omar medidas preventivas contra el phishing ahora es crucial, ya que cada vez más delincuentes realizan estafas en línea para robar tu información personal. Aprendimos a eludir los correos electrónicos de spam, pero los de phishing pueden tener apariencias creíbles gracias a algunos engaños. Algunos incluso están especialmente personalizados para ti.
Dado que es probable que te expongas a un ataque de phishing en algún momento, es necesario que conozcas las señales a las que debes prestar atención. Porque las estafas no son una novedad en la Web, pero distinguir el phishing es más difícil de lo que crees.
En toda la Web, los ataques de phishing atormentaron a víctimas que no sospechaban lo que ocurría y terminaron entregando datos bancarios, números de seguridad social y mucha otra información. Además, los ciberdelincuentes demuestran mucha más destreza al tramar sus engaños. En algunos casos, estas estafas se ocultan detrás de voces que conoces y en las que confías, como las de colegas, tu banco o incluso una agencia gubernamental.
Con tan solo hacer clic en un vínculo, podrías convertirte en la próxima víctima de un estafador.
A lo largo del artículo, presentaremos algunas formas de evitar este tipo de ataque en línea y cómo puedes proteger tus dispositivos.
El phishing te convence para que realices alguna acción que le permitirá al estafador acceder a tu dispositivo, tus cuentas o tu información personal. Haciéndose pasar por una persona u organización en la que confías, puede infectar tu dispositivo con un malware o robar los datos de tu tarjeta de crédito con mayor facilidad.
En otras palabras, estas estrategias de ingeniería social te "seducen" para que confíes y brindes información valiosa. Podría ser cualquier dato, desde tu nombre de usuario en una red social hasta tu identidad completa a través de tu número de seguridad social.
Es posible que estas estrategias insistan para que abras un archivo adjunto, hagas clic en un vínculo, completes un formulario o respondas y brindes tu información personal. Teniendo esto en cuenta, siempre debes estar alerta, lo que puede resultar agotador.
La situación más común es la siguiente:
Estas amenazas pueden llegar a ser muy elaboradas y aparecen en todo tipo de comunicaciones, incluso llamadas. El peligro del phishing es que puede engañar a cualquier persona que no dude de los más mínimos detalles.
Para ayudarte a protegerte, vamos a analizar cómo funcionan los ataques de phishing.
Cualquier persona que use Internet o un teléfono puede ser objetivo de las estafas de phishing.
Por lo general, las estafas de phishing intentan lo siguiente:
A veces, estas amenazas no terminan contigo. Si un hacker accede a tu correo electrónico, lista de contactos o cuenta de redes sociales, puede enviar correos no deseados a las personas que conoces con mensajes de phishing haciéndose pasar por ti.
La confianza y la urgencia es lo que hace que el phishing sea tan traicionero y peligroso. Si un delincuente logra que confíes y actúes antes de pensar, eres un objetivo fácil.
El phishing puede afectar a cualquier persona, sin importar la edad, en su vida personal o laboral.
Hoy en día, todas las personas, desde las más jóvenes hasta los adultos mayores, usan dispositivos con Internet. Si un estafador puede encontrar tu información de contacto en el ámbito público, la agregará a su lista de objetivos.
Actualmente, es difícil ocultar tu número telefónico, dirección de correo electrónico, identificadores de mensajes en línea y cuentas de redes sociales. Es por eso que existe una alta probabilidad de que si el hacker tiene tan solo uno de estos datos puedas convertirte en una víctima.
Además, los ataques de phishing pueden ser muy abarcadores o sumamente específicos según las personas elegidas.
El phishing de spam es como una gran red lanzada para atrapar a cualquier persona que no sea consciente del peligro. La mayoría de los ataques de phishing entran en esta categoría.
Para explicarlo, el spam es el equivalente electrónico del "correo basura" que pasa por debajo de tu puerta o llega a tu buzón. Sin embargo, el spam es más que algo molesto. Puede ser peligroso, en particular si forma parte de una estafa de phishing.
Los mensajes de phishing de spam son enviados masivamente por estafadores y ciberdelincuentes que tienen uno de los siguientes objetivos:
El phishing de spam es uno de los medios más usuales que tienen los estafadores para conseguir tu información. Sin embargo, algunos ataques son más selectivos que otros.
En general, los ataques de phishing selectivo hacen referencia al spear phishing o a su variante menos común, el whaling.
El whaling está dirigido a objetivos de alto perfil, mientras que el spear phishing amplía la superficie de ataque. Los objetivos suelen ser empleados de empresas específicas u organizaciones gubernamentales. De todos modos, estas estafas pueden dirigirse fácilmente a cualquier persona que pueda parecer valiosa o vulnerable.
Es posible que te conviertas en objetivo porque eres cliente de un banco que los estafadores tienen en la mira o empleado de una institución de salud. El solo hecho de responder una solicitud de amistad de una persona desconocida en una red social puede convertirte en una víctima del phishing.
En un ataque de phishing de este tipo, los estafadores son mucho más pacientes. La elaboración de estas estafas personalizadas demanda tiempo, ya sea potencialmente en busca de una recompensa o para aumentar las probabilidades de éxito.
Diseñar estos ataques podría implicar recopilar datos sobre ti o sobre la organización a la que perteneces.
Estos estafadores podrían obtener información de las siguientes fuentes:
El ataque puede ser rápido en un intento por impulsarte a que actúes. O también podría desarrollar una relación contigo durante meses para ganarse tu confianza antes de pedirte un "gran favor".
Estos ataques no se limitan a llamadas o mensajes directos; es posible que sitios web legítimos sean víctimas de un acto de hacking para beneficio de un estafador. Si no tienes cuidado, podrías convertirte en víctima del phishing con tan solo iniciar sesión en un sitio que en general es seguro.
Lamentablemente, parece que muchas personas son objetivos convenientes de estos delincuentes. El phishing se convirtió en la nueva normalidad dado que estos ataques son cada vez más frecuentes.
El primer obstáculo es comprender qué esperar del phishing. Podría provenir de diversos medios, que incluyen mensajes de texto y llamadas, e incluso direcciones URL secuestradas de sitios web legítimos.
Es mucho más sencillo comprender qué es el phishing cuando lo ves en acción. Seguramente presenciaste algunas de estas estafas y solo las apartaste como si fueran spam.
Sin importar cómo te hayan seleccionado, los ataques de phishing pueden tomar diversos caminos hacia ti y es posible que la mayoría de las personas experimenten al menos una de estas formas de phishing:
En otros casos, los sitios web legítimos podrían manipularse o imitarse mediante las siguientes tácticas:
Incluso podrían poner en riesgo tu conexión a Internet los ataques del gemelo malvado, que imitan redes Wi-Fi públicas oficiales en sitios como cafeterías y aeropuertos. El objetivo es lograr que te conectes para poder escuchar toda tu actividad en línea.
En último lugar, estos son algunos tipos de phishing adicionales a los que tendrías que estar alerta:
La realidad es que la lista de tipos de ataques de phishing es muy extensa y está en constante expansión. Estos son algunos de los más comunes al momento, pero es posible que aparezcan nuevos en los próximos meses.
Dado que estas estafas evolucionan con rapidez para amoldarse a los acontecimientos actuales, es difícil detectarlas. Sin embargo, existen formas de protegerte y estar alerta frente a las estafas más recientes es una forma sencilla de comenzar.
Aunque sería poco práctico e imposible enumerar aquí todas las estafas de phishing, te traemos algunas de las más comunes para que estés alerta:
Las estafas de phishing de ciberataque de Irán utilizan un correo electrónico ilegítimo de Microsoft y solicitan que inicies sesión para restaurar tus datos en un intento por robar tus credenciales de Microsoft. Los estafadores aprovechan tu miedo a quedarte sin Windows y la relevancia de una noticia actual para que parezca creíble.
Las alertas de eliminación de Office 365 son otra estafa relacionada con Microsoft que se utiliza para obtener tus credenciales. Esta estafa por correo electrónico asegura que se eliminaron muchos archivos de tu cuenta y te envían un vínculo para que inicies sesión, lo que por supuesto provoca que tu cuenta se ponga en riesgo.
Aviso del banco. Esta estafa te engaña mediante una notificación falsa sobre tu cuenta. En general, en estos correos electrónicos encontrarás un conveniente vínculo que te redirige a un formulario web en el que debes brindar tus datos bancarios para "verificarlos". No brindes tus datos. En su lugar, llama a tu banco, ya que de seguro querrán actuar frente a estos correos electrónicos maliciosos.
Correo electrónico de una "amistad". Esta estafa parece provenir de una amistad conocida que está en el exterior y necesita tu ayuda. Esta "ayuda" suele implicar el envío de dinero. Entonces, antes de enviarle dinero a "tu amistad", llama y verifica que realmente sea verdad.
Correo electrónico de premio de concurso o herencia. No te emociones si ganas algo inesperadamente o recibes una herencia de un familiar que nunca conociste. Porque la mayoría de las veces estos correos electrónicos son estafas que requieren que hagas clic en un vínculo para ingresar tu información para el envío del premio o la verificación de la "herencia".
Reembolso impositivo. Esta es una estafa de phishing muy común, ya que muchas personas pagan impuestos anuales. Por lo general, en estos mensajes de phishing te informan que puedes ser elegible para recibir un reembolso por tus impuestos o debes someterte a una auditoría. Luego te piden que envíes una solicitud de reembolso impositivo o un formulario fiscal (en el que debes brindar todos tus datos), que los estafadores usarán luego para robar tu dinero o vender tus datos.
Las estafas de phishing relacionadas con el coronavirus (COVID-19) fueran una de las más recientes en utilizar el miedo como arma para cometer robos virtuales.
Uno de los más destacados fué el troyano bancario Ginp, que infectava tu dispositivo y abria una página web con una oferta de un buscador de casos de coronavirus. Engañava a las personas para que paguen para saber quiénes están infectados a su alrededor. Con esta estafa, los delincuentes tenían los datos de tu tarjeta de crédito.
También hubo casos en los que estafadores se hacían pasar por agencias gubernamentales importantes e incluso la Organización Mundial de la Salud (OMS). En esta estafa, los estafadores se comunicaban con los usuarios directamente, en general, por correo electrónico, solicitando tus datos bancarios o pidiendo que hagas clic en un vínculo para intentar infectar tu computadora con malware o robar tus datos privados.
stos correos electrónicos y mensajes podrían parecer oficiales, pero si investigas la dirección URL del vínculo (si colocas el cursor encima sin hacer clic) o la dirección de correo electrónico con atención, encontrarás algunos indicios evidentes de que no son auténticas y no deberías confiar (por ejemplo, correos gubernamentales o de la OMS provenientes de una cuenta de Gmail).
No caigas en estas estafas. Estas organizaciones nunca te pedirán datos personales confidenciales ni información bancaria privada. Además, es muy poco probable que te soliciten que descargues una aplicación o un software en tu computadora.
Es por eso que, si recibes un correo electrónico o mensaje de este tipo, en especial si sucede de improviso, no debes hacer clic en los vínculos ni brindar tus datos personales o tu información bancaria. Verifica con las autoridades correspondientes o el banco si no tienes la certeza de que sea real y solo usa o visita fuentes y sitios web de confianza.
Si recibes un correo electrónico de este tipo, esto es lo que debes hacer:
1. Revisa la dirección de correo electrónico para verificar quién es el remitente. Por ejemplo, las direcciones de la OMS usan el patrón persona@oms.int, no Gmail u otros.
2. Comprueba el vínculo antes de hacer clic. Asegúrate de que comience con "https://" y no "http://".
3. Ten cuidado al brindar información personal. Nunca entregues tus credenciales a terceras personas, ni siquiera a la OMS.
4. No te apresures ni reacciones por el pánico. Los estafadores se aprovechan de ello para que hagas clic en vínculos o abras archivos adjuntos.
5. Si revelaste información confidencial, no entres en pánico. Restablece tus credenciales en los sitios en los que las usas. Cambia tus contraseñas y comunícate con tu banco de inmediato.
6. Denuncia todas las estafas.
Fundamentalmente, las estafas de phishing comparten ciertas características que un ojo entrenado podría detectar. Sin embargo, como no siempre es fácil descubrirlo a primera vista, desentrañaremos estas señales de alerta.
Descubrir un correo electrónico de phishing se resume en encontrar cualquier cosa incongruente o inusual.
En ocasiones, es difícil reconocer qué es genuino y qué es un intento de phishing. En primer lugar, debes asegurarte de tomarte un momento antes de hacer clic en cualquier vínculo, abrir archivos adjuntos o enviar una respuesta.
Si recibes un correo electrónico sospechoso, así es cómo debes reaccionar:
Ahora debes saber exactamente qué buscar en un correo electrónico de phishing para tomar una decisión.
Uno de los motivos por los que los correos electrónicos de phishing son tan dañinos (y por los que, lamentablemente, suelen tener éxito) es que están diseñados minuciosamente para parecer legítimos. En general, los correos electrónicos de phishing comparten las siguientes características que deberían alertarte:
Los hackers a menudo crean los sitios de phishing muy deprisa, motivo por el que algunos son bastante diferentes a los de la empresa original. Puedes aprovechar estas pistas para descubrir un correo electrónico malicioso en tu bandeja de entrada.
De todos modos, no siempre es evidente qué debes hacer cuando recibes un correo electrónico de phishing que eludió tu carpeta de spam.
Es crucial estar alerta para descubrir correos electrónicos de phishing. Si encuentras uno en tu bandeja de entrada (que no se filtró automáticamente hacia tu carpeta de spam), aplica estas estrategias para evitar convertirte en una víctima de un ataque de phishing.
Solo recuerda que la mejor manera de lidiar con un correo electrónico de phishing es eliminarlo o bloquear al remitente de inmediato. Si realizas alguna acción adicional para restringir tu exposición a estos ataques, tendrás una ventaja.
Más allá de descubrir el correo electrónico y eliminarlo, puedes protegerte siguiendo estas sugerencias.
Ya sea que no nos agrade o no lo esperemos, seremos el objetivo de correos electrónicos de phishing todos los días.
Los proveedores de correo electrónico que tenemos filtran la mayoría automáticamente y, en general, los usuarios se volvieron bastante buenos en identificar los correos electrónicos de este tipo y actuar con sentido común para no realizar lo que solicitan.
De todos modos, ya viste cuán engañoso puede llegar a ser el phishing. También sabes que los ataques de phishing abarcan todo tipo de comunicaciones y usos del Internet, no solo correos electrónicos.
Si sigues unas simples sugerencias para prevenir el phishing, puedes reducir en gran medida las probabilidades de convertirte en una víctima de un estafador.
La protección en Internet comienza con tu actitud y comportamiento frente a posibles ciberamenazas.
El phishing engaña a las víctimas para que entreguen credenciales de todo tipo de cuentas confidenciales, tales como correo electrónico, intranets corporativas y mucho más.
Incluso para usuarios que actúan con cautela, a veces es difícil detectar un ataque de phishing. Estos ataques ahora son más sofisticados y los hackers encuentran la forma de adaptar sus estafas y enviar mensajes muy convincentes, que pueden lograr que las personas cometan un error.
A continuación, enumeramos algunas medidas básicas que siempre debes tomar en tus correos electrónicos y otras comunicaciones:
1. Actúa con sentido común antes de divulgar información confidencial. Si recibes una alerta de tu banco u otra institución importante, nunca hagas clic en el vínculo en el correo electrónico. En su lugar, abre una ventana del navegador y escribe la dirección directamente en el campo de la dirección URL para asegurarte de que el sitio web sea real.
2. Nunca confíes en mensajes alarmantes. Las empresas prestigiosas no solicitan información de identificación personal ni datos de cuentas por correo electrónico. Esto incluye a tu banco, compañía de seguros y cualquier otra empresa con la mantengas una relación comercial. Si alguna vez recibes un correo electrónico que te pide cualquier tipo de información de una cuenta, elimínalo inmediatamente y llama a la empresa para confirmar que tu cuenta está bien.
3. No abras los archivos adjuntos de estos correos electrónicos sospechosos o extraños, especialmente documentos de Word, Excel, PowerPoint o PDF adjuntos.
4. Evita siempre hacer clic en vínculos incrustados de correos electrónicos porque pueden contener malware. Ten cuidado cuando recibes mensajes de proveedores o terceros, y no hagas clic nunca en direcciones URL incorporadas en el mensaje original. En su lugar, visita el sitio web directamente escribiendo la dirección URL correcta para verificar la solicitud y revisar las políticas de contacto y los procedimientos del proveedor relativos a la solicitud de información.
5. Mantén actualizados el software y el sistema operativo. Los productos del sistema operativo de Windows suelen ser el objetivo de ataques maliciosos y de phishing, por lo que debes asegurarte de protegerlos y actualizarlos. En especial aquellos que se ejecutan en un sistema operativo anterior a Windows 10.
Estos son otros consejos útiles del equipo de expertos en seguridad de Internet de Kaspersky para ayudarte a reducir la cantidad de correo electrónico de spam que recibes:
Crea una dirección de correo electrónico privada
Solo debes usarla para la correspondencia personal. Como las personas que envían spam crean listas de posibles direcciones de correo electrónico (usando combinaciones obvias de nombres, palabras y números), debes procurar que la dirección sea difícil de adivinar. La dirección privada no debe componerse simplemente de tu nombre y apellido, y debes protegerla de la siguiente forma:
· Nunca publiques tu dirección de correo electrónico privada en recursos en línea a los que se puede acceder públicamente.
· Si necesitas publicar tu dirección privada electrónicamente, procura enmascararla para evitar que las personas que envían spam la obtengan. Por ejemplo, "juan.perez@yahoo.com" es una dirección fácil de encontrar para las personas que envían spam. Trata de escribir "juan-punto-perez-arroba-yahoo.com’.
· Si tu dirección privada es descubierta por las personas que envían spam, debes cambiarla. Aunque esto puede resultar molesto, cambiar tu dirección de correo electrónico te ayudará a evitar el spam y a los estafadores.
Crea una dirección de correo electrónico pública. Usa esta dirección cuando necesites registrarte en foros públicos y en salas de chat o para suscribirte en listas de correo y otros servicios de Internet. Los siguientes consejos también te ayudarán a reducir el volumen de spam que recibes a través de tu dirección de correo electrónico pública:
· Trata tu dirección pública como una dirección provisional. La probabilidad de que las personas que envían spam logren obtener tu dirección pública es alta, sobre todo si la usas con frecuencia en Internet.
· No temas cambiar tu dirección de correo electrónico pública con frecuencia.
· Considera usar varias direcciones públicas. De esa manera, podrás rastrear mejor qué servicios podrían estar vendiendo tu dirección a las personas que envían spam.
Nunca respondas un mensaje de spam
La mayoría de las personas que envía spam verifica la recepción y registra las respuestas. Cuanto más respondas, más spam probablemente recibirás.
Piensa antes de hacer clic en "cancelar suscripción"
Los especialistas del spam envían cartas de cancelación de suscripción falsas para recopilar direcciones de correo electrónico activas. Si haces clic en "cancelar suscripción" en una de estas cartas, puede que simplemente aumente la cantidad de spam que recibes. No hagas clic en los enlaces "cancelar suscripción" de los correos electrónicos que provienen de fuentes desconocidas.
Mantén tu navegador actualizado
Asegúrate de usar la versión más reciente de tu navegador web y de haber aplicado todos los parches de seguridad de Internet más recientes.
Usa filtros antispam
Abre solo cuentas de correo electrónico con proveedores que incluyen filtrado de spam. Elige una solución antivirus y de seguridad de Internet que también incluya características antispam avanzadas.
Una de las formas más sencillas de evitar ser víctima de una trama de phishing es instalar y utilizar un software adecuado de seguridad para Internet en tu computadora. El software de seguridad de Internet es crucial para cualquier usuario porque brinda diversas capas de protección en un paquete informático simple de usar.
Para tener la protección más confiable, tu plan de seguridad debe incluir lo siguiente:
El software antispam se diseñó para proteger tu cuenta de correo electrónico contra el phishing y los correos electrónicos no deseados. Aparte de utilizar listas de denegación predefinidas creadas por investigadores de seguridad, el software antispam llega a distinguir con el tiempo los elementos basura y los legítimos. Por lo tanto, aunque debes seguir alerta, estarás tranquilo sabiendo que el software también está filtrando problemas potenciales. Usa protección antiphishing y un software antispam para protegerte cuando reciban mensajes maliciosos en tu equipo.
Se incluye antimalware para evitar otros tipos de amenazas. Similar al software antispam, el software antimalware es programado por investigadores de seguridad para detectar incluso el software malicioso más escurridizo. Con continuas actualizaciones por parte de los proveedores, el software se vuelve más inteligente y capaz de responder mejor a las amenazas más recientes. El uso de un paquete antimalware te permite protegerte de virus, troyanos, gusanos y mucho más.
La combinación de firewall, antispam y antimalware en un solo paquete te ofrece medidas de seguridad adicionales para proteger tu sistema si accidentalmente haces clic en un vínculo peligroso. Son una herramienta crucial que debes tener instalada en tu equipo, ya que están diseñadas para complementar tu sentido común.
A pesar de que la tecnología es un campo que evoluciona rápidamente, un paquete de seguridad de un proveedor conocido te permitirá proteger tus dispositivos del phishing y otras amenazas de malware.
Además de un software de protección antivirus en tu computadora, es fundamental que uses un administrador de contraseñas para gestionar tus credenciales en línea.
Hoy en día, es crucial tener diferentes contraseñas para todos los sitios web. Si se filtran datos, los atacantes intentarán usar las credenciales descubiertas en todos los sitios web.
Una de las mejores funcionalidades de los administradores de contraseñas es que en general rellenan los formularios de inicio de sesión de forma automática para reducir la cantidad de clics. Además, muchos administradores de contraseñas incluyen ediciones portátiles que pueden guardarse en una unidad USB, lo que te permite llevar tus contraseñas donde quiera que vayas.
A pesar de que a veces el phishing puede plantear un problema difícil de resolver, seguir los simples consejos y sugerencias de este artículo, e incorporar las herramientas de prevención correctas, puede reducir significativamente el riesgo de ser víctima de estafadores digitales.
Si necesitas un paquete de seguridad de Internet completo, prueba Kaspersky Premium.