5. Desconfía del dinero fácil 💵
Arma tu pack de 3 cursos por tan solo S/70.00

¿Qué es el phishing y cómo te puedes proteger?

imagen 1 Vanzys

¿Qué es el phishing y cómo te puedes proteger?

El phishing puede entenderse como una táctica de ingeniería social que consiste en engañar a un usuario haciéndole creer que está ingresando a un sitio seguro que ya conoce, para llevarle a otra dirección con la misma apariencia, con el afán de que el usuario entregue sus credenciales y exponga su información a los perpetradores.

Aparentemente se originó en los 90s cuando un grupo de hackers “warez Community” robaban datos de cuentas de AOL haciéndose pasar como empleados de la compañía. Así consiguieron “los correos electrónicos como ‘anzuelos’ para atrapar sus ‘peces’ del ‘mar’ de usuarios de Internet”.

Las víctimas terminan, tras ser engañados, revelando información confidencial sobre sí mismas, otra persona o alguna entidad a la que tienen acceso. Dicha información puede incluir contraseñas, información de cuentas bancarias, números de tarjetas de crédito y otros.

Este tipo de ataque busca persuadir al usuario a seguir rutas a web fraudulentas, abrir archivos adjuntos o responder a mensajes. Todo esto en general para extraer información sensible. Es una de las amenazas cibernéticas más efectivas, que presenta riesgos para el gobierno, la industria y todo tipo de usuarios. Millones de violaciones de datos han resultado de la acción del phishing y cada año se pierden miles de millones de dólares.

El phishing en la actualidad

La situación actual con el coronavirus nos ha llevado a trabajar desde casa y seguramente muchas empresas se quedarán como remote first. (Por qué el trabajo remoto híbrido flexible es la peor opción, y qué hacer). Esta nueva realidad nos hace más propensos a caer en campañas de phishing y estafadores, pues estando en casa es más complejo hacer una llamada (a un compañero de la oficina, al banco u otro según el caso) para verificar que la información que hemos recibido es real. Sobre todo cuando los atacantes van más allá de los correos electrónicos, ya que también están haciendo un uso considerable de las redes sociales.

Más allá de la extracción de información, también se puede instalar malware (como ransomware) a través de estos ataques. El atacante puede solicitar transferencias de dinero o iniciar transacciones financieras no autorizadas. También puede dar lugar a una colaboración involuntaria por parte del destinatario para cometer una estafa dentro de una empresa (quizás el medio de entrada más simple).

El phishing puede ser bastante económico. Las estafas suelen durar unos días. Su infraestructura está libre de costos “impuestos por muchos sistemas de confianza de comercio electrónico”. Las personas malintencionadas pueden adquirir fácilmente los kits de phishing necesarios en sitios clandestinos en la Dark Web. Decenas de miles de esos kits desarrollados mezclando HTML y PHP están disponibles en la actualidad, y viven aproximadamente 36 horas antes de ser detectados y eliminados.

Además, los phishers pueden ser difíciles de detectar, ya que logran ocultar la ubicación de sus servidores. También han comenzado a crear redes de atacantes, cada uno haciendo parte del ataque. A veces, incluso uno de ellos simplemente crea las herramientas y termina reclutando phishers sin experiencia para recopilar toda la información, ser etiquetado como culpable y no obtener beneficios. De esa forma, el phisher real podría pasar desapercibido.

Tipos de phishing (que debes conocer y evitar)

“Spear phishing” o ataque personalizado

El atacante recopila información (en perfiles de redes sociales y blogs, por ejemplo) y la utiliza sobre una víctima potencial en particular. Si bien puede ser un usuario, también puede ser un grupo de empleados de determinadas áreas de una organización.

Voice phishing o vishing

Si el engaño viene en una llamada telefónica se le conoce como Voice phishing o vishing, como la del blog Llamada falsa de tu banco ¿Habrías caído en esta estafa telefónica?

Información generalizada

Otra forma de phishing es trabajar con información generalizada. En este caso, la red de ataque es mucho más amplia, esperando que entre tantos, al menos algunos destinatarios caigan en la trampa.

Caza de ballenas

En este caso, se apunta a individuos ricos y poderosos. A veces, al contrario de atacarlos directamente, su identidad y autoridad se utiliza para extraer información financiera o fondos de la organización a la que pertenecen. Alternativamente, el uso de las identidades de otras personas también puede involucrar a las de personas de confianza, como miembros de la familia, colegas o amigos.

Los mensajes de los phishers pueden tener una fuerza narrativa significativa y conectarse con el lector a través de la sorpresa. Cuando el mensaje es muy largo, el receptor puede terminar prestando más atención a las características del diseño. A veces, los phishers utilizan imágenes de un hipervínculo legítimo para dirigirnos a un sitio corrupto diferente. Otras veces utilizan ventanas de navegador fraudulentas junto a las legítimas o por encima de ellas.

Cómo te proteges ante el phishing

1. Reconoce cuando una URL es legítima

Muchas veces entramos a links que nos parecen reales solo porque tienen el nombre de la empresa en la URL (ej, www.security-paypal-center.com) o pueden ser engañados por typos o sustituciones de caracteres como vanzi.com o vanzis1.com en lugar del original vanzys.com

2. Busca el candado 🔒 en la URL

Que es el indicador de seguridad en los navegadores web, este candado indica que el sitio web en el que estamos fue entregado de forma segura por SSL (Secure Sockets Layer). Protocolo criptográfico “utilizado para proporcionar autenticación y comunicaciones seguras a través de Internet”.

3. Evalúa el contenido del sitio 👀

Los sitios oficiales tienen gráficos nítidos, la ortografía y la gramática serán precisas y toda la experiencia se sentirá pulida. Si estás en un sitio web de phishing, a pesar de la similitud de la marca, toda la experiencia se sentirá por debajo del estándar y puede indicar que te has desviado hacia un sitio falso.

4. Revisa quién es el dueño 💻

Todos los dominios deberán registrar su dirección web, por lo que vale la pena realizar una búsqueda de WHOIS para ver quién es el propietario del sitio web. Este es un servicio gratuito y te permitirá verificar quién es el propietario del sitio web, cuando se creó y proporcionará los datos de contacto del propietario del sitio.

Ten en cuenta:

Si el sitio web ha estado activo durante menos de un año o si cree que está en el sitio web de una marca líder, pero la dirección web está registrada a nombre de una persona en otro país, es una web falsa

Es posible usar servicios como WhoisGuard para mantener tu información de dominio privada, pero un atacante no se tomará tantas molestias

5. Desconfía del dinero fácil 💵

Y la más importante de todas es activar tu sentido común, el dinero fácil nunca es bueno y tú no eres tan suertudo para ser el visitante número 1.000.0000. Adicional una organización nunca te va a pedir que bajes archivos adjuntos en un mail o que verifiques tus credenciales a través de un link en tu correo.

¡Espera! Quieres acceder a nuestros curso FREE

Tenemos los mejores cursos, 100% online en vivo y grabado

Katy
en línea

Queremos mantenerte informado sobre nuestras ofertas exclusivas. ¿Te gustaría compartir tu número de teléfono? ☺️

Enviando...

Tu carrito de compras