Blog

Qué es el phishing y cómo puedo detectar la estafa

Qué es el phishing y cómo puedo detectar la estafa

El phishing es una forma de estafa mediante ingeniería social dirigido tanto a usuarios particulares como corporativos, con el objetivo de obtener acceso a contraseñas de diferentes servicios en línea u otra información confidencial.

Para ello, los villanos utilizan principalmente el correo electrónico, las redes sociales, llamadas telefónicas o cualquier otra forma de comunicación.

Si bien los ataques tradicionales de phishing son algo parecido a echar un anzuelo y esperar a ver quien pica, también existen ataques de phishing personalizados dirigidos contra un individuo, o una organización en concreto.

Esto se logra realizando una pequeña investigación sobre los hábitos de la víctima, por ejemplo visitando sus redes sociales, su perfil de LinkedIn donde revela ibremente su experiencia laboral, o recopilando otro tipo de información más  o menos pública.

Puede llevar tiempo, pero si sale bien, la recompensa merece la pena.

Al phishing personalizado y dirigido se le denomina Spear phishing.

Los mensajes de phishing, simulan proceder de una entidad legítima (compañia telefónica, red social, banco, institución pública, etc.) e intentan infundir al destinatario una sensación de urgencia para no darle tiempo a reflexionar.

Para ello, utilizan todo tipo de argumentos relacionados con la seguridad de la entidad o la necesidad de realizar algun trámite administrativo urgente, para justificar la necesidad de que la víctima facilite sus datos personales.

Estimado cliente.Hemos detectado una actividad inusual en su cuenta, y por razones de seguridad hemos procedido a bloquearla.

Para verificar que usted es el titular de la misma es imperativo que confirme su identidad mediante nombre de usuario y contraseña.

Todas las cuentas afectadas deben verificarse antes del 14-02-2020.

Para ahorrarle molestias le facilitamos un enlace directo al departamento correspondiente.

Anteriormente, este tipo de mensajes, eran bastante cutres, mal redactados, y repletos de errores ortográficos y gramaticales.

Pero se han vuelto cada vez mas sofisticados, por no hablar de que es muy fácil conseguir logos corporativos de diferentes empresas mediante una simple búsqueda en internet

Si la persona entra en pánico y pulsa en el enlace, será redirigido a una página que simula la del servicio genuino, y el ciberdelincuente se hara con sus credenciales.

Como ocurre con el spam, este tipo de correos electrónicos de phishing también pueden tener como objetivo que la víctima infecte su dispositivo con malware.

Por ejemplo, pueden enviar un correo electrónico a un miembro del personal de recursos humanos con un archivo PDF adjunto que pretende ser el currículum de un solicitante de empleo, que una vez abierto infectará la red corporativa con ransomware.

También a peces más grandes como directores ejecutivos u otros objetivos de alto valor para que instalen registradores de pulsaciones del teclado en sus dispositivos.

La disponibilidad de kits de phishing en la web oscura,facilita a los ciberdelincuentes con habilidades técnicas mínimas, el lanzamiento de campañas de este tipo.

Cómo detectar si un correo es un ataque Phishing

Una de las señales que nos indican que un mensaje puede ser un intento de estafa es su contenido genérico, que en vez de mencionar nuestro nombre completo, nos llaman cosas como usuario, estimado cliente o similares.

Algunos incluso incluyen un numero de referencia escrito al azar para darle mayor credibilidad al invento.

campaña de phishing

Ninguna empresa medianamente seria, tendría la poca profesionalidad y la descortesía de tratar a un cliente como un número y no llamarle por su nombre.

Las compañías legítimas utilizan direcciones de correo corporativas con un nombre de dominio propio.

Un banco, red social o cualquier corporación, nunca utilizará un correo gratuito como Hotmail,Gmail o similares, para ponerse en contacto con un cliente.

Otra forma que tienen los ciberdelincuentes de engañar a sus víctima es simular un correo corporativo, utilizando nombres de dominio similares, normalmente gratuitos y registrados para la ocasión.

Por ejemplo: Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo., cuando en este caso la dirección real del remitente sería: Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo..

Los mensajes través de servicios como WhatsApp,Twitter o Facebook, en los que ofrecen cupones de descuento o premios rellenando un formulario con datos personales, son otra forma de estafa.

En los casos de phishing dirigido (Spear phishing), el ciberdelincuente realiza una investigación en internet y las redes sociales de la víctima, para descubrir sus preferencias, lugar de trabajo, direcciones de correo electrónico, así como información sobre su entorno laboral o personal.

phishing dirigido

Esta información se puede utilizar para elaborar un perfil y crear un correo electrónico personalizado lo más creíble posible.

El phishing por voz, también conocido como Vishing, es una forma de phishing que se perpetra a través de medios de comunicación mediante voz.

Para ello utilizan un sistema de respuesta de voz fraudulento para recrear una copia legítima de un sistema de IVR (sistema telefónico capaz de recibir una llamada e interactuar con el humano a través de grabaciones de voz) de un banco u otra institución.

Otras veces, son los propios estafadores quienes llaman directamente a la víctima haciendose pasar por el servicio de atención al cliente del banco u otro servicio.

Evitar caer en la trampa

Uno de los errores más comunes es entrar en pánico y no reflexionar.

Si, por ejemplo, recibimos un correo, mensaje o llamada en la que nos dicen que nuestra cuenta bancaria ha sido bloqueada y que para restaurarla hay que realizar alguna acción urgente, el siguiente paso lógico debería ser ponernos en contacto con nuestro banco o acceder directamente a la cuenta, para comprobar si existe o no algún problema.

En caso de poder operar con normalidad, estaríamos ante un caso de intento de estafa.

Lo mismo puede aplicarse a cualquier otro servicio como por ejemplo Facebook,Twiter, nuestro proveedor de internet o las empresas de suministros como el agua o la electricidad.

Tambien tenemos que tener muy claro que tanto nuestro banco, como otros servicios, nunca nos van a solicitar nuestro nombre de usuario y contraseña mediante correo electrónico, teléfono u otro tipo de forma de comunicación.

phishing renta

Las notificaciones de multas, pago de impuestos y otros temas administrativos, se realizan mediante correo certificado.

Tampoco la policía, va a comunicarse contigo mediante correo electrónico o ventanas emergentes  que aparecen de repente mientras navegas por internet, para decirte que has realizado una descarga ilegal o visitado sitios de pornografia infantil exigiendote el pago de una multa mediante Bitcoins.

Si has cometido un delito telemático, seguramente sufrirás la desagradable experiencia  de ver como  la policia revienta la puerta de tu domicilio a las seis de la mañana, para confiscarte el ordenador y todos los medios de almacenamiento externos, con una orden judicial en la mano.

Otra cosa a tener en cuenta es que un dominio de Internet, es un nombre único e irrepetible que se le da a un sitio web para que las marcas (propietarias de dichas páginas) sean identificadas de forma cómoda y sencilla por los usuarios y sus clientes.

Al considerarse como exclusivo, solo habrá una empresa, compañía, organización o persona con dicho nombre. Para asegurar esto, existen organizaciones como IANA e ICANN.

En caso de duda, siempre podemos verificar facilmente si una página web es quien dice ser, introduciendo su URL en estos servicios.

En phishbank.org, podeis comprobrar si vuestra solución de seguridad bloquea las páginas de phishing.

Qué hacer si has caído en la trampa

En caso de haber sido víctima de un fraude de tipo phishing, intenta recopilar toda la información que te sea posible: correos electrónicos, capturas de las conversaciones mediante mensajería, documentación enviada, etc.

Para los casos de phishing bancario, contacta con tu oficina para informarles de lo sucedido con tu cuenta online.

Adicionalmente, modifica la contraseña de todos aquellos servicios en los que utilices la misma clave de acceso que en el servicio de banca online.

A continuación, presenta una denuncia en el juzgado o ante las Fuerzas y Cuerpos de Seguridad del Estado.

Utilizar la misma contraseña para todos los servicios en línea, puede parecer muy cómodo, pero es una pesima idea.

Si un pirata informático se hace con ella, podrá aceder a todas tus cuentas.

¿Qué piensas?

¡Envianos tus comentarios!

También te puede interesar
Riesgos de seguridad en dispositivos Bluetooth

Riesgos de seguridad en dispositivos Bluetooth

Algunos opinan que la tecnología Bluetooth está desapareciendo, pero eso es...

Riesgos de permitir recibir notificaciones de los sitios web

Riesgos de permitir recibir notificaciones de los sitios web

Cuando visitas un sitio web que te pide permiso para enviarte notificaciones y...

Cómo navegar por sitios web para adultos de forma segura

Cómo navegar por sitios web para adultos de forma segura

Consumir pornografía, es un hábito más común de lo que parece. Por lo tanto,...

Métodos de los piratas informáticos para espiar WhatsApp

Métodos de los piratas informáticos para espiar WhatsApp

WhatsApp presume de ser una de las plataformas de mensajería más seguras del...