Pasamos la mayor parte de nuestro tiempo conectados a Internet. Esto ha originado un aumento exponencial del cibercrimen y entre las amenazas que podemos encontrar está el phishing, una técnica usada para obtener información personal de los usuarios mediante la suplantación de identidad.
Saber qué es el phishing es el primer paso para protegerse de este cibercrimen. Phishing y ciberseguridad, analizamos los principales puntos clave a continuación.
¿Qué es phishing?
El phishing es una técnica de ciberdelincuencia que emplea la suplantación de identidad, el engaño y el fraude para manipular a las víctimas -particulares y profesionales- y obtener información personal confidencial, saquear cuentas bancarias y robar datos privados.
La suplantación de identidad se produce cuando los ciberdelincuentes intentan engañar a las víctimas simulando ser una fuente de confianza para que realicen alguna acción concreta, como hacer clic en un enlace, introducir sus datos personales, descargarse un archivo malicioso o dirigirlos a una página web poco fiable.
El phishing puede realizarse a través del correo electrónico, por SMS, una llamada de teléfono o incluso por redes sociales. No obstante, la mayoría de los ataques de phishing se realizan por correo electrónico. Los emails de phishing suelen enviarse de forma masiva a millones de usuarios a la vez y mezclarse entre los cientos de emails benignos que recibimos cada día. Es por esto que existe una conexión directa entre el phishing y el spam.
Componentes del phishing
El ataque se realiza mediante comunicaciones electrónicas.
El atacante se hace pasar por una persona u organización de confianza.
El objetivo del phishing es obtener información personal confidencial.
¿Cómo funciona el phishing?
El phishing es una de las formas de ciberataque más sencilla, pero a la vez más peligrosa y efectiva. A diferencia de otros ataques de ciberseguridad, el phishing no requiere de conocimientos técnicos muy avanzados.
Los cibercriminales utilizan trucos de ingeniería social para generar urgencia, miedo o alarma en los receptores de los mensajes. De esta forma, el usuario actúa de forma inmediata ante el estímulo sin analizar los riesgos reales de la acción.
Tipos de phishing
Como ya hemos visto, los ataques de phishing pueden realizarse a través de diferentes vías:
Phishing por correo electrónico
Es el método más habitual. Estos mensajes suelen incluir un enlace hasta un sitio web malicioso o archivos adjuntos infectados con malware.
Phishing por sitio web
Son copias falsas y muy similares de sitios web que el usuario conoce y en los que confía. El objetivo es que el usuario introduzca sus datos de inicio de sesión.
Phishing por teléfono
También llamado ‘vishing’, en esta modalidad de phishing el atacante intenta engañar a la víctima por teléfono.
Phishing por SMS
El ‘smishing’ se realiza a través de mensajes de texto en donde se incluyen enlaces que descargan en el teléfono un malware para robar la información personal.
Phishing por redes sociales
Es el método más novedoso y consiste en enviar mensajes directos a través de redes sociales con enlaces poco fiables.
Visto esto, podemos identificar diferentes tipos de phishing:
Spear phishing
Adapta los ataques a cada objetivo concreto, en lugar de enviar correos electrónicos masivos al mayor número posibles de personas.
Phishing de clonación
Se clona un correo electrónico legítimo y se envía una copia exacta a todos los destinatarios previos con enlaces maliciosos.
Fraude de CEO
Los atacantes se hacen pasar por el CEO de una compañía con el fin de obtener información de los empleados.
Manipulación de enlaces
Se utilizan enlaces que parecen conducir a una dirección URL, pero al hacer clic en ellos lo llevan a otra parte.
Whaling
Ataques de phishing a objetivos de gran valor.
Pharming
Se utilizan trucos tecnológicos para engañar a las víctimas.
Cómo reconocer un ataque de phishing
Identificar un intento de phishing no es sencillo. No obstante, existen una serie de señales que pueden alertarnos de un intento de phishing:
- El remitente es alguien que reconoces, pero con el que no tratas o no te comunicas.
- El mensaje contiene archivos adjuntos extraños o inesperados.
- El mensaje tiene un tono alarmista, de urgencia.
- El mensaje contiene enlaces extraños. Siempre es mejor escribir directamente la URL en el navegador.
Recomendaciones para prevenir un ataque de phishing
Ya sabemos qué es el phishing y cómo identificarlo. Ahora bien, ¿es posible evitarlo? Pues sí. Estos son algunos consejos para prevenir un ataque de phishing:
- No abras correos electrónicos, mensajes de texto o mensajes en redes sociales de remitentes que no conoces.
- No hagas clic en enlaces desconocidos o sospechosos que no sepas a dónde llevan.
- Verifica el certificado digital del sitio web y comprueba que la página web comienza con HTTPS.
- Pasa el cursor del ratón por encima del enlace para comprobar cuál es la url real.
- Utiliza un software de seguridad antiphishing.
- Confirma antes de actuar. Las empresas auténticas nunca contactarán por correo electrónico o teléfono para solicitar datos personales.
- Cambia las contraseñas con regularidad.
A la hora implantar políticas de ciberseguridad en tu negocio, te recomendamos que confíes en empresas de ciberseguridad especializadas en el sector. En SDi Digital Group somos expertos en ciberseguridad y ofrecemos las mejores soluciones en seguridad digital con el fin de proteger a tu empresa de cualquier ataque digital.
