Facebook Linkedin Twitter Instagram Youtube Telegram

 Los 4 tipos de Phishing principales y cómo evitarlos 

El phishing es una táctica empleada por delincuentes digitales para engañar a las personas con el fin de obtener información privada, como contraseñas, datos bancarios o personales. Su nombre proviene del inglés «fishing» (pescar), ya que se basa en «lanzar el anzuelo» para atrapar datos sensibles mediante artimañas digitales.

¿Cómo identificar un intento de phishing? Este tipo de fraude suele iniciarse mediante correos electrónicos y mensajes engañosos; y dirigirse de forma genérica o específica, como el caso de el spear phishing. Detectarlos a tiempo es clave. Existen, además, determinadas señales para prevenirlo, como la verificación del remitente. En ese sentido, hay que asegurarse de conocer al emisor del correo y revisar que la dirección de correo sea legítima. También es importante detectar si hay errores en el mensaje y sospechar si el correo contiene faltas de ortografía, mala redacción o errores de traducción.

Por otro lado, es importante examinar los enlaces que se reciben, ya sea en formato email o por mensaje de texto. Una buena idea es colocar el cursor sobre los hipervínculos del mensaje sin hacer clic. Así se puede ver la dirección real a la que llevan. Si no corresponde con la empresa o sitio que menciona el mensaje, probablemente se trate de un fraude. En general, hay que desconfiar de las ofertas poco creíbles. Se trata de correos que informan sobre premios que el usuario no ha ganado, trabajos para los que no opta, multas sin justificación o advertencias urgentes de servicios que no han sido contratados

Si accidentalmente entramos en uno de estos enlaces, aún podemos identificar una página falsa si  se revisa la URL con atención. En dispositivos móviles, donde la dirección puede estar oculta, es aún más importante estar alerta. No basta con acceder a la web falsa; el robo ocurre si se introducen datos en ella. Cuando el usuario está en una página que solicita información confidencial, debe revisar que la dirección web sea la oficial, que comience con «https://» y no tenga errores de escritura. Algunas webs fraudulentas imitan el nombre original con pequeñas variaciones. 

1. Phishing tradicional

Esta es la forma más común de ataque. Los delincuentes envían correos electrónicos que aparentan ser de entidades confiables, como bancos o plataformas de correo; o incluso empresas de entretenimiento muy conocidas, con el fin de obtener información personal. Estos mensajes piden, por ejemplo, contraseñas o datos financieros, y a menudo redirigen a sitios falsos que imitan a los originales.

2. Spear phishing

Se trata de una variante más sofisticada y dirigida. En lugar de enviar correos masivos, los atacantes personalizan los mensajes para una persona o empresa concreta. Utilizan información específica de la víctima para parecer creíbles. El objetivo puede ser obtener credenciales, datos financieros o incluso instalar malware. Este tipo de ataque es común entre piratas informáticos respaldados por gobiernos, aunque también lo utilizan delincuentes comunes para fraudes financieros, espionaje o venta de información confidencial.

3. Smishing

El smishing se realiza a través de diferentes aplicaciones de mensajería, como SMS o WhatsApp. El mensaje suele contener un enlace acompañado de una excusa para que la persona lo abra. Pueden afirmar que tienes que cobrar un premio, confirmar una devolución de impuestos, evitar un cargo bancario sospechoso o pagar una multa. El enlace lleva a una página falsa que imita a la entidad mencionada, donde se solicita información sensible.

4. Vishing

Esta modalidad combina el uso del teléfono con datos previamente obtenidos a través de otras estafas. El delincuente se hace pasar por un trabajador del banco y llama a la víctima, normalmente con una excusa alarmante, como una supuesta actividad fraudulenta en la cuenta. El objetivo es que la persona revele códigos de seguridad como la clave SMS o el token digital, necesarios para autorizar operaciones bancarias.

Checklist de defensa integral

A continuación vamos a ver tres técnicas de autoayuda para identificar y prevenir los ataques de phishing. 

  • Zero Trust:  Es un enfoque de ciberseguridad que parte del principio de no confiar automáticamente en ningún usuario ni dispositivo, sin importar si se encuentran dentro o fuera del entorno interno de la organización.
  • MFA: La autenticación multifactor (MFA) es un método de seguridad que exige a los usuarios verificar su identidad utilizando dos o más formas de autenticación antes de acceder a una cuenta o sistema. Su nivel de protección es superior al sistema tradicional que pide el usuario y la contraseña. 
  • Entrenamiento: La preparación contra el phishing es una acción muy importante que debe tenerse en cuenta en las empresas.  Ya que muchas de estas acciones tienen el objetivo de robar información sensible de organizaciones, preparar a los empleados para afrontar este riesgo resulta indispensable en el mundo digital actual. 

El phishing, en sus distintas formas, representa una de las amenazas más frecuentes en el entorno digital. La prevención y el entrenamiento se presentan como las mejores defensas ante un riesgo de esta magnitud. En ese sentido, es importante mantenerse alerta y no compartir datos personales salvo que se esté completamente seguro de que la relación es segura. 

Picture of Aldana Balmaceda

Aldana Balmaceda

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.