Si recibió otro correo electrónico hoy afirmando que ganó la lotería o heredó dinero de un pariente perdido hace mucho tiempo. Quizás parezca demasiado bueno para ser verdad. Es inteligente sospechar: probablemente se trate de una estafa de phishing. El phishing se produce cuando los ciberdelincuentes intentan engañarlo para que proporcione información personal o descargue malware mediante el envío de mensajes fraudulentos que parecen provenir de una empresa o un sitio web de buena reputación.
Probablemente hayas oído hablar del phishing antes, pero ¿conoces todas las formas furtivas en que los estafadores intentan atrapar a sus víctimas? En este artículo, exploraremos las diferentes técnicas de phishing que utilizan los estafadores y brindaremos ejemplos del mundo real para que pueda detectar y evitar mejor estos mensajes maliciosos.
¿Qué es el phishing?
El phishing es un ataque cibernético en el que los estafadores utilizan el correo electrónico o sitios web maliciosos para robar su información personal, como contraseñas, números de cuenta o números de tarjetas de crédito. Los estafadores se disfrazan de una empresa o un sitio web legítimo para engañarlo y lograr que proporcione datos confidenciales.
Una vez que los estafadores tienen su información, pueden acceder a sus cuentas, realizar compras en su nombre o cometer robo de identidad. Las estafas de phishing se han vuelto cada vez más sofisticadas, por lo que es importante estar alerta.
Los signos comunes de un correo electrónico o mensaje de phishing incluyen:
- Instarle a actuar rápidamente o proporcionar información de inmediato.
- Mala gramática o errores ortográficos.
- Una oferta, trato o recompensa increíble
- La dirección de un remitente que no coincide con el nombre de la empresa.
Las empresas legítimas nunca solicitarán datos confidenciales por correo electrónico. Si algo suena mal, es mejor borrar el mensaje.
Algunas técnicas de phishing conocidas incluyen:
- Phishing de lanza: Ataque dirigido a una persona o empresa específica. Los estafadores utilizan información personal para ganarse la confianza.
- Ballenero: Spear phishing dirigido a ejecutivos de alto nivel o “peces gordos”. Los estafadores se hacen pasar por colegas o clientes para robar datos o fondos corporativos.
- Rompiendo: Phishing a través de mensajes de texto SMS en lugar de correo electrónico. Los mensajes parecen provenir de bancos, transportistas o empresas de entrega para obtener números de cuenta o contraseñas de un solo uso.
- Vishing: Phishing por teléfono. Los estafadores se hacen pasar por soporte técnico, representantes bancarios o agencias gubernamentales para engañar a las personas para que proporcionen acceso a cuentas o transfieran fondos.
Técnicas comunes de phishing y vectores de ataque
Los phishers utilizan técnicas inteligentes para engañarlo y lograr que les proporcione su información personal. Esté atento a estos vectores de ataque de phishing comunes:
1. Correos electrónicos
La táctica de phishing más común son los correos electrónicos fraudulentos que pretenden ser de una empresa legítima. Estos correos electrónicos a menudo afirman que hay un problema con su cuenta o con su información de pago y le solicitan que haga clic en un enlace o descargue un archivo adjunto. Nunca haga clic en enlaces ni descargue archivos adjuntos de correos electrónicos no solicitados.
2. Mensajes de texto
Los mensajes de texto de phishing, o «smishing», afirman que hay un problema con una entrega o con su cuenta bancaria para que haga clic en un enlace o llame a un número. Al igual que los correos electrónicos, nunca haga clic en enlaces ni llame a números de mensajes de texto no solicitados.
3. Llamadas telefónicas
«Vishing» utiliza llamadas telefónicas de estafadores que se hacen pasar por representantes de su banco, emisor de tarjetas de crédito o proveedores de tecnología. Es posible que afirmen que hay actividad fraudulenta en su cuenta o que su cuenta ha sido comprometida para engañarlo y que les proporcione sus datos o acceso a la cuenta. Nunca proporcione datos confidenciales ni acceso a cuentas por teléfono a personas que llaman no solicitadas.
4. Sitios web maliciosos
Los sitios de phishing son sitios web fraudulentos creados para imitar sitios legítimos y robar sus datos de inicio de sesión o información de cuenta. Vuelva a verificar la URL para asegurarse de que sea el sitio web correcto y que utilice una conexión HTTPS segura antes de ingresar datos confidenciales.
5. Redes Wi-Fi públicas
Las redes públicas son un lugar privilegiado para los ataques de «intermediario» en los que los phishers husmean el tráfico de la red para robar sus datos. Nunca realice operaciones bancarias, compras u otras actividades que requieran información personal en una red Wi-Fi pública.
Ejemplos de estafas de phishing en el mundo real
Las estafas de phishing vienen en todas las formas y tamaños, pero aquí hay algunos ejemplos comunes del mundo real a los que debe prestar atención:
1. Correo electrónico de un “príncipe nigeriano”
Esta es una estafa clásica en la que recibes un correo electrónico afirmando que un príncipe nigeriano u otro funcionario necesita ayuda para acceder a su fortuna y la compartirá contigo si le proporcionas dinero o acceso a la cuenta. Elimine estos correos electrónicos inmediatamente.
2. «¡Has ganado un premio!»
Recibirá un mensaje emocionante de que ganó un concurso o una lotería en la que nunca participó. Para reclamar su premio, sólo necesita pagar impuestos o tarifas por adelantado. No se deje engañar: los sorteos legítimos no le piden que pague para recibir ganancias.
3. Factura o factura falsa
Recibes un correo electrónico con una factura o factura de un producto o servicio que nunca compraste. Los estafadores esperan que usted pague sin verificar. Verifique nuevamente con la compañía que supuestamente envió la factura antes de enviar dinero.
4. «Tu cuenta ha sido comprometida»
Recibe un mensaje urgente que afirma que hubo un inicio de sesión en sus redes sociales, correo electrónico u otra cuenta desde un dispositivo no reconocido. El mensaje le pide que haga clic en un enlace para verificar su identidad y volver a proteger su cuenta. No haga clic: se trata de una estafa para robar sus credenciales de inicio de sesión.
5. Oferta de trabajo inesperada
Recibes un mensaje ofreciéndote un trabajo, a menudo con un gran salario y horarios flexibles. Para comenzar, todo lo que necesita hacer es proporcionar información personal como su número de Seguro Social o pagar una tarifa por adelantado por los materiales o la capacitación. Esto es un fraude: las empresas legítimas no contratan personas de esta manera ni solicitan datos confidenciales de inmediato.
Mantenerse alerta y aprender a detectar las señales de fraude puede ayudarle a evitar convertirse en víctima. Recuerde, si algo suena demasiado bueno para ser verdad, probablemente lo sea. En caso de duda, confíe en sus instintos.
¿Qué es el phishing de ballenas?
Phishing de ballenas se dirige a víctimas de alto perfil como celebridades, políticos y ejecutivos de empresas. Dado que estas “ballenas” suelen tener acceso a datos confidenciales y grandes recursos financieros, son objetivos lucrativos para estafas de phishing.
Los atacantes recopilarán información personal sobre la ballena de fuentes públicas para crear un correo electrónico de phishing personalizado. Por ejemplo, pueden mencionar al familiar del objetivo por su nombre o hacer referencia a un pasatiempo o interés para parecer más legítimo. Es más probable que estos correos electrónicos de phishing altamente personalizados engañen al destinatario haciéndole creer que el mensaje es genuino.
Algunos ejemplos de técnicas de phishing de ballenas incluyen:
- Correos electrónicos que parecen provenir del banco, asesor o contador del objetivo solicitando acceso a una cuenta privada o transferencias bancarias.
- Lanzar correos electrónicos de phishing con archivos adjuntos maliciosos o enlaces adaptados a los intereses del destinatario.
- Suplantación de familiares o amigos que necesitan fondos de emergencia o acceso a cuentas.
- Dirigirse a cuentas personales o laborales con el objetivo de apropiarse de cuentas o instalar software espía.
¿Cómo identificar y evitar ataques de phishing?
Los ataques de phishing son cada vez más sofisticados, pero existen algunas señales reveladoras que pueden ayudarle a identificarlos.
1. Remitente sospechoso
Si un correo electrónico dice ser de una empresa con la que usted hace negocios pero la dirección del remitente parece incorrecta, eso es una señal de alerta. Las empresas legítimas no cambian sus nombres de dominio de correo electrónico con frecuencia. Tenga cuidado con los mensajes de servicios de correo electrónico gratuitos como Gmail o Yahoo en nombre de una empresa de confianza. Llame a la empresa directamente para verificar.
2. Presión para actuar rápidamente
Los phishers quieren que usted actúe antes de que tenga tiempo de verificar las afirmaciones del mensaje. Los mensajes que insisten en que debe hacer clic en un enlace o descargar un archivo adjunto inmediatamente probablemente sean intentos de phishing. Las empresas legítimas no le presionan para que eluda las medidas de seguridad.
3. Enlaces y archivos adjuntos
Nunca haga clic en enlaces ni descargue archivos adjuntos de mensajes no solicitados. Incluso si el mensaje parece auténtico, los enlaces de phishing pueden instalar malware o robar su información personal. En su lugar, ingrese manualmente la URL del sitio web de la empresa en su navegador o realice una búsqueda en la web para encontrar su sitio web oficial.
4. Solicitudes de información personal
Las empresas legítimas no solicitan datos confidenciales como contraseñas, números de seguro social o números de cuentas bancarias por correo electrónico. Si un mensaje solicita este tipo de información, es probable que se trate de una estafa de phishing.
5. Errores de ortografía y gramática
Aunque no siempre es así, los correos electrónicos de phishing suelen contener errores de ortografía, gramática y puntuación. Las empresas de renombre suelen contar con redactores y editores profesionales para elaborar comunicaciones sin errores. Una mala calidad de redacción puede indicar un intento de phishing amateur.
Protegiéndose a usted y a su organización del phishing de ballenas
Desafortunadamente, los ataques de phishing son cada vez más sofisticados. Si bien los individuos y las organizaciones no pueden eliminar el riesgo, existen varios pasos que puede tomar para reducir su vulnerabilidad.
1. Sospeche de las solicitudes no solicitadas
Nunca proporcione información confidencial en respuesta a una llamada telefónica, correo electrónico o mensaje de texto no solicitado. Las empresas legítimas no solicitarán contraseñas, números de Seguro Social, números de tarjetas de crédito, etc. de la nada. En caso de duda, comuníquese con la empresa directamente en lugar de hacer clic en enlaces o llamar a los números que aparecen en el mensaje.
2. Reduzca la velocidad y tenga cuidado con la urgencia
Los estafadores a menudo intentan crear una sensación de urgencia para que las personas actúen rápidamente antes de pensar. Da un paso atrás y considera objetivamente la lógica de la solicitud antes de responder o hacer clic en cualquier cosa. Pregúntese si tiene sentido que la empresa o la persona solicite esa información o exija una acción inmediata.
3. Revise los enlaces y la ortografía
Verifique cuidadosamente la dirección de correo electrónico del remitente y las URL de los mensajes para detectar errores ortográficos leves u otros signos de suplantación de identidad antes de hacer clic. Los enlaces maliciosos pueden parecer muy similares a los reales. Es mejor escribir manualmente direcciones web en su navegador en lugar de hacer clic en enlaces en correos electrónicos no solicitados.
4. Utilice contraseñas seguras y autenticación de dos factores
Asegúrese de que todas sus cuentas, especialmente las de correo electrónico, bancarias y de redes sociales, tengan contraseñas seguras y únicas. Habilite la autenticación de dos factores siempre que esté disponible para agregar una capa adicional de seguridad. La autenticación de dos factores ayuda a evitar que los atacantes accedan a sus cuentas incluso si obtienen su contraseña.
5. Manténgase alerta y capacítese
Los ciberdelincuentes siempre están desarrollando nuevas técnicas, por lo que las personas y las organizaciones deben mantenerse actualizados con las últimas tendencias y mejores prácticas de phishing. Proporcionar formación periódica sobre concientización sobre ciberseguridad a todo el personal, especialmente a aquellos con acceso a cuentas o datos confidenciales. Con educación y vigilancia, todos podemos hacer nuestra parte para frustrar a los phishers.
Conclusión
Ahí lo tienes, ahora sabes qué son los ataques de phishing y cómo detectarlos. No permita que los estafadores lo engañen para que proporcione información confidencial o descargue malware. Manténgase alerta, piense antes de hacer clic y confíe en sus instintos.
Si algo parece extraño en un correo electrónico o mensaje de texto, probablemente lo sea. Elimine todo lo sospechoso y nunca ingrese contraseñas, números de cuenta ni envíe dinero. Eres demasiado inteligente para caer en estafas de phishing y, al compartir esta información con amigos y familiares, puedes ayudar a vacunar a otros.