Aunque no todos conocemos qué es un ataque de phishing, seguro que has escuchado algo sobre él. Si tienes algún conocido al que le hayan engañado para compartir una contraseña, información sensible o un número de tarjeta haciéndose pasar por un organismo o institución reputada en un mensaje de correo o llamada, significa que no ha podido evitar el phishing. En la mayoría de los casos, estaríamos hablando de una estafa de correo electrónico o SMS por Internet.
Sigue leyendo, en este artículo te explicaremos de qué se trata este tipo de estafa y algunos consejos para evitar el phishing.
¿Qué es el phishing?
El phishing es un método de engaño o estafa que tiene como objetivo obtener datos privados de terceros a través de internet para poder acceder a sus cuentas o datos bancarios. Aunque existen diferentes métodos, hay un patrón que se repite mucho. Normalmente las víctimas reciben un correo o un mensaje en el móvil que suplanta la identidad de una persona o institución.
El procedimiento comienza cuando alguien abre ese correo o SMS y hace clic en el enlace del sitio web del mensaje. Normalmente, el texto de los mensajes está hecho con el objetivo de infundir miedo en las víctimas, incentivando a que la única solución de resolver X problema sea entrando en la web y dando tus datos. Una vez el usuario está dentro, no nota nada raro, ya que esta página web será una copia (normalmente exacta) del organismo al que ha suplantado.
La estafa acaba cuando el usuario pica el anzuelo registrando sus credenciales o dando sus datos. Esta información llega al atacante y puede utilizarse para robar dinero de sus cuentas bancarias o vender información personal al mercado negro.
El phishing es una de las formas de ataque en Internet más efectivas
Quizá el ataque de phishing no sea la forma más sofisticada de estafa en Internet, pero sí una de las más peligrosas. Los atacantes tienen como objetivo engañar directamente al usuario y no necesitan encontrar ninguna vulnerabilidad técnica. Por ese motivo, el perfil del delincuente no es el de un gran hacker, sino el de alguien que se las sabe ingeniar para engañar a terceros mediante un simple correo o mensaje de texto.
Tanto particulares como empresas pueden ser víctimas del phishing, por ese motivo es importante que todos los negocios revisen si toman las medidas para evitar ciberataques de este tipo.
¿Cómo evitar el phishing?
Lógicamente, si queremos evitar o prevenir el phishing, debemos identificar cuándo nos están intentando engañar. No siempre es fácil, por eso desde Einatec queremos darte algunos consejos para evitar el phishing para que tengas en cuenta en tu día a día y no piques el anzuelo.
En primer lugar, debemos confiar en nuestra intuición y sentido común, pero eso no siempre es suficiente ya que detrás de este tipo de ciberataque hay una estafa muy bien preparada.
Cómo identificar un ataque de phishing
- Antes de nada, el primer paso es identificar el remitente. ¿Lo conoces? ¿Normalmente sueles comunicarte con él? Si no intercambias normalmente mensajes con este usuario, debes ir con ojo, podría ser una estafa por correo electrónico.
- Identifica la tipología del mensaje. Si la intención de dicha comunicación es que realices una acción mediante una amenaza o un mensaje aterrador, cuidado. A veces son textos en los que se utiliza un ‘lenguaje alarmista’, con el objetivo de que hagas clic a un enlace.
- Nunca una organización responsable no solicita detalles personales a través de internet. Si recibes un correo así de una supuesta organización, bórralo, podría ser un ataque de phishing.
- Averigua si el mensaje o correo contiene enlaces sospechosos.
- Huye de los errores ortográficos, es un signo de suplantación.
Consejos para evitar el phishing
Te hemos dado las claves para intentar evitar ataques de phishing, aun y así, siempre estamos sujetos a ser engañados. Por ese motivo, te aconsejamos que sigas estos consejos para evitar el phishing:
- No abras todos tus correos electrónicos. Solo los de aquellos remitentes que te sean familiares.
- Identifica dónde te va a llevar una URLantes de hacer clic en ella.
- Verifica la seguridad de la web. Comprueba que la web de destino cuenta con un Certificado SSL y que la URL comience por «HTTPS» y no por HTTP.
- Pasa siempre el cursor del ratón por encima de un link para comprobar la dirección de la web.
- Utiliza algun software que refuerce tu seguridad ante algún posible malware. Detectará, en la mayoría de los casos, cuando un link o archivo no es lo que parece.
- Comprueba si funciona el menú de la página.
- Utiliza el sentido común. Si un mensaje te parece sospechoso, seguramente sea una estafa por Internet, a través de correo electrónico o SMS.
Como habrás deducido, lo principal para evitar y prevenir el phishing es ser prudente. Desde Einatec queremos hacer hincapié en la importancia de contar con un buen antivirus que detecte y bloquee los ataques de phishing. Por otro lado, recuerda tener actualizado siempre tu sistema operativo y los navegadores web que utilices.
Tipos de phishing
Este ataque de ‘ingeniería social’ puede efectuarse de diferentes modos, y alguno sobre todo en función del objetivo del atacante. Encontramos estos tipos de phishing:
Spear phishing | Se trata de una estafa por correo electrónico en el que el hacker se centra en un usuario en concreto y busca conseguir información confidencial de la víctima. |
Whailing | Ataques de phishing dirigidos a CEO o a directivos de una empresa concreta. Normalmente se trata de un correo electrónico que alarma de un problema de la empresa con consecuencias legales. Para obtener la información, te indican que hagas clic en un link que pide que introduzcas información y los datos bancarios de la empresa. |
Smishing | Mensajes y SMS que contienen un enlace para hacer clic o devolver una llamada. A veces se hacen pasar por un banco diciendo que tu cuenta ha sido comprometida, pidiéndote que verifiques la cuenta y alguna otra información adicional. Puedes evitar el phishing pidiendo que demuestren que son tu banco. |
Vishing | Llamada de voz de alquien que se presenta como un representante de un servicio, por ejemplo Microsoft. Te informan de que se ha detectado un virus en tu ordenador y te piden información de tu tarjeta para poder instalar un antivirus en tu pc. Pueden instalarte un malware, el cual podrá robarte información sensible. |
Phishing por email | La estafa se efectua mediante correo y es el más utilizado. El objetivo es que hagas clic a un enlace con algún tipo de mensaje alarmante. Son ataques normalmente fáciles de detectar debido a faltas de ortografías. |
Phishing en un motor de búsqueda | También se conocen como envenenamiento SEO o troyanos SEO y se producen cuando un atacante trabaja para ser el principal resultado en una búsqueda web. Cuando un usuario hace clic, le redirige hacia la página del hacker. Si introduces tus datos allí, te los robarán. |
Diferencia entre ataque de phishing y ransomware
Tanto los ataques de phishing como los de ransomware son amenazas de ciberseguridad que llegan por correo e incluso uno de phishing puede acabar en ransomware. Pero, ¿cual es exactamente la diferencia?
Aunque ambos ataques puedan llegar al usuario de la misma manera, no obtienen un beneficio usando los mismos métodos. La principal diferencia entre phishing y ransomware es que el primero intenta obtener tus datos de acceso y el segundo es una estafa por correo electrónico que tiene el objetivo de pedirte un rescate. ¿Cómo? Adjuntando un archivo que nunca debes descargar. En ambos casos es igual de dificil evitar el phishing que el ramsomware.
El ataque de ramsomware
El ransomware puede llegar de la misma forma que el phishing pero en ese correo se solicita una descarga de un archivo anexo, un PDF, por ejemplo. Cuando un usuario lo descarga, se inicia un proceso que bloquea todos los archivos del equipo.
La mayoría de ataques de ramsomware se propagan a través de sistemas de archivos compartidos. Esto hace que se bloqueen diferentes dispositivos de una misma organización.
El hacker programa un aviso en pantalla, el cual aparece cuando intentas abrir alguno de los archivos. Este aviso pide dinero a cambio de que todo vuelva a la normalidad. Promete una clave a cambio, que «en teoría» desbloquearía todos los archivos. Normalmente hablamos de un pago en criptomonedas, para que no se pueda rastrear el dinero.
En muchos casos, aunque las víctimas paguen, hay un segundo ataque en el que se pide un segundo rescate.
Es importante contar con un backup fuera de tu infraestructura para poder recuperar una copia de seguridad sin necesidad de ceder ante un ataque de este tipo. Si no cuentas con una, podemos ayudarte.
Te asesoramos para evitar el phishing y otros ciberataques
En Einatec somos expertos en todo tipo de servicios IT y contamos con perfiles profesionales que pondrán todas las medidas para evitar cualquier ciberataque o problema informático.
Además de darte consejos para evitar el phishing, podemos asesorarte sobre las mejores soluciones de ciberseguridad.