Cada vez pasamos más tiempo conectados, y por eso, las amenazas para las que tenemos que estar prevenidos, también llegan a través de Internet y en formato digital. El pishing es una de las más comunes en estos tiempos, por eso vamos a darte todas las claves que necesitas para reconocer y evitar esta estafa.
¿Qué es el pishing?
Es forma de robo de perfiles online que efectúan los hackers a través de Internet para conseguir acceso a tus cuentas bancarias y otro tipo de información personal.
Las víctimas, ceden sin saberlo su información a cibercriminales, que enmascaran sus mensajes, a menudo de correo electrónico, o SMS como una comunicación real de alguien de confianza u organismo oficial.
Estos delincuentes digitales hacen cualquier cosa para que sus correos electrónicos parezcan lo más auténticos posible. Por ejemplo, usan logotipos de sitios web y empresas oficiales. En dichos correos electrónicos, a menudo se les pide a las víctimas que hagan clic en un enlace o abran un archivo adjunto.
Al hacer clic en un enlace en un correo electrónico de pishing o descargar un archivo adjunto, normalmente te suele derivar a una página que parece un sitio web oficial, pero es solo una copia falsa.
El delincuente espera que ingreses tus datos personales e información confidencial en esta página, por ejemplo, completando una pantalla de inicio de sesión. Una vez que hagas esto, el criminal puede tener acceso a tu información e incluso tu webcam con la que puede grabar para luego extorsionar a la víctima.
El objetivo del pishing
El objetivo final de un delincuente de phishing es beneficiarse del robo de su dinero o datos personales. De ahí viene el nombre de 'phishing'. Los ciberdelincuentes 'pescan' tu información: tiran su caña de pescar digital (el correo electrónico) y esperan a que la víctima muerda “el anzuelo” digital.
Además, los cibercriminales que utilizan este tipo de estafa, cada vez están más sofisticados.
Lo que antes era un banner más que sospechoso en una web cualquiera, o ya de por sí sospechosa, ahora es un email con una línea de asunto persuasiva. Este juega con las necesidades y la urgencia para que el usuario abra el correo sin reparar demasiado en el remitente.
En definitiva, usan los miedos y las emociones del destinatario para hacer que su estafa funcione.
Podrían, por ejemplo, indicar en la línea de asunto que tienes un pago pendiente acompañado de un texto que indica que estás en riesgo de una multa si no te pones en contacto o pagas de inmediato, todo en un email que parece oficial, por las firmas, las imágenes o logos que pueda tener en un primer vistazo.
Hay veces que se enmascaran tras comunicaciones de que has recibido un premio, y necesitan tus datos para enviártelo. Pero como el usuario cada vez está más educado en este aspecto, deben de encontrar nuevos sistemas perfeccionados para que funcionen.
Las víctimas a menudo entran en pánico cuando leen esto y hacen lo que se les pide, cayendo en los trucos del ciberdelincuente.
No te sientas mal si esto te ha pasado alguna vez. Puede ser increíblemente difícil distinguir un mensaje de pishing falso de uno real y sin malas intenciones.
Tipos de Pishing
Conviene tener claros los tipos de pishing, o distintas formas en la que los ciber-delincuentes pueden intentar engañarte para sustraer los datos del usuario y robar, extorsionar, suplantar su identidad, etc.
Suplantación de identidad por correo electrónico
Es el que hemos explicado, porque es el pishing más común. Los ciber-delincuentes pasar por una identidad u organización legítima y envían correos electrónicos masivos a muchas direcciones esperando que “algún pez pique”.
Estos correos electrónicos contienen un enlace malicioso que conduce a una página de inicio de sesión falsa. Después de ingresar sus credenciales, las víctimas entregan su información personal al estafador.
Pishing selectivo
En lugar de enviar correos electrónicos masivos a miles de destinatarios, solo se ataca a ciertos empleados de empresas seleccionadas específicamente. Este tipo de correos electrónicos son más personalizados para hacer creer a la víctima que tiene una relación con el remitente. Cuando los seleccionados son los CEO´s o jefes de los organismos o empresas a los que se envía, se denomina “caza de ballenas” porque es una “pesca dirigida a los peces más gordos”.
Smishing
El phishing por SMS, o smishing, aprovecha los mensajes de texto en el móvil en lugar del correo electrónico para llevar a cabo un ataque de phishing. Funcionan de la misma manera que los ataques de phishing basados en el email. Los atacantes envían mensajes de texto que parecen ser fuentes legítimas (como empresas confiables) que contienen enlaces maliciosos enmascarados en premios o descuentos.
Pishing del gemelo malo
El phishing del gemelo malo consiste en configurar lo que parece ser una red WiFi legítima que en realidad atrae a las víctimas a un sitio de phishing cuando se conectan a él. Una vez que ingresan al sitio, generalmente se les solicita que ingresen sus datos personales, como las credenciales de inicio de sesión, que luego van directamente al cibercriminal.
Suplantación de ID en RRSS
El phishing en las redes sociales es cuando los atacantes usan sitios de redes sociales como Facebook, Twitter e Instagram para obtener datos confidenciales de las víctimas o atraerlas para que hagan clic en enlaces maliciosos.
Cómo detectar el pishing y otras amenazas digitales
Normalmente, las amenazas digitales como el pishing suelen tener algunos puntos en común, como un correo electrónico te pide que confirmes información personal, mala gramática, mensajes con sentido de urgencia, mensajes con ofertas o promociones “demasiado buenas para ser verdad” y enlaces o documentos adjuntos sospechosos.
Si recibes un correo electrónico que parece auténtico pero inesperado, es una fuerte señal de que es una fuente no confiable. Si las palabras están mal escritas, la gramática es deficiente o ves algo extraño en alguna frase estás ante una señal de alerta inmediata de un intento de phishing.
Si un mensaje parece haber sido diseñado para que entres en pánico y actúes de inmediato, ten cuidado; esta es una maniobra común entre los ciberdelincuentes.
Y si recibes un mensaje inesperado que te solicita que abras un archivo adjunto desconocido, nunca lo hagas a menos que estés completamente seguro de que el remitente es un contacto legítimo. Si te contactan sobre lo que parece ser una oferta única en la vida, probablemente esta sea falsa.
Teniendo claros los tipos de pishing, y de qué formas suele manifestarse esta estafa, es más sencillo estar protegido ante las amenazas digitales, cada vez más habituales.