Phishing

Phishing, qué es y cómo protegerte

Por

¿Has escuchado alguna vez hablar de phishing? De ser una respuesta negativa, o tener información a nivel intermedio, en este artículo te vamos a dar los detalles necesarios para que estés atento de estos casos, porque se trata de un delito que es muy empleado por hackers para engañar a las personas, para estos den a conocer: datos personales o las contraseñas de sus cuentas bancarias.

Te invito a seguir leyendo para que conozcas los detalles de este peligroso ataque cibernético que es muy común, y que cualquier persona, por lo eficiente que son los perpetradores, puede caer en su anzuelo.

¿En qué consiste un phishing?

El phishing, a nivel metodológico, es semejante a la pesca. Hay diferentes maneras de atrapar a la presa -las personas objetivo-, no obstante, existe una que es la más usada (la del correo electrónico), y consiste en un email con la identidad suplantada de un amigo, familiar, compañero de trabajo o alguna organización de confianza, como el caso de una entidad bancaria.

Si la víctima cae en el anzuelo y pulsa en el enlace enviado, va a ser dirigido a una página web que es el plagio de la legal, una vez adentro se le solicitará llenar unos campos en blancos con ciertos datos personales como el usuario y contraseña, si la persona lo hace, esta información va directo al atacante. La usará para robar identidades, vender información personal en el mercado negro, e incluso, la usaría para saquear cuentas bancarias.

El phishing no necesita de conocimientos técnicos y avanzados para ejecutarse. El director de Malwarebytes Labs, Adam Kujawa, expresó que: “El phishing es la forma más sencilla de ciberataque y, al mismo tiempo, la más peligrosa y efectiva. Eso es debido a que ataca el ordenador más vulnerable y potente del planeta: la mente humana”.Phishing

La historia del phishing

Fue en los años 70 cuando se forma un grupo que se hacían llamar los “phreaks”, estos tenían marcado como objetivo atacar los sistemas telefónicos. Era una época donde no existían tantas computadoras en la red para ser hackeadas. Hacer phreaking consistía en realizar llamadas a largas distancias de manera gratuita o averiguar números que no se encontraban en las listas telefónicas.

El origen del término se le atribuye a Khan C Smith, un popular hacker y spammer de los años 90. Pero según registros en la web, la palabra phishing fue usada abiertamente el 2 de enero de 1996 por Usenet denominado AOHell, un conocido grupo de noticias. Por otro lado, tenemos que America Online (AOL) era el consignatario número uno de accesibilidad a Internet, con millones de conexiones diariamente.

Obviamente que la notoriedad de AOL la hizo un blanco, los estafadores se comunicaban entre sí y para hacer los ataques phishing en contra de usuarios genuinos. AOL tomó medidas para clausurar definitivamente AOHell. Los hackers implementaron nuevas técnicas, se enfocaron en los usuarios de AOL haciéndose pasar por empleados, solicitando verificación de las cuentas, así como la información detallada de la facturación.

El ataque fue acrecentando que la organización AOL determinó enviar mensajes de advertencia mediante email, donde enfatizó que: “ningún empleado de AOL le solicitará la contraseña o la información de facturación”

Para la década del 2000, el phishing se inclinó a los sistemas de pago online, engañando a los clientes que usaban el servicio de bancario y online, e incluso las investigaciones posteriores identificaron algunas de las estafas con las entidades bancarias legítimas que usaban.Phishing

Otro objetivo principal del phishing fueron las redes sociales, muy sustanciosos para los estafadores, puesto que los registros de datos encontrados allí eran atractivos para usurpar identidades.

Otra estafa que hicieron los hackers fue el registro de diversidad de dominios para hacerse pasar por PayPal u eBay, su imitación era tan perfecta que los usuarios caían en la trampa, cuando recibían los correos electrónicos, que los dirigía a la página falsa solicitando actualizar el número de tarjetas de crédito u otra información. En septiembre del 2003 se informó el primer ataque phishing a un banco, la cual la hizo de The Banker (una publicación propiedad de The Financial Times Ltd.)

Con el pasar de los años, los ataques cibernéticos iban en aumento y haciéndose más sofisticados, en el 2011 phishing se enlazó con unos patrocinadores estatales, cuando una campaña china de dichos hackers atacó cuentas de Gmail de altos cargos en la política y de funcionarios militares de EE. UU. y Corea del Sur, del mismo modo hicieron con activistas políticos de China.

Para el 2013 otro ataque se hizo viral robándose unos 110 millones de registros de usuarios de target, así como los números de sus tarjetas de crédito, esto fue realizado a través de una cuentas subcontratistas reemplazadas por phishing.

En el 2017, se hizo la mayor estafa masiva de phishing, cuando un grupo se estafaron a los departamentos de contabilidad de Facebook y Google, el total del dinero transferido a una cuenta en el extranjero fue más de 100 millones de dólares.

¿Cuáles son los tipos de ataques de phishing?

Existen muchas forma de estafas, pero la actividad usual de todos los ataques de phishing, es el emplear una excusa para obtener datos de valor. Vamos a conocer los más frecuentes:Phishing

El Spear phishing

Por lo general, las campañas phishing envían email masivo para tener mayor alcance de personas, sin embargo, el spear phishing es un ataque específico, que es dirigido a una persona u organización en particular. Usan mucho contenido personalizado para que las personas caigan fácilmente.

Antes de ejecutarlo, requieren tener información previa para conocer más a sus víctimas: nombres, direcciones, cargos, correos electrónicos, redes sociales, entre otras. Luego buscan en Internet relacionarlos con los demás profesionales, y así encontrar las personas objetivas de la organización. Con toda esta información el hacker elabora un email creíble.

Para dar un ejemplo claro, supongamos que se crea un spear phishing para un empleado que tienen como responsabilidad autorizar los pagos en una organización específica, ahora el correo electrónico le indica a dicho empleado que tiene que enviar un pago muy sustancioso a un proveedor o ejecutivo de la empresa al parecer todo es legal, sin embargo, cuando el pago se efectúa al enlace malicioso cae bajo el control del atacante.

El Phishing de clonación

Los estafadores clonan los correos electrónicos legales, que ya han sido enviados con anterioridad, pero estos contienen un archivo adjunto. Luego el estafador reemplaza todo por enlaces maliciosos, haciendo ver el contenido como el original. Los usuarios, por lo general, abren el correo y dan clic en el enlace o en el archivo adjunto, lo que permite que el hacker tenga total control del sistema. Al tener la identidad se hace pasar por este, para poder llegar a otras víctimas del mismo grupo de la organización

El 419/Estafas nigerianas

Le dedicamos un espacio importante, por lo común que suele ser esta metodología. Se trata de un extenso correo electrónico cuyo contenido consiste en una persona que es príncipe nigeriano, que goza de importantes cargos políticos, o es descendiente de una familia real, el cual solicita ayuda para hacer transferencia de millones de dólares desde Nigeria, este correo se marca como privado o urgente. En este se solicita un número de cuenta al destinatario para realizar la transferencia a un lugar seguro.

El nombre se refiere a la sección del código penal nigeriano acerca del fraude y los cargos imputados para estos estafadores.

El Phishing telefónico

Conocido como phishing de voz o vishing, el estafador se hace pasar por un representante del banco local, la Agencia Tributaria o la policía, luego le inyecta temor a su víctima por algún problema inventado que te hacen creer que estás involucrado por lo que te exigen solventarlo pagando una multa o dando la información de tus datos bancarios, por lo general te solicitan transferencia bancaria o tarjetas prepagos que no pueden ser rastreadas.

También existe el phishing vis SMS o smishing, el gemelo de vishing, ejecuta la misma estafa, pero envían enlaces maliciosos incitando a hacer clic mediante mensajes de texto SMS.

¿Cómo se identifica un ataque de phishing?

A simple vista no es fácil reconocer los ataques phishing, pero si sigues los consejos que te daremos más adelante te será de mucha ayuda para que puedas tener una noción cuando se estén efectuando. Empezamos por la elemental:

  • En primer lugar, busca algo inusual en el correo electrónico.
  • Luego pregúntate: ¿Este mensaje me despierta sospecha?
  • Confía plenamente en tu intuición

No te dejes llevar por el miedo, esta es la táctica principal de los ataques phishing para que tu razonamiento se nuble.Phishing

Ahora te mencionaremos las señales para que identifiques el ataque phishing:

  • El correo electrónico te da una oferta muy buena para ser cierta. Te notifican que fuiste el elegido para un premio caro, que te ganaste la lotería o cualquier otra cosa de un costo elevado.
  • Puede que el remitente es conocido, pero no es alguien con quien acostumbras a tratar, si el nombre de la persona es familiar, pero que no se comunican y más aún cuando el contenido de correo electrónico no tiene que ver con actividades laborales comunes. Puede que el correo sea de personas que ni tienes idea quienes son o un grupo de colegas del departamento que nunca han tenido una relación estrecha
  • El mensaje es alarmista, este tipo de correos electrónicos traen incluido un lenguaje aterrador que se incita a dar clic con urgencia, como: “actué ahora, antes que la cuenta sea eliminada”. Es importante tener presente que las empresas u organizaciones responsables no te solicitan detalles personales vía online.
  • El contenido tiene mensajes adjuntos extraños, estos pueden tener, ransomware, malware u otra amenaza online.
  • Por último, el mensaje tiene enlaces algo extraño. Para poder verificar si todo está bien, pasa el cursor por encima el enlace para visualizar la Url verdadera.
  • Pon atención a los errores ortográficos de una página web que le sea familiar, ya que este es un indicio de falsificación.

Recomendaciones para protegerse del phishing

Como el phising es un ataque que brinda a los estafadores oportunidades extraordinarias, puede aparecer en dispositivos móviles, así como en computadoras, tanto de mesa, como portátiles, por lo general los navegadores de Internet te proporcionan las maneras de verificar si el enlace es seguro. No obstante, para defenderse de estos ingeniosos ataque requieres de criterio, estas señales deben saberse reconocer:

  • Si el correo electrónico es de personas que no te son familiares, no los abras.
  • No pulses sobre enlaces que contenga un correo electrónico, hazlo si sabes a dónde te dirigen, de lo contrario, eliminalo.
  • Al recibir un correo electrónico cuya dirección no le parece segura, escribe esa dirección legítima de manera manual en el navegador.
  • Si te están solicitando información confidencial debes verificar que la Url de dicha página empieza con “HTTPS”, esto significa que estás en un lugar seguro, y aunque no te garantiza que el lugar sea legítimo, la mayoría de los sitios que son legítimos usan este tipo de Url. Los que son HTTP son más vulnerables para los hackers duplicarlas.
  • Si un correo electrónico no le parece legítimo elija un nombre o una parte del mensaje de texto e introduce en un motor de búsqueda para verificar si hay una ataque phishing que usa la misma metodología.

Phishing

También es necesario que se use un software de seguridad antimalware, esto se debe a que las herramientas de seguridad de la informática son capaces de detectar cuando un archivo adjunto o enlace no es confiable. Además, en caso de que llegase a caer en un ataque inteligente de phishing, por lo menos evita que compartas información con las personas equivocadas.

Se puede decir que los productos de seguridad procedente de varias compañías que podemos encontrar en internet, detecta de ipso facto sitios de fraude, e impide que los abras. No será necesario entrar en un estado paranoico con cada email que se recibe. Ya que podemos estar seguro de que tales productos harán la labor de filtración de contenido.

Hasta aquí llega nuestro artículo de phishing ¡Esperamos que lo hayas disfrutado! En nuestra página podrás leer más contenido sobre temas relacionados, y de otras temáticas, tales como marketing online y negocios.

Publicaciones Similares

Frases de reflexión

Frases de reflexión

Por

Estas frases de reflexión son más que herramientas que ayudan a todo aquel que las lee. Todas las personas pasan por momentos difíciles, por lo cual deben lograr conseguir motivación en su vida, como también explorar la autoconciencia para superar el obstaculo que necesiten. Respecto a esto se consiguen muchas oportunidades de introspección y crecimiento…

¿Qué es un Mapa Interactivo y cómo hacerlo?
|

¿Qué es un Mapa Interactivo y cómo hacerlo?

Por

Hace una década, saber la localización exacta de un lugar dependían de dispositivos muy específicos de señal satelital. Estos se conocían  en principio como dispositivos GPS, que te ofrecían señales básicas sobre trayectos y posiciones. No es como hoy, que inclusive existe el mapa interactivo. Antes, solamente brindabas un punto destino, desde la locación actual,…