Bienvenido, soy Iván León y en el artículo de hoy continuamos con el tema de ciberseguridad, ahondando en una de sus modalidades el PHISHING.
¿Qué es el phishing y cómo evitarlo?
El phishing es una forma de ciberdelito que consiste en engañar a las personas para que compartan información confidencial, como contraseñas, números de tarjetas de crédito o datos bancarios, haciéndose pasar por una entidad o persona de confianza. El objetivo de los atacantes de phishing es robar o dañar los datos de sus víctimas, ya sea para acceder a sus cuentas, realizar compras fraudulentas, extorsionarlas o infectar sus dispositivos con software malicioso. ¿Cómo funciona el phishing?
El phishing se basa en la ingeniería social, es decir, en la manipulación psicológica de las personas para que hagan algo que no deberían hacer. Los atacantes de phishing suelen utilizar diferentes medios de comunicación, como el correo electrónico, el teléfono, los mensajes de texto o las redes sociales, para enviar mensajes falsos que parecen provenir de fuentes legítimas, como bancos, empresas, organismos públicos o amigos.
Estos mensajes suelen contener una carnada para atraer a las víctimas y generar una sensación de urgencia, curiosidad o miedo. Por ejemplo, pueden decir que hay un problema con la cuenta, que se ha ganado un premio, que se necesita confirmar una compra o que se debe actualizar una información.
El mensaje suele incluir un enlace o un archivo adjunto que dirige a la víctima a una página web falsa o a un software malicioso.
Una vez en la página web falsa, que imita el diseño y el logo de la entidad suplantada, se le pide a la víctima que introduzca sus datos personales o financieros. Estos datos son capturados por los atacantes y utilizados para fines ilícitos. En el caso del software malicioso, este puede infectar el dispositivo de la víctima y robar su información, bloquear su acceso o controlarlo remotamente.
¿Qué tipos de phishing existen?
Existen diferentes tipos de phishing según el método utilizado, el objetivo perseguido o el nivel de personalización del ataque. Algunos de los más comunes son:
– Phishing por correo electrónico: Es la forma más habitual de phishing.
Consiste en enviar correos electrónicos falsos que simulan ser de entidades o personas conocidas y que contienen enlaces o archivos adjuntos maliciosos.
– Phishing por SMS (smishing): Es similar al anterior, pero utilizando mensajes de texto. Los atacantes se hacen pasar por empresas como Digitel o Movistar y envían mensajes con ofertas, promociones o alertas que incitan a hacer clic en un enlace fraudulento.
– Phishing por voz (vishing): Es el uso del teléfono para realizar llamadas falsas que pretenden ser de centros de atención al cliente, bancos u organismos oficiales. Los atacantes intentan convencer a las víctimas para que proporcionen su información personal o financiera por voz.
– Phishing dirigido: Es un tipo de phishing más sofisticado y selectivo que se enfoca en personas específicas, como empleados de una empresa o usuarios.
VIP. Los atacantes investigan previamente a sus objetivos y personalizan sus mensajes para ganarse su confianza y credibilidad.
– Phishing de alto nivel: Es una variante del phishing dirigido que tiene como blanco a personas con altos cargos o influencia, como directivos, políticos o celebridades. Los atacantes buscan obtener información sensible o privilegiada que les permita acceder a recursos valiosos o realizar extorsiones.
Ejemplos notables de phishing
El phishing es una amenaza muy extendida y frecuente en el mundo digital. Según un informe de Microsoft, el 70% de las organizaciones sufrieron ataques exitosos de phishing en 2020. Algunos ejemplos notables de phishing son:
– El caso Carbanak: Se trata de una operación criminal que duró varios años y que afectó a más de 100 bancos en 40 países. Los atacantes enviaron correos electrónicos con archivos adjuntos maliciosos a los empleados de los bancos, que al abrirlos infectaron sus sistemas con un software que les permitió controlar sus redes, cámaras y cajeros automáticos. Se estima que robaron más de mil millones de dólares.
– El caso Twitter: En julio de 2020, varios hackers lograron acceder a las cuentas de Twitter de personalidades como Barack Obama, Elon Musk o Bill Gates, entre otros, y publicaron mensajes fraudulentos solicitando donaciones en bitcoins. Para ello, utilizaron técnicas de phishing dirigido y de alto nivel para obtener las credenciales de los empleados de Twitter y acceder a su panel de control interno. Se calcula que obtuvieron más de 100.000 dólares en bitcoins.
– El caso Netflix: En octubre de 2017, se detectó una campaña masiva de phishing por correo electrónico que afectó a millones de usuarios de Netflix. Los atacantes enviaron correos electrónicos falsos que alertaban a los usuarios de que su cuenta había sido suspendida por un problema con el pago y les pedían que actualizaran sus datos en un enlace fraudulento. El objetivo era robar sus datos bancarios y sus credenciales de acceso.
4 Consejos para evitar ser víctima de phishing
El phishing es una amenaza seria y constante que puede causar graves daños a las personas y a las organizaciones. Por eso, es importante estar alerta y seguir una serie de consejos para evitar caer en la trampa:
– Desconfiar de los mensajes sospechosos: No abrir ni responder a los mensajes que provengan de remitentes desconocidos, que contengan errores ortográficos o gramaticales, que pidan información personal o financiera, o que generen una sensación de urgencia o amenaza.
– Verificar la autenticidad de los mensajes: Ante la duda, comprobar la veracidad de los mensajes contactando directamente con la entidad o persona suplantada por otro medio, como el teléfono o la página web oficial. No hacer clic en los enlaces ni abrir los archivos adjuntos sin antes verificar su procedencia y seguridad.
– Proteger los dispositivos y las cuentas: Utilizar un software antivirus actualizado y un navegador seguro que pueda detectar y bloquear las páginas web falsas o maliciosas. También es recomendable activar la autenticación en dos pasos y usar contraseñas fuertes y diferentes para cada cuenta.
– Educar y concienciar: Es fundamental informarse y formarse sobre los riesgos del phishing y las formas de prevenirlo. También es importante compartir esta información con familiares, amigos y compañeros de trabajo para crear una cultura de ciberseguridad.
El phishing es un problema grave que afecta a millones de personas cada año. Sin embargo, con una actitud crítica, precaución y sentido común, se puede evitar ser víctima de este tipo de ciberdelito.
Como siempre espero que este articulo sea útil para ti, te recomiendo seguir estudiando y actualizando la información sobre el tema de ciberseguridad, también te invito a seguir leyendo mis próximos artículos donde continuaré el tema de ciberseguridad y tecnología, para contactarme en caso de dudas, sugerencias puedes hacerlo por Telegram o las redes sociales donde me encuentras como @ubikalo.
Recuerda: si algo parece demasiado bueno o demasiado malo para ser verdad, probablemente sea phishing, nos leemos la semana próxima.
Imagen generada con Inteligencia artificial
