHL, Amazon y LinkedIn.
Según el informe de Verizon, en la mayoría de los casos de phishing, los tipos de datos más robados son las credenciales (contraseñas, PIN, nombres de usuario) y datos personales como nombres, direcciones de correo e información médica, incluidas reclamaciones a seguros y números de la seguridad social. El informe también señala que las pérdidas ocasionadas por un correo de empresa comprometido ascienden a 30 000 $ de media.
Los informes de Cisco sobre tendencias en cuanto a amenazas de ciberseguridad de 2021 analizaron los sectores que sufren más ataques de phishing y concluyeron que el principal objetivo es el sector de los servicios financieros. Otros sectores a los que se suelen dirigir los ataques son el comercio al por menor, la fabricación, alimentación y bebidas, investigación y desarrollo y tecnología.
¿Qué señales delatan un intento de phishing?
Una gran parte de las estafas de phishing intentan aprovecharse del sentimiento de miedo. Normalmente, un correo electrónico de phishing informará a los usuarios de que se ha producido algún tipo de problema con su cuenta. Para resolver el falso problema, se suele pedir al usuario que haga clic en un enlace malicioso o descargue un archivo adjunto. En consecuencia, es normal que la mayoría de estos correos expresen una sensación de urgencia en el asunto.
Los atacantes también se centran en crear dominios que pueden ser muy similares al dominio de una marca fiable. Los malos actores incluirán logotipos de marca para engañar aún más a los usuarios desprevenidos.
Cómo detectar el phishing
Existen varias señales de advertencia que permiten identificar si un correo es de phishing.
Lo primero en lo que debes fijarte es si el mensaje utiliza tu nombre o no. Si se dirige a ti con expresiones como «estimado cliente» o «a quien corresponda», ten cuidado.
Con frecuencia, los estafadores envían una gran cantidad de mensajes idénticos sin dirigirse a personas concretas. Si fuera una empresa de verdad la que te ha escrito, lo normal es que supiera cómo te llamas.
El lenguaje que se utilice en los correos electrónicos de phishing también puede ser un gran delator. Presta atención a los giros extraños, las faltas gramaticales o los errores ortográficos evidentes. Un mensaje auténtico de tu banco no contendría ese tipo de errores.
Por supuesto, la dirección del remitente también es importante. Comprueba si parece legítima. En caso de duda, compárala con la de otros correos que hayas recibido de esa organización.
Por último, ten cuidado si el mensaje expresa sensación de urgencia. Si te exigen dinero o te presionan para que hagas clic en un enlace «antes de que sea demasiado tarde», no es buena señal. A menudo, los delincuentes intentan que la víctima se asuste o que actúe de forma precipitada, sin pararse a examinar el correo más detenidamente.
¿Y si haces clic en un enlace de phishing o descargas un archivo adjunto malicioso?
Si picas en este tipo de estafa, es casi seguro que los estafadores informarán a otros de que el ataque ha tenido éxito en tu caso. En consecuencia, es muy probable que empieces a recibir todavía más ataques de phishing.
Además, si eres víctima del phishing, podrías perder datos personales como tu nombre, dirección, teléfono y otros datos que te identifiquen personalmente, lo que podría ocasionar todavía más problemas, como el robo de identidad.
Si el ataque de phishing se dirige a una empresa y tiene éxito, podría provocar una fuga masiva de datos, lo que hoy en día podría suponer perfectamente el fin de la empresa en cuestión.
Cómo evitar el phishing
Piensa y no te precipites.
Esto es fundamental. Nunca te apresures al leer un correo electrónico y sigas sus instrucciones sin más. ¿Alguien te insta a seguir inmediatamente un enlace para cobrar un premio? ¿Te dicen que vayas a un sitio web para cambiar tus contraseñas lo antes posible? Para un momento y, antes de hacer nada, comprueba que el correo sea auténtico.
No sigas los enlaces directamente.
La mayoría de los correos electrónicos de phishing te pedirán que hagas clic en un enlace. Eso podría abrir la puerta al malware, los virus y el ransomware. Para evitar este problema, no hagas clic nunca en los enlaces que aparecen en los correos, salvo que procedan de un remitente verificado y de confianza.
En caso de duda, abre una pestaña nueva y accede a la página real de la empresa. Para asegurarte del todo, puedes incluso escribir o llamar directamente a la organización y preguntarles si te han enviado alguna comunicación recientemente.
No confíes ciegamente en los filtros antispam.
Tu correo electrónico filtra el spam y los mensajes no deseados y los envía a una carpeta aparte para borrarlos más tarde, pero no siempre acierta. No des por hecho que un mensaje es automáticamente seguro solo porque haya pasado los filtros. Este tipo de errores suceden constantemente, así que ten cuidado.
Pregúntate si has tenido contacto previo con el remitente.
Si un banco del que no eres cliente te envía un correo pidiéndote que inicies sesión en tu cuenta mediante un enlace que aparece en el propio mensaje, es seguro que se trata de una estafa. La mayoría de los correos de phishing se envían con la esperanza de que hagas clic en el enlace sin pensar. Pregúntate si realmente tienes una cuenta o alguna relación con la empresa que el remitente dice representar. Si la respuesta es no, ignora el mensaje o bórralo.
En resumen
Los correos de phishing pueden ser muy efectivos y son una de las estafas más antiguas que existen en internet. La mejor defensa contra ellos es mantener la precaución y algo de sentido común.