¿Qué es phishing y cómo funciona?

Lastimosamente, en estos últimos años las estafas por phishing han aumentado considerablemente. Ya sea porque los usuarios navegan por internet sin preocuparse por su seguridad o porque los ciberdelincuentes han refinado la forma en que realizan este tipo de fraudes.

Dentro de los principales ataques en los que suelen caer más los usuarios tienen que ver con: robo de datos personales como correos electrónicos, perfiles de redes sociales, uso de ingeniería social para robar información de tarjetas de crédito, envío de mensajes de texto con supuestos premios o trabajos y llamadas por teléfono.

Es por ello, es importante que los usuarios sepan que es phishing y como funciona, los diferentes ataques que existen y como protegerse de ellos.

¿Qué es el phishing?

El phishing es un tipo de fraude en línea que consiste en engañar a los usuarios para que divulgue información sensible, como contraseñas o números de tarjetas de crédito.

El phisher o hacker suele hacerse pasar por una entidad de confianza en un correo electrónico u otra comunicación, e incluso puede crear un sitio web falso que parezca legítimo para obtener información.

El phishing puede ser devastador tanto para individuos y organizaciones, ya que puede provocar la suplantación de identidad, pérdidas financieras y daños a la reputación.

¿Cómo funciona el phishing?

Los phishers o hackers suelen enviar correos electrónicos masivos o crear páginas web falsas que parecen pertenecer a una organización legítima. Pueden utilizar el nombre de una empresa o institución real, ya sea una entidad bancaria, una empresa de telecomunicación o crear una falsa que tiene un aspecto similar.

El phisher o hacker incluye entonces un enlace en el correo electrónico o en el sitio web que le lleva a su sitio falso. Una vez allí, es posible que, a través de ingeniería social, se le pida que proporcione información personal, como su nombre, dirección, número de la Seguridad Social o información de la cuenta bancaria, como el número de su tarjeta de crédito.

El phisher o hacker también puede intentar instalar un malware o software en su ordenador. Esto puede permitirles acceder a su información personal o rastrear sus actividades en línea como inicios de sesión a correos electrónicos, redes sociales o bancos.

El phishing puede ser difícil de detectar, ya que los ciberdelincuentes cambian constantemente sus tácticas para evitar ser detectados.

Tipos de ataques de pishing

Existen varios tipos de ataques de phishing, cada uno con sus propios objetivos y métodos. Algunos tipos comunes de ataques de phishing incluyen:

• Phishing por correo electrónico: Este es el tipo más común de phishing. Consiste en el envío masivo de correos electrónicos que parecen proceder de una organización legítima, como entidades bancarias, redes sociales, plataformas de mensajería instantánea, de streaming o de pedidos. Sin embargo, suelen ser un engaño. Estos correos electrónicos pueden incluir un enlace a un sitio web falso o un archivo adjunto que instala malware en su computadora.
• Phishing telefónico: Este tipo de phishing consiste en engañar a alguien para que dé información sensible por teléfono. El phisher  o hacker puede hacerse pasar por un representante del servicio de atención al cliente o de soporte técnico a través de una llamada telefónica, ganar la confianza del usuario y luego pedir información personal, como contraseñas, direcciones o pedirle que haga clic en un enlace en su correo electrónico.
• Smishing: Este es un tipo de phishing que utiliza mensajes de texto en lugar de correo electrónico para engañar a la gente para que proporcione información confidencial. El mensaje de texto puede incluyen un enlace a un sitio web de phishing o un archivo adjunto que instala malware en su computador o teléfono móvil.
• Phishing de lanza: Este tipo de ataque de phishing está dirigido a una persona u organización específica. El atacante puede investigar para recopilar información personal mediante ingeniería social sobre su objetivo, que luego utiliza para crear un correo electrónico de phishing más creíble.
• Phishing clónico: En este tipo de ataque de phishing, el atacante crea una réplica exacta de un sitio web legítimo, como el inició de sesión de un banco, una cuenta de correo electrónico o una red social. A continuación, puede enviar un correo electrónico que parece provenir del sitio original, sin embargo, este dirigirá al usuario al sitio de phishing clonado y así robar su información, tarjetas de crédito o contraseñas.
• Phishing de ballena: Este tipo de ataque de phishing se dirige a personas de alto perfil, como directores ejecutivos o celebridades. El atacante se hace pasar por una persona u organización de confianza para obtener información sensible sobre su víctima.

¿Qué es phishing en Facebook?

El phishing de Facebook es un tipo de ataque de phishing dirigido a los usuarios de la red social Facebook. El atacante crea una página de inicio de sesión de Facebook falsa y la utiliza para engañar a las víctimas para que introduzcan su nombre de usuario y contraseña.

A continuación, el atacante puede utilizar la cuenta de la víctima para enviar spam o suplantar información adicional.

El phishing de Facebook puede ser difícil de detectar, ya que la página de inicio de sesión falsa puede parecer idéntica a la real, sin embargo, para prevenir cualquier robo de información puede abrir el link en un navegador y verificar que sea "https://www.facebook.com" y no un link fraudulento.

¿Qué se recomienda para evitar ser víctima de phishing?

Los ataques de phishing se hacen cada vez más sofisticados y difíciles de detectar, los criminales año tras año refinan sus métodos de engaño y con ello, la suplantación de identidad está a la orden del día.

No obstante, estos tips que le mencionaremos a continuación le servirán para protegerse parcialmente de cualquier tipo de amenaza, estafa o engaño.

¿Cómo evitar el phishing en el celular, ordenador o tablet?

• Desconfía de los correos electrónicos no solicitados, aunque parezcan proceder de una fuente de confianza. Si no espera un correo electrónico de alguien, no lo abra.
• Nunca hagas clic en enlaces o los archivos adjuntos en los correos electrónicos a menos que estés absolutamente seguro de que son seguros. Si no estás seguro, ponte en contacto con el remitente para verificar el enlace o el archivo adjunto.
• Sea prudente a la hora de facilitar información personal en Internet. Sólo proporcione información a los sitios web en los que confía, y busque la dirección https:// en la URL antes de introducir cualquier dato sensible. De ser posible, ingrese usted mismo desde otro navegador a la página y no desde la URL del correo en cuestión.
• Instale una protección contra el anti phishing en su ordenador y manténgala con las últimas actualizaciones de seguridad.
• Mantenga su sistema operativo y software al día con los últimos parches de seguridad.

¿Cómo saber si tengo phishing en el móvil?

El phishing móvil, también conocido como smishing, es un tipo de ataque de phishing que se produce en los dispositivos móviles.

Los atacantes pueden enviar mensajes de texto o notificaciones push que parecen proceder de una organización legítima, como su banco. El mensaje puede incluir un enlace a un sitio web falso o un archivo adjunto que instala malware en su móvil.

Si recibe un si recibe un mensaje de texto sospechoso, no haga clic en ningún enlace o archivo adjunto. En su lugar, contacte con el remitente para verificar el mensaje. También puedes denunciar el intento de phishing a tu operador de telefonía móvil.

¿Qué debo hacer si creo que me están suplantando?

Si cree que puede ser víctima de phishing o de suplantación de identidad, hay algunos pasos que puede seguir:

• Póngase en contacto con la organización: Si recibe un correo electrónico de phishing que pretende ser de una empresa u organización, póngase en contacto con el número de atención al cliente que aparece en el sitio web de la empresa. No utilice la información de contacto del correo electrónico.
• Denuncia el ataque de phishing: Puede denunciar los ataques de phishing a la Comisión Federal de Comercio y a la Comisión de Delitos en Internet.
• Cambia tu contraseña: Si crees que tu contraseña ha sido comprometida, cámbiala inmediatamente. Elija una contraseña fuerte que sea difícil de adivinar.
• Instale una protección contra el malware: Instala una protección contra el malware en tu ordenador y mantenla actualizada.
• Mantenga su software actualizado: Mantenga su sistema operativo y su software actualizados con la últimos parches de seguridad.

Conclusión

El phishing es un tipo de ataque en línea que utiliza el correo electrónico, las llamadas telefónicas o sitios web fraudulentos para engañar a las víctimas y hacer que revelen información personal, como contraseñas de redes sociales, información acerca de su tarjeta de crédito, datos sensibles sobre acceso a su banco o infectar sus ordenadores con programas maliciosos.

Los ataques de phishing pueden ser difíciles de detectar, ya que los ciberdelincuentes crean correos electrónicos y sitios web falsos que pueden parecer idénticos a los reales.

Instale un programa anti phishing en su computadora o móvil, ingrese a enlaces de confianza, utilice navegadores propios y nunca brinde información ni datos por teléfono.

Si cree que puede ser víctima del phishing, hay una algunas cosas que puede hacer. En primer lugar, póngase en contacto con la organización de la que procede el correo electrónico de phishing.

A continuación, denuncie el ataque de phishing a la FTC y a la Comisión de Delitos en Internet. Por último, cambie su contraseña e instale una protección contra el malware en su ordenador.