¿Qué es el phishing?

phishing

El phishing es un tipo de ataque informático en el que los delincuentes intentan obtener información confidencial, como contraseñas, información bancaria o de tarjetas de crédito, haciéndose pasar por una entidad legítima a través de correos electrónicos, mensajes de texto, llamadas telefónicas o sitios web falsos. 

Los correos electrónicos o mensajes de phishing a menudo incluyen enlaces que parecen legítimos, pero en realidad llevan a sitios web falsos que pueden parecerse a los sitios web reales, pero que están diseñados para robar información personal. Es importante tener cuidado al abrir correos electrónicos y mensajes de texto sospechosos, y nunca proporcionar información personal a través de sitios web no confiables.

Características del phishing

Algunas características del phishing son:

  • Suplantación de identidad: los atacantes se hacen pasar por una entidad legítima, como una empresa o una organización gubernamental, para engañar a las personas.
  • Engaño: los ataques de phishing suelen utilizar tácticas engañosas para incitar a las personas a proporcionar información confidencial, como mensajes de correo electrónico que afirman que hay un problema con la cuenta del destinatario y que deben proporcionar sus credenciales para solucionarlo.
  • Uso de enlaces o archivos adjuntos maliciosos: los correos electrónicos o mensajes de phishing suelen incluir enlaces o archivos adjuntos maliciosos que, una vez que se hacen clic o se descargan, pueden instalar malware en el equipo del usuario o dirigirlo a un sitio web falso.
  • Falsificación de sitios web: los sitios web falsos creados por los atacantes a menudo tienen una apariencia similar a la de los sitios web legítimos, lo que puede hacer que las personas proporcionen información sin darse cuenta de que están siendo engañadas.
  • Consecuencias negativas: el phishing puede tener consecuencias negativas, como la pérdida de información personal o financiera, la exposición a malware o la infección del sistema informático, el robo de identidad y el fraude financiero.

Tipos de ataques del phishing

Hay varios tipos de ataques de phishing, cada uno con sus propias características y enfoques. Algunos de los tipos de ataques de phishing más comunes incluyen:

Phishing de suplantación de identidad

En este tipo de ataque, el atacante se hace pasar por una entidad de confianza, como un banco, una empresa de tecnología o una red social. Los correos electrónicos, mensajes de texto o sitios web falsos se utilizan para engañar a las personas y hacer que revelen información confidencial.

Spear Phishing

En el spear phishing, los atacantes se dirigen a individuos específicos o a un grupo selecto de personas, a menudo empleando información personal previamente recopilada. Esto hace que los ataques sean más convincentes y peligrosos.

Whaling

Este es un tipo de phishing dirigido a personas de alto nivel en una organización, como CEOs o directores ejecutivos. Los atacantes pretenden ser personas de confianza o miembros de la alta dirección para obtener información sensible.

Vishing

El vishing es la versión de phishing que se realiza a través de llamadas telefónicas. Los atacantes se hacen pasar por entidades legítimas y solicitan información confidencial por teléfono.

Smishing

En el smishing, los atacantes utilizan mensajes de texto o SMS para engañar a las personas. Estos mensajes suelen contener enlaces maliciosos o solicitudes de información personal.

Pharming

En lugar de depender de la interacción del usuario, el pharming redirige automáticamente a las víctimas a sitios web falsos, sin que estas lo sepan. Esto se logra a menudo manipulando la configuración de DNS o utilizando software malicioso.

Clone Phishing

En este tipo de ataque, un correo electrónico legítimo previamente enviado se clona y se modifica para incluir enlaces maliciosos o adjuntos. El correo electrónico clonado se envía nuevamente a la víctima, lo que puede hacer que parezca más confiable.

Malware distribuido a través de phishing

Los atacantes pueden utilizar correos electrónicos de phishing para distribuir malware, como troyanos o ransomware, que se instala en los sistemas de las víctimas una vez que hacen clic en un enlace o abren un archivo adjunto.

Phishing de soporte técnico

En este tipo de estafa, los atacantes hacen que las víctimas crean que tienen problemas técnicos en sus computadoras y les instan a llamar a un número de soporte técnico falso, donde se les solicitará información confidencial o se les pedirá acceso remoto a sus sistemas.

Phishing de redes sociales

Los atacantes utilizan plataformas de redes sociales para crear perfiles falsos o engañar a las personas para que hagan clic en enlaces maliciosos que llevan a sitios de phishing.

Recomendaciones para evitar el Phishing

Algunas recomendaciones para ayudar a evitar el phishing:

  • Sospecha de correos electrónicos no solicitados: Sé escéptico con los correos electrónicos no solicitados o inesperados, especialmente si contienen enlaces o archivos adjuntos. No hagas clic en enlaces ni descargues archivos adjuntos de correos electrónicos sospechosos.
  • Verifica la dirección de correo electrónico del remitente: Examina la dirección de correo electrónico del remitente para asegurarte de que sea legítima. Los atacantes pueden falsificar la dirección del remitente, así que presta atención a los detalles.
  • No reveles información confidencial: Nunca proporciones información personal, contraseñas, números de tarjeta de crédito o datos financieros a través de correos electrónicos o sitios web no verificados.
  • Utiliza la autenticación de dos factores (2FA): Habilita la autenticación de dos factores siempre que sea posible. Esto agrega una capa adicional de seguridad al requerir una segunda forma de autenticación además de la contraseña.
  • Verifica la autenticidad de los sitios web: Antes de ingresar información en un sitio web, asegúrate de que la dirección (URL) sea correcta y que el sitio utilice cifrado (comienza con «https://»). Ten cuidado con las imitaciones de sitios web, que a menudo tienen direcciones web similares a las legítimas.
  • Mantén tu software actualizado: Mantén tu sistema operativo, navegadores y programas de seguridad actualizados para protegerte de vulnerabilidades conocidas que los atacantes pueden explotar.
  • Instala un software antivirus confiable: Utiliza software antivirus y antimalware actualizado en tus dispositivos para ayudar a detectar y prevenir amenazas.
  • Educa a los empleados y familiares: Capacita a tus empleados y a tus familiares sobre los riesgos del phishing y cómo identificar correos electrónicos o mensajes sospechosos. La concienciación es fundamental para evitar caer en trampas de phishing.
  • Utiliza filtros de correo no deseado: Aprovecha las funciones de filtro de correo no deseado en tu cliente de correo electrónico para reducir la cantidad de correos electrónicos de phishing que llegan a tu bandeja de entrada.
  • Confirma solicitudes inusuales: Si recibes una solicitud inusual o sospechosa por correo electrónico, incluso si parece provenir de una fuente conocida, verifica su autenticidad contactando a la entidad a través de canales oficiales antes de tomar cualquier medida.
  • Reporta correos electrónicos de phishing: Si recibes un correo electrónico de phishing, repórtalo a la entidad legítima y a las autoridades cibernéticas de tu país. También puedes marcarlo como correo no deseado en tu cliente de correo electrónico.
  • Mantén un respaldo de datos: Realiza copias de seguridad de tus datos importantes en caso de que te conviertas en víctima de un ataque de ransomware o pérdida de datos.

Empresas víctimas del Phishing

Varias empresas y organizaciones han sido víctimas de ataques de phishing a lo largo de los años. Estos ataques pueden tener graves consecuencias para la empresa, incluyendo la pérdida de datos confidenciales, la exposición de información sensible y el daño a la reputación. Aquí hay algunos ejemplos de empresas y organizaciones que han experimentado ataques de phishing notables:

Sony Pictures Entertainment (2014)

Sony Pictures sufrió un ataque de phishing que resultó en la filtración de una gran cantidad de datos confidenciales, incluyendo correos electrónicos internos, información financiera y películas no lanzadas. El grupo de hackers «Guardians of Peace» se atribuyó la responsabilidad y afirmó que fue en respuesta al lanzamiento de la película «The Interview».

Equifax (2017)

La compañía de informes crediticios Equifax fue víctima de un ataque de phishing que llevó a una brecha de seguridad masiva. Los atacantes explotaron una vulnerabilidad en una aplicación web y accedieron a información personal de casi 147 millones de personas, incluyendo números de seguridad social y datos financieros.

Google (2017)

Google sufrió un ataque de phishing que se dirigía principalmente a periodistas y activistas. Los atacantes enviaron correos electrónicos maliciosos que pretendían ser de Google y solicitaban credenciales de inicio de sesión. Los atacantes pudieron acceder a las cuentas de correo electrónico de las víctimas.

Wannacry Ransomware (2017)

Aunque no fue un ataque de phishing típico, el ransomware WannaCry se propagó a través de un exploit de phishing llamado EternalBlue. El ataque afectó a organizaciones de todo el mundo, incluyendo hospitales, empresas y gobiernos.

IRS (Internal Revenue Service) (varios años)

Los estafadores han utilizado ataques de phishing dirigidos a los contribuyentes, haciéndose pasar por el IRS de Estados Unidos. Los correos electrónicos de phishing suelen incluir solicitudes de información personal o financiera y pueden ser particularmente efectivos durante la temporada de impuestos.

Yahoo (2013 y 2014)

Yahoo experimentó dos brechas masivas que afectaron a miles de millones de cuentas de usuarios. Los atacantes utilizaron el phishing como parte de sus tácticas para acceder a las cuentas de los usuarios y robar información.

Comparte este Post:

Posts Relacionados

networking

¿Qué es el Networking?

El Networking es una práctica desarrollada por profesionales, ya sea por cuenta propia o ajena, que buscan y amplían una red de contactos. Aunque no es una acción caracterizada por la novedad, ya que tradicionalmente siempre ha estado muy extendido en la proximidad comercial, la digitalización ha reconocido su importancia.

Ver Blog »
clickbait

¿Qué es el clickbait?

El clickbait o cebo de clics es una técnica de redacción que emplea titulares jugosos, totalmente fuera de lugar y sensacionalistas para captar la vista de los usuarios en Internet, con especial interés en las redes sociales, para que hagan clic y lean los artículos publicados. Actualmente, puedes encontrar todo

Ver Blog »

¡Ya eres de MSMK y queremos celebrarlo!

MSMK da la bienvenida a los nuevos alumnos de este curso 2023-2024.  El pasado Sábado 12 de noviembre del 2023 celebramos el Día de Bienvenida para los alumnos y padres de este curso 2023 – 2024 en la nueva sede de MSMK (C/ Consuegra, 3, 28036). En este evento obtuvieron

Ver Blog »
embudo de ventas

Embudo de Ventas

El Embudo de Ventas o Embudo de Conversión es el proceso que te permite definir el camino que debe recorrer tu Buyer Persona desde que visita por primera vez tu página web hasta completar el proceso de ventas y convertirse en tu cliente. El embudo de ventas es la forma

Ver Blog »
playtesting

¿Qué es el Playtesting?

Las sesiones de playtesting son probar los diferentes prototipos de videojuegos para reconocer y cuantificar sus puntos fuertes y débiles. Es importante entender que no se trata de una sesión de juego, sino de análisis de cada punto y parte del videojuego, donde se anotarán todas las funcionalidades del videojuego

Ver Blog »

¿Qué es un Call to Action?

El Call to Action (CTA) es cualquier llamada, que podemos encontrar de forma visual o textual. Esto lleva al visitante de la página a realizar una acción.  Es una herramienta primordial para promover las ofertas y generar leads. También se debe tener en cuenta que existe un abanico amplio donde

Ver Blog »

Déjanos tus datos, nosotros te llamamos

Déjanos tus datos y 
te enviaremos el link del white paper

Déjanos tus datos y 
te enviaremos el link de la revista

Déjanos tus datos y 
te enviaremos el link del programa