Actualidad, Security Breaches

Los 4 tipos de Phishing principales y cómo evitarlos

El phishing es una táctica empleada por delincuentes digitales para engañar a las personas con el fin de obtener información privada, como contraseñas, datos bancarios o personales. Su nombre proviene del inglés «fishing» (pescar), ya que se basa en «lanzar el anzuelo» para atrapar datos sensibles mediante artimañas digitales.

¿Cómo identificar un intento de phishing? Este tipo de fraude suele iniciarse mediante correos electrónicos y mensajes engañosos; y dirigirse de forma genérica o específica, como el caso de el spear phishing. Detectarlos a tiempo es clave. Existen, además, determinadas señales para prevenirlo, como la verificación del remitente. En ese sentido, hay que asegurarse de conocer al emisor del correo y revisar que la dirección de correo sea legítima. También es importante detectar si hay errores en el mensaje y sospechar si el correo contiene faltas de ortografía, mala redacción o errores de traducción.

Por otro lado, es importante examinar los enlaces que se reciben, ya sea en formato email o por mensaje de texto. Una buena idea es colocar el cursor sobre los hipervínculos del mensaje sin hacer clic. Así se puede ver la dirección real a la que llevan. Si no corresponde con la empresa o sitio que menciona el mensaje, probablemente se trate de un fraude. En general, hay que desconfiar de las ofertas poco creíbles. Se trata de correos que informan sobre premios que el usuario no ha ganado, trabajos para los que no opta, multas sin justificación o advertencias urgentes de servicios que no han sido contratados

Si accidentalmente entramos en uno de estos enlaces, aún podemos identificar una página falsa si se revisa la URL con atención. En dispositivos móviles, donde la dirección puede estar oculta, es aún más importante estar alerta. No basta con acceder a la web falsa; el robo ocurre si se introducen datos en ella. Cuando el usuario está en una página que solicita información confidencial, debe revisar que la dirección web sea la oficial, que comience con «https://» y no tenga errores de escritura. Algunas webs fraudulentas imitan el nombre original con pequeñas variaciones.

1. Phishing tradicional

Esta es la forma más común de ataque. Los delincuentes envían correos electrónicos que aparentan ser de entidades confiables, como bancos o plataformas de correo; o incluso empresas de entretenimiento muy conocidas, con el fin de obtener información personal. Estos mensajes piden, por ejemplo, contraseñas o datos financieros, y a menudo redirigen a sitios falsos que imitan a los originales.

2. Spear phishing

Se trata de una variante más sofisticada y dirigida. En lugar de enviar correos masivos, los atacantes personalizan los mensajes para una persona o empresa concreta. Utilizan información específica de la víctima para parecer creíbles. El objetivo puede ser obtener credenciales, datos financieros o incluso instalar malware. Este tipo de ataque es común entre piratas informáticos respaldados por gobiernos, aunque también lo utilizan delincuentes comunes para fraudes financieros, espionaje o venta de información confidencial.

3. Smishing

El smishing se realiza a través de diferentes aplicaciones de mensajería, como SMS o WhatsApp. El mensaje suele contener un enlace acompañado de una excusa para que la persona lo abra. Pueden afirmar que tienes que cobrar un premio, confirmar una devolución de impuestos, evitar un cargo bancario sospechoso o pagar una multa. El enlace lleva a una página falsa que imita a la entidad mencionada, donde se solicita información sensible.

4. Vishing

Esta modalidad combina el uso del teléfono con datos previamente obtenidos a través de otras estafas. El delincuente se hace pasar por un trabajador del banco y llama a la víctima, normalmente con una excusa alarmante, como una supuesta actividad fraudulenta en la cuenta. El objetivo es que la persona revele códigos de seguridad como la clave SMS o el token digital, necesarios para autorizar operaciones bancarias.

Checklist de defensa integral

A continuación vamos a ver tres técnicas de autoayuda para identificar y prevenir los ataques de phishing.

Zero Trust: Es un enfoque de ciberseguridad que parte del principio de no confiar automáticamente en ningún usuario ni dispositivo, sin importar si se encuentran dentro o fuera del entorno interno de la organización.
MFA: La autenticación multifactor (MFA) es un método de seguridad que exige a los usuarios verificar su identidad utilizando dos o más formas de autenticación antes de acceder a una cuenta o sistema. Su nivel de protección es superior al sistema tradicional que pide el usuario y la contraseña.
Entrenamiento: La preparación contra el phishing es una acción muy importante que debe tenerse en cuenta en las empresas. Ya que muchas de estas acciones tienen el objetivo de robar información sensible de organizaciones, preparar a los empleados para afrontar este riesgo resulta indispensable en el mundo digital actual.

El phishing, en sus distintas formas, representa una de las amenazas más frecuentes en el entorno digital. La prevención y el entrenamiento se presentan como las mejores defensas ante un riesgo de esta magnitud. En ese sentido, es importante mantenerse alerta y no compartir datos personales salvo que se esté completamente seguro de que la relación es segura.

Aldana Balmaceda

Deja un comentario Cancelar respuesta

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

Cyber Insurance Day 22: El evento del ciberseguro ya está aquí

Eventos

Cyber Insurance Day 22: Objetivo concienciar/informar sobre ciberseguros

Actualidad, Ciberseguros, Eventos

La necesidad de contar con un Ciberseguro

Actualidad, Ciberseguros

Resumen de la Jornada de Puertas Abiertas en CyberSecurity News

#CyberWebinar, Actualidad

Os invitamos a la Jornada de Puertas Abiertas de CyberSecurity News

Actualidad, Eventos

Códigos QR o SMS: riesgos de la vieja tecnología que la pandemia ha puesto de moda

Actualidad, Cyber Expertos

#CyberCoffee 23 con Raquel Ballesteros, Responsable de Desarrollo de Mercado en Basque Cybersecurity Centre

Entrevistas

#CyberWebinar El EPM: Antídoto contra sus infecciones del malware

#CyberWebinar

Rumbo al ciberseguro inteligente: La VI Edición de Cyber Insurance Day repasará actualidad y tendencias en ciberseguridad y seguros

Actualidad, Eventos

Alerta sanitaria: vulnerabilidades críticas afectan al 58% de los hospitales

Actualidad, Ciberseguridad

CoGUI, el kit de phishing que roba datos con millones de mensajes maliciosos

Actualidad, Security Breaches

RECIBE LA NEWSLETTER

ARTÍCULOS MÁS RECIENTES

Rumbo al ciberseguro inteligente: La VI Edición de Cyber Insurance Day repasará actualidad y tendencias en ciberseguridad y seguros

Actualidad, Eventos

Los 4 tipos de Phishing principales y cómo evitarlos

Actualidad, Security Breaches

Alerta sanitaria: vulnerabilidades críticas afectan al 58% de los hospitales

Actualidad, Ciberseguridad

CoGUI, el kit de phishing que roba datos con millones de mensajes maliciosos

Actualidad, Security Breaches

La inteligencia artificial redefine las reglas del juego en ciberseguridad

AI, Ciberseguridad

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

SÍGUENOS EN FACEBOOK

SÍGUENOS EN TWITTER

SÍGUENOS EN LINKEDIN

SÍGUENOS EN INSTAGRAM

SÍGUENOS EN YOUTUBE

MÁS COMENTADOS

¿Qué hacer si eres víctima de phishing?

Email, Network Security

Un ciberataque sacude la sanidad en Baleares

Actualidad, CyberAttacks, Security Breaches

Los clientes de CaixaBank sufren un ataque de suplantación de identidad

Actualidad, CyberAttacks

España, entre las grandes potencias mundiales en ciberseguridad

Actualidad, Ciberseguridad

Ucrania anuncia un gran ciberataque y Rusia alega no estar involucrada

Actualidad, CyberAttacks