Por Ángel O. Delgado Meléndez / info@salaurbana.com
Los ataques de phishing son correos electrónicos fraudulentos, mensajes de texto, realiza llamadas telefónicas o expone sitios web diseñados para engañar a los usuarios con el fin de compartir información confidencial o datos personales como por ejemplo seguridad social, números de tarjetas de crédito, números de cuenta bancaria, credenciales de inicio de sesión (user y password) u otras acciones que les expongan.
Como ocurre en la pesca, existe más de una forma de atrapar a una víctima, pero hay una táctica de phishing que es la más común. Las víctimas reciben un mensaje de correo electrónico o un mensaje de texto que imita o suplanta la identidad de una persona u organización de confianza, como un compañero de trabajo, un banco o una oficina gubernamental. Cuando la víctima abre el correo electrónico o el mensaje de texto, encuentra un mensaje pensado para asustarle, con la intención de debilitar su buen juicio al infundirle miedo. El mensaje exige que la víctima vaya a un sitio web y actúe de inmediato o tendrá que afrontar alguna consecuencia. Al usuario hacer clic en el enlace, se le envía a un sitio web que es una imitación del legítimo. A partir de aquí, se le pide que se registre con sus credenciales de nombre de usuario y contraseña. Si es lo suficientemente ingenuo y lo hace, la información de inicio de sesión llega al atacante, que la utiliza para robar identidades, saquear cuentas bancarias, y vender información personal en el mercado negro.
El éxito de los ataques de phishing suele dar lugar a robos de identidad, fraudes con tarjetas de crédito, ataques de ransomware, filtraciones de datos y enormes pérdidas económicas para particulares y empresas.
El phishing es el tipo más común de ingeniería social, la práctica de engañar, presionar o manipular a las personas para enviar información o activos a las personas equivocadas. Los ataques de ingeniería social se basan en el error humano y en tácticas de presión para tener éxito. El agresor suele hacerse pasar por una persona u organización en la que la víctima confía, por ejemplo, un compañero de trabajo, un jefe, una empresa con la que la víctima o su empleador hacen negocios, y crea una sensación de urgencia que lleva a la víctima a actuar precipitadamente. Los hackers y los estafadores utilizan estas tácticas porque es más fácil y menos costoso engañar a la gente que piratear un ordenador o una red.
Los ciberdelincuentes hacen todo lo posible para que el correo electrónico de phishing parezca legítimo. Por lo general, incluyen el logotipo del remitente suplantado en el correo electrónico y enmascaran la dirección de correo electrónico del remitente para incluir el nombre de dominio suplantado; algunos incluso falsificarán el nombre de dominio del remitente.g., utilizando 'rnicrosoft.com' en lugar de 'microsoft.com', para parecen reales de un vistazo.
A diferencia de otros tipos de amenazas de Internet, el phishing no requiere conocimientos técnicos especialmente sofisticados. De hecho, según Adam Kujawa, Director de Malwarebytes Labs, “el phishing es la forma más sencilla de ciberataque y, al mismo tiempo, la más peligrosa y efectiva. Eso se debe a que ataca el ordenador más vulnerable y potente del planeta: la mente humana”. En la mayoría de los casos, el eslabón más débil en un sistema de seguridad no es un fallo oculto en el código informático, sino una persona que no comprueba la procedencia de un correo electrónico.
Cómo protegerte del phishing
Revisa detenidamente el remitente del correo para comprobar si es el oficial o si, por el contrario, contiene palabras o caracteres extraños que no se corresponden con la compañía que dice ser.
No pulses en ningún enlace ni descargues archivos adjuntos si el correo te resulta sospechoso o alarmante.
Por regla general, ninguna compañía u organismo público te va a solicitar información personal o sensible a través de un enlace incluido en un email. Mantente alerta ante peticiones de este tipo y no la proporciones.
Mantén actualizados el sistema operativo, el navegador y las aplicaciones de tus dispositivos.
Descarga las aplicaciones desde mercados y repositorios oficiales, no lo hagas desde enlaces incluidos en este tipo de comunicaciones.
Quédate en AppLab donde te mantendremos informados sobre las técnicas y métodos más utilizados por los atacantes. Protege tus datos, protege tu privacidad.
Comments