Ciberseguridad 101: ¿Qué es el phishing y cómo cuidarte?

19 Mar 2022
'. $image_alt .' 5m

Uno de los métodos más conocidos para tratar de recopilar información personal mediante emails y páginas web engañosas es el phishing. Enterate todo lo que necesitás saber sobre esta forma de ataque cibernético, qué formas existen y cómo prevenirlo.

Un ataque de phishing puede resultar en diferentes problemas para la víctima como compras no autorizadas, el robo de sus fondos o hasta el hurto de su identidad.

¿Qué es el phishing?

El phishing es un tipo de ataque cibernético que se usa para robar diferentes datos de un usuario, incluidas credenciales privadas de inicio de sesión y números de tarjetas de crédito. Esto ocurre cuando un atacante se hace pasar por una entidad confiable y engaña a un usuario para que abra un email, un mensaje en una red social o un mensaje de texto. Después, se le pide al destinatario que haga click en un enlace específico que puede provocar la instalación de un malware (un término general para cualquier tipo de software con intenciones maliciosas). El usuario puede experimentar la congelación de su sistema como parte de un ataque de ransomware -un tipo de malware que impide a los usuarios acceder a su sistema o a sus archivos personales-, o la revelación de información confidencial. Un ataque de este tipo puede resultar en diferentes problemas para la víctima como compras no autorizadas, el robo de sus fondos o hasta el hurto de su identidad.

¿Cómo funciona el phishing?

Los ciberdelincuentes comienzan identificando un grupo de personas a las que quieren apuntar y enviándoles un email fraudulento u otra comunicación diseñada para atraerlos. Este tipo de correos normalmente incluyen un mensaje que parece que proviene de un remitente confiable, pero que en realidad contienen enlaces peligrosos. Si el hacker logra captar al usuario, lo convence para que proporcione información confidencial. Los phishers suelen usar emociones como el miedo, la curiosidad, la urgencia y la codicia para obligar a los destinatarios a abrir los archivos adjuntos o a hacer click en enlaces. Las personas son propensas a caer en estas estafas ya que este tipo de ataques están diseñados para parecer que provienen de empresas y personas legítimas. Los ciberdelincuentes están constantemente innovando y volviéndose cada vez más sofisticados, por lo que es importante saber identificar ciertas red flags.

Historia del phishing

El término phishing surgió a mediados de la década del 90 cuando los hackers empezaron a usar emails fraudulentos para buscar, o fish for, información de usuarios desprevenidos. Dado que a los primeros hackers normalmente se los denominaba como phreaks, la palabra fishing se empezó a usar como phishing, con "ph". En los noventas, un portal web estadounidense y proveedor de servicios online con sede en Nueva York llamado AOL se hacía cada vez más popular. Los hackers aprovecharon esta situación y empezaron a usar el phishing y la mensajería instantánea para hacerse pasar por empleados de AOL, y así engañar a los usuarios para que divulguen sus credenciales y retener sus cuentas.

En el 2000 los hackers recurrieron a las cuentas bancarias y empezaron a usar los emails de phishing para engañar a los usuarios y lograr que divulguen las credenciales de su cuenta bancaria. Los emails tenían un enlace a una página web que se parecía a la página bancaria oficial, pero el dominio de esta era una variación similar del nombre de dominio oficial (por ejemplo, lem0n.me en lugar de lemon.me). A medida que pasaron los años, los phishers buscaron otras maneras de conseguir datos personales que les permitan entrar forzosamente a las cuentas personales de sus víctimas.

Los ciberdelincuentes envían un email fraudulento con un mensaje que parece que proviene de un remitente confiable, pero que en realidad contienen enlaces peligrosos.

¿Cuáles son los diferentes tipos de phishing?

El phishing se fue convirtiendo en algo más que un simple robo de credenciales y datos, y la forma en que un hacker presenta un ataque depende del tipo de phishing. Estos incluyen:

  • Spear phishing: estos son mensajes en un email que se envían a personas específicas dentro de una organización, generalmente titulares de cuentas bancarias con ciertos beneficios.
  • Manipulación de enlaces: los mensajes en este tipo de phishing contienen un enlace a una página web maliciosa que parece oficial.
  • CEO fraud: estos mensajes se envían normalmente a personas que trabajan en el área de finanzas para hacerles creer que el CEO u otro ejecutivo les está pidiendo que les transfieran plata.
  • Inyección de contenido: un hacker puede “inyectar” contenido malicioso en una página web oficial para hacer que los usuarios hagan click en este y redirigirlos hacia una ventana maliciosa o directamente a una página web de phishing.
  • Malware: en este tipo los usuarios hacen click en un enlace o abren un archivo adjunto para que descarguen malware en sus dispositivos.
  • Smishing: mediante mensajes de texto los atacantes hacen que los usuarios accedan a páginas web maliciosas desde sus celulares.
  • Search engine phishing: también conocido como envenenamiento de SEO, los hackers trabajan para convertirse en la principal opción de una búsqueda en un motor de búsqueda como Google. Al hacer click en el enlace que se muestra, se lo dirige al usuario a la página web del hacker y desde ahí pueden robarle su información cuando interactúa con el sitio y/o ingresa datos confidenciales.

¿Cómo prevenir el phishing?

La protección contra ataques de phishing requiere que tanto los usuarios como las empresas tomen medidas. En este caso para los usuarios, la vigilancia es clave. Un mensaje falsificado normalmente tiene errores sutiles que exponen su verdadera identidad, como errores ortográficos o cambios en los nombres de dominio. Una de las preguntas que un usuario se puede hacer el recibir un email que normalmente no reciben es: ¿por qué están recibiendo ese email? ¿Es demasiado bueno como para ser verdad?

Educarse sobre el tema también puede ayudar a disminuir la amenaza de ataques de phishing, convirtiendo en un hábito la aplicación de prácticas seguras.

¿Te gustó la nota?

¡Compartila!

Últimas Publicaciones

  • Fácil
  • Fácil
  • Intermedio
  • Fácil