Todos hemos escuchado, conocemos a alguien o hemos sido nosotros mismos víctimas de un engaño por internet. A este tipo de estafas se les conoce como phishing y son consideradas un ciberdelito. Este artículo de VIRMAR Ciberseguridad te servirá para aprender a detectar este tipo de estafas y qué hacer para proteger tu información y tu dinero de los ciberdelincuentes.

¿Qué es el phishing?

El phishing es un ciberdelito que consiste en engañar a un usuario para obtener sus contraseñas, que se realicen pagos o que se entregue todo tipo de información. 

A través de identidades falsas, promociones, advertencias y anuncios personalizados en correos electrónicos, mensajes de texto o sitios web, los phishers, es decir, quienes cometen la estafa, logran que miles de usuarios compartan sus datos todos los días.

¿Cómo es un ataque de phishing?

Esta forma de ciberataque es una de las más comunes, varía en forma y representa una amenaza tanto para los individuos como para gobiernos y corporaciones de todos los tamaños. 

Un ataque de phishing involucra a un phisher (el agente ejecutor de la estafa), una víctima (el usuario engañado) y un anzuelo, es decir, el mensaje falso que convence al usuario de hacer clic, contestar, “rellenar” sus datos, hacer un pago o conceder el tipo de acceso que el phisher busca.

Tipos de ataques de phishing

Los ataques de phishing varían en su complejidad y enfoque. Los principales tipos incluyen:

• Email phishing: Impersonal y masivo, dirigido a múltiples destinatarios con el objetivo de capturar datos confidenciales.
• Spear phishing: Personalizado y dirigido, apunta específicamente a individuos o empresas.
• Whaling: Una forma de spear phishing dirigido a ejecutivos de alto nivel.
• Smishing y vishing: Phishing 
• a través de SMS o llamadas telefónicas, respectivamente.Tácticas comunes de engaño

Los estafadores emplean varias tácticas para realizar ataques de phishing efectivos:

1. Mensajes urgentes: Crean un sentido de urgencia para provocar respuestas rápidas.
2. Imitación de entidades confiables: Suplantan a organizaciones legítimas para parecer auténticos.
3. Enlaces maliciosos: Incluyen enlaces que llevan a páginas de inicio de sesión falsas.
4. Adjuntos infectados: Distribuyen malware a través de archivos adjuntos que parecen inofensivos.

El impacto del phishing en individuos y empresas

El phishing puede tener consecuencias problemáticas para los usuarios:

• Para individuos: Pérdida de datos personales, financieros y de identidad.
• Para empresas: Compromisos de datos confidenciales, pérdidas financieras y daños reputacionales.

Las organizaciones deben implementar medidas proactivas para protegerse contra estos ataques y educar a sus empleados sobre las prácticas de seguridad informática.

Identificación de un intento de phishing

Reconocer un intento de phishing es clave para la seguridad en línea. Esta sección desglosa cómo identificar señales y analizar correos electrónicos para evitar ser víctima de estos engaños.

Señales reveladoras de phishing

Los intentos de phishing a menudo contienen indicadores claves que los diferencian de las comunicaciones legítimas. Los individuos deben estar atentos a:

• Urgencia: Mensajes que presionan con un sentido de urgencia y requieren una acción inmediata.
• Errores de ortografía y gramática: Un correo electrónico auténtico probablemente tenga un nivel de redacción profesional sin errores de ortografía ni gramaticales.
• Remitente sospechoso: La dirección del remitente no coincide con la organización oficial o contiene caracteres extraños.
• Hyperlinks dudosos: Al pasar el cursor sobre un hipervínculo, la URL mostrada no coincide con el sitio web de la entidad legítima.
• Anexos inesperados: Adjuntos que no fueron anunciados previamente o que parecen irrelevantes para el contacto establecido.

Procedimientos para protegerse del phishing

Es fundamental adoptar medidas proactivas y utilizar herramientas especializadas para salvaguardarse efectivamente contra amenazas de phishing.

Mejores prácticas de seguridad

Una de las formas más efectivas de protegerse contra el phishing es la educación sobre las mejores prácticas de seguridad. 

• Contraseñas fuertes: Utilice contraseñas únicas y complejas para cada cuenta. Es recomendable cambiarlas periódicamente y nunca reutilizar una contraseña en múltiples sitios.
• Autenticación de múltiples factores: Active la autenticación de múltiples factores en todos los servicios que lo permitan para agregar una capa adicional de seguridad a las credenciales de inicio de sesión.

Herramientas y software anti-phishing

El software de seguridad y las herramientas anti-phishing son esenciales para proteger las computadoras y dispositivos móviles de intentos de phishing. Estos programas pueden identificar y bloquear sitios web y emails maliciosos antes de que causen daño.

• Filtros de spam: Implemente filtros de spam para ayudar a reducir la cantidad de correos electrónicos de phishing que llegan a la bandeja de entrada.
• Software anti-phishing: Instale herramientas recomendadas por el Anti-Phishing Working Group (sitio web en inglés) o proveedores confiables. Mantenga al día estas herramientas para asegurarse de que cuentan con las últimas actualizaciones de seguridad y definiciones de virus.

Educación y conciencia sobre el phishing

La capacitación efectiva y la promoción de una cultura de conciencia son los pilares esenciales en la lucha contra el phishing que amenaza la seguridad de la información personal y corporativa.

Programas de formación en ciberseguridad

Los programas de formación en ciberseguridad son vitales para que los empleados de una organización reconozcan y eviten ataques de phishing. Estos programas deben incluir simulacros de phishing, donde se envían emails ficticios para medir la respuesta de los trabajadores y enseñarles a identificar señales de correos fraudulentos. 

La formación continua asegura que todos, desde ejecutivos hasta compañeros de trabajo, se mantengan actualizados sobre las últimas tácticas de ingeniería social empleadas por los ciberdelincuentes. Las entidades financieras, como bancos e instituciones financieras, deben priorizar esta formación, ya que son blancos habituales de estos ataques.

• Componentes claves de programas efectivos:
  • Simulaciones periódicas de phishing
  • Sesiones de formación actualizadas
  • Uso de herramientas de comunicación para reforzar mensajes de seguridad

Construyendo una cultura de conciencia de seguridad

Construir una cultura de conciencia de seguridad es fundamental para que los empleados adopten prácticas confiables y seguras. Esto comienza con el compromiso desde la alta dirección e implica la comunicación clara y constante de políticas y prácticas de seguridad. 

La promoción de un ambiente en el que los compañeros de trabajo se sientan cómodos reportando posibles amenazas y compartiendo información sobre sospechas de phishing contribuye a una red de seguridad más robusta. En esta cultura de transparencia y diligencia, se desalienta el descuido y se promueve un ambiente de confianza mutua y responsabilidad.

• Ejemplos de prácticas para promover la conciencia:
  • Incentivos para reportar correos sospechosos
  • Comunicados regulares sobre seguridad de la información

Preguntas frecuentes

¿Cuál es la historia del phishing?

Este método de ciberataque es de los más antiguos, entre sus orígenes están las estafas telefónicas, que aunque posiblemente sean tan remotas como la popularización del teléfono, tuvieron un auge en las décadas de los 80’s y 90’s, que es a su vez la época en la que se acuñó el término phishing.

Phishing tiene dos principales raíces. Fishing es la palabra en inglés para pescar, este término hace alusión a una metáfora en donde el estafador, el phiser, el pescador, lanza una carnada, el mensaje: una alerta, una gran oferta, un mensaje personalizado, al océano, la web, y espera a ver quién muerde el anzuelo.

Por otro lado, el prefijo ‘ph’ que sustituye a la ‘f’, éste refiere precisamente a las estafas telefónicas, que a mediados del siglo pasado se conocían como ‘phone phreaking’.

¿Cómo puedo identificar un intento de phishing?

Para reconocer un intento de phishing, los usuarios deben estar atentos a correos electrónicos o mensajes que solicitan información personal, contienen enlaces o archivos adjuntos sospechosos, tienen errores ortográficos o direcciones de remitente inusuales. La urgencia inesperada o la oferta de incentivos también pueden ser signos de alerta.

¿Cuáles son los tipos más comunes de ataques de phishing?

Los ataques de phishing más comunes incluyen el phishing por correo electrónico, donde se envían mensajes masivos intentando engañar a los destinatarios; el vishing, que implica llamadas telefónicas fraudulentas; y el smishing, que utiliza SMS. También está el spear phishing, enfocado en individuos o empresas específicas, y el whaling, que se dirige a ejecutivos de alto nivel.

¿Qué medidas puedo tomar para protegerme del phishing?

Para protegerse del phishing, los individuos deben usar programas de seguridad actualizados, ser escépticos ante solicitudes de información personal y verificar la autenticidad de las comunicaciones recibidas. Además, es prudente no hacer clic en enlaces sospechosos y usar la autenticación de dos factores siempre que sea posible.

¿Cómo se diferencia el spear phishing de otros tipos de phishing?

El spear phishing difiere de otras formas de phishing en que es un ataque dirigido y personalizado a un individuo o empresa específica. Los atacantes realizan una investigación detallada sobre sus objetivos para hacer que los mensajes sean más convincentes y aumentar la probabilidad de éxito.

¿Qué acciones debo tomar si he sido víctima de un ataque de phishing?

Si uno ha sido víctima de phishing, debe cambiar inmediatamente las contraseñas de las cuentas afectadas y contactar a las instituciones financieras correspondientes. También es crucial informar del incidente a las autoridades locales y utilizar herramientas de protección de identidad para prevenir el fraude futuro.

¿Cómo afecta el phishing a la seguridad en dispositivos móviles?

El phishing puede comprometer significativamente la seguridad en dispositivos móviles ya que estos suelen estar conectados constantemente a Internet y contienen información personal sensible. Los ataques pueden venir a través de aplicaciones maliciosas, SMS (smishing) o correos electrónicos de phishing diseñados para pantallas más pequeñas.