Qué es un Phishing, tipos y protección

publicado en: Uncategorized | 0

20/05/2021 por Miguel Cristo Hernández (miguelhax2021@gmail.com)

El phishing es una modalidad delictiva encuadrada en la figura de estafa realizada a través de Internet, y constituye otra de las amenazas de seguridad más propagadas a través del correo electrónico. ​

A pesar de sus muchas variedades, el denominador común de todos los ataques de phishing es el uso de un pretexto fraudulento para adquirir datos valiosos. 

Cuáles son los tipos de Phishing

Spear Phishing

Mientras la mayoría de las campañas de phishing envían correos electrónicos masivos al mayor número posible de personas, el spear phishing es un ataque dirigido. Spear phishing ataca a una persona u organización específica, requiere un reconocimiento previo al ataque para descubrir nombres, cargos, direcciones de correo electrónico y similares.

Phishing de clonación

En este ataque, los delincuentes hacen una copia, o clonan, correos electrónicos legítimos enviados anteriormente que contienen un enlace o un archivo adjunto. Luego, el autor del phishing sustituye los enlaces o archivos adjuntos con contenido malicioso disfrazado para hacerse pasar por el auténtico. Los usuarios desprevenidos hacen clic en el enlace o abren el adjunto, lo que a menudo permite tomar el control de sus sistemas. Luego el autor del phishing puede falsificar la identidad de la víctima para hacerse pasar por un remitente de confianza ante otras víctimas de la misma organización.

419/Estafas nigerianas

Un extenso correo electrónico de phishing de alguien que afirmaba ser un príncipe nigeriano es una de las estafas más antiguas de Internet.

El phishing del príncipe nigeriano procede de una persona que afirma ser un funcionario del gobierno o miembro de una familia real que necesita ayuda para transferir millones de dólares desde Nigeria. El correo electrónico se marca como ‘urgente’ o ‘privado’ y su remitente solicita al destinatario que proporcione un número de cuenta bancaria para remitir los fondos a un lugar seguro”.

Por cierto, el número “419” está asociado con esta estafa. Hace referencia a la sección del código penal nigeriano que trata sobre fraude, los cargos y las penas para los infractores.

Phishing telefónico

Con los intentos de phishing a través del teléfono, a veces llamados phishing de voz o “vishing,” el phisher llama afirmando representar a su banco local, la policía o incluso la Agencia Tributaria. A continuación, le asustan con algún tipo de problema e insisten en que lo solucione inmediatamente facilitando su información de cuenta o pagando una multa. Normalmente le piden que pague con una transferencia bancaria o con tarjetas prepago, porque son imposibles de rastrear.

Consejos para evitar ataques Phishing

Entre las buenas prácticas de seguridad que se recomiendan a los usuarios, para que éstos eviten ser víctimas del phishing, están las siguientes: ​

  • Tener en cuenta que las entidades bancarias y financieras no solicitan datos confidenciales a través de este medio, de esta manera se minimiza la posibilidad de ser víctima de esta acción delictiva. ​
  • Desconfiar de los correos que dicen ser emitidos por entidades que brindan servicios y solicitan cambios de datos sensibles ya que suelen ser métodos de Ingeniería Social ​
  • No hacer click sobre enlaces que aparecen en el cuerpo de los correos electrónicos, ya que pueden redireccionar hacia sitios web clonados o hacia la descarga de malware. ​
  • Asegurarse de que la dirección del sitio web al cual se accede comience con el protocolo https. La «s» final, significa que la página web es segura y que toda la información depositada en la misma viajará de manera cifrada. ​
  • Verificar la existencia de un certificado digital en el sitio web. El certificado digital se despliega en pantalla al hacer clic sobre la imagen del candado. ​
  • Revisar que el certificado digital no haya caducado, ya que el mismo podría haber sido manipulado intencionalmente con fines maliciosos. ​
  • Comunicarse telefónicamente con la compañía para descartar la posibilidad de ser víctimas de un engaño, si se tiene dudas sobre la legitimidad de un correo. ​
  • Jamás se debe enviar contraseñas, números de tarjetas de crédito u otro tipo de información sensible a través del correo electrónico, ya que la comunicación podría ser interceptada y robada. ​
  • Habituarse a examinar periódicamente la cuenta bancaria, a fin de detectar a tiempo alguna actividad extraña relacionada con la manipulación de la cuenta o transacciones no autorizadas. ​
  • Denunciar casos de phishing (dentro de lo posible) en la entidad de confianza ya que además de cortar la actividad del sitio malicioso, se colabora con la seguridad general de la navegación en Internet.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *