¿Qué es el phishing?

phishing

El phishing es un tipo de ataque informático en el que los delincuentes intentan obtener información confidencial, como contraseñas, información bancaria o de tarjetas de crédito, haciéndose pasar por una entidad legítima a través de correos electrónicos, mensajes de texto, llamadas telefónicas o sitios web falsos. 

Los correos electrónicos o mensajes de phishing a menudo incluyen enlaces que parecen legítimos, pero en realidad llevan a sitios web falsos que pueden parecerse a los sitios web reales, pero que están diseñados para robar información personal. Es importante tener cuidado al abrir correos electrónicos y mensajes de texto sospechosos, y nunca proporcionar información personal a través de sitios web no confiables.

Características del phishing

Algunas características del phishing son:

  • Suplantación de identidad: los atacantes se hacen pasar por una entidad legítima, como una empresa o una organización gubernamental, para engañar a las personas.
  • Engaño: los ataques de phishing suelen utilizar tácticas engañosas para incitar a las personas a proporcionar información confidencial, como mensajes de correo electrónico que afirman que hay un problema con la cuenta del destinatario y que deben proporcionar sus credenciales para solucionarlo.
  • Uso de enlaces o archivos adjuntos maliciosos: los correos electrónicos o mensajes de phishing suelen incluir enlaces o archivos adjuntos maliciosos que, una vez que se hacen clic o se descargan, pueden instalar malware en el equipo del usuario o dirigirlo a un sitio web falso.
  • Falsificación de sitios web: los sitios web falsos creados por los atacantes a menudo tienen una apariencia similar a la de los sitios web legítimos, lo que puede hacer que las personas proporcionen información sin darse cuenta de que están siendo engañadas.
  • Consecuencias negativas: el phishing puede tener consecuencias negativas, como la pérdida de información personal o financiera, la exposición a malware o la infección del sistema informático, el robo de identidad y el fraude financiero.

Tipos de ataques del phishing

Hay varios tipos de ataques de phishing, cada uno con sus propias características y enfoques. Algunos de los tipos de ataques de phishing más comunes incluyen:

Phishing de suplantación de identidad

En este tipo de ataque, el atacante se hace pasar por una entidad de confianza, como un banco, una empresa de tecnología o una red social. Los correos electrónicos, mensajes de texto o sitios web falsos se utilizan para engañar a las personas y hacer que revelen información confidencial.

Spear Phishing

En el spear phishing, los atacantes se dirigen a individuos específicos o a un grupo selecto de personas, a menudo empleando información personal previamente recopilada. Esto hace que los ataques sean más convincentes y peligrosos.

Whaling

Este es un tipo de phishing dirigido a personas de alto nivel en una organización, como CEOs o directores ejecutivos. Los atacantes pretenden ser personas de confianza o miembros de la alta dirección para obtener información sensible.

Vishing

El vishing es la versión de phishing que se realiza a través de llamadas telefónicas. Los atacantes se hacen pasar por entidades legítimas y solicitan información confidencial por teléfono.

Smishing

En el smishing, los atacantes utilizan mensajes de texto o SMS para engañar a las personas. Estos mensajes suelen contener enlaces maliciosos o solicitudes de información personal.

Pharming

En lugar de depender de la interacción del usuario, el pharming redirige automáticamente a las víctimas a sitios web falsos, sin que estas lo sepan. Esto se logra a menudo manipulando la configuración de DNS o utilizando software malicioso.

Clone Phishing

En este tipo de ataque, un correo electrónico legítimo previamente enviado se clona y se modifica para incluir enlaces maliciosos o adjuntos. El correo electrónico clonado se envía nuevamente a la víctima, lo que puede hacer que parezca más confiable.

Malware distribuido a través de phishing

Los atacantes pueden utilizar correos electrónicos de phishing para distribuir malware, como troyanos o ransomware, que se instala en los sistemas de las víctimas una vez que hacen clic en un enlace o abren un archivo adjunto.

Phishing de soporte técnico

En este tipo de estafa, los atacantes hacen que las víctimas crean que tienen problemas técnicos en sus computadoras y les instan a llamar a un número de soporte técnico falso, donde se les solicitará información confidencial o se les pedirá acceso remoto a sus sistemas.

Phishing de redes sociales

Los atacantes utilizan plataformas de redes sociales para crear perfiles falsos o engañar a las personas para que hagan clic en enlaces maliciosos que llevan a sitios de phishing.

Recomendaciones para evitar el Phishing

Algunas recomendaciones para ayudar a evitar el phishing:

  • Sospecha de correos electrónicos no solicitados: Sé escéptico con los correos electrónicos no solicitados o inesperados, especialmente si contienen enlaces o archivos adjuntos. No hagas clic en enlaces ni descargues archivos adjuntos de correos electrónicos sospechosos.
  • Verifica la dirección de correo electrónico del remitente: Examina la dirección de correo electrónico del remitente para asegurarte de que sea legítima. Los atacantes pueden falsificar la dirección del remitente, así que presta atención a los detalles.
  • No reveles información confidencial: Nunca proporciones información personal, contraseñas, números de tarjeta de crédito o datos financieros a través de correos electrónicos o sitios web no verificados.
  • Utiliza la autenticación de dos factores (2FA): Habilita la autenticación de dos factores siempre que sea posible. Esto agrega una capa adicional de seguridad al requerir una segunda forma de autenticación además de la contraseña.
  • Verifica la autenticidad de los sitios web: Antes de ingresar información en un sitio web, asegúrate de que la dirección (URL) sea correcta y que el sitio utilice cifrado (comienza con «https://»). Ten cuidado con las imitaciones de sitios web, que a menudo tienen direcciones web similares a las legítimas.
  • Mantén tu software actualizado: Mantén tu sistema operativo, navegadores y programas de seguridad actualizados para protegerte de vulnerabilidades conocidas que los atacantes pueden explotar.
  • Instala un software antivirus confiable: Utiliza software antivirus y antimalware actualizado en tus dispositivos para ayudar a detectar y prevenir amenazas.
  • Educa a los empleados y familiares: Capacita a tus empleados y a tus familiares sobre los riesgos del phishing y cómo identificar correos electrónicos o mensajes sospechosos. La concienciación es fundamental para evitar caer en trampas de phishing.
  • Utiliza filtros de correo no deseado: Aprovecha las funciones de filtro de correo no deseado en tu cliente de correo electrónico para reducir la cantidad de correos electrónicos de phishing que llegan a tu bandeja de entrada.
  • Confirma solicitudes inusuales: Si recibes una solicitud inusual o sospechosa por correo electrónico, incluso si parece provenir de una fuente conocida, verifica su autenticidad contactando a la entidad a través de canales oficiales antes de tomar cualquier medida.
  • Reporta correos electrónicos de phishing: Si recibes un correo electrónico de phishing, repórtalo a la entidad legítima y a las autoridades cibernéticas de tu país. También puedes marcarlo como correo no deseado en tu cliente de correo electrónico.
  • Mantén un respaldo de datos: Realiza copias de seguridad de tus datos importantes en caso de que te conviertas en víctima de un ataque de ransomware o pérdida de datos.

Empresas víctimas del Phishing

Varias empresas y organizaciones han sido víctimas de ataques de phishing a lo largo de los años. Estos ataques pueden tener graves consecuencias para la empresa, incluyendo la pérdida de datos confidenciales, la exposición de información sensible y el daño a la reputación. Aquí hay algunos ejemplos de empresas y organizaciones que han experimentado ataques de phishing notables:

Sony Pictures Entertainment (2014)

Sony Pictures sufrió un ataque de phishing que resultó en la filtración de una gran cantidad de datos confidenciales, incluyendo correos electrónicos internos, información financiera y películas no lanzadas. El grupo de hackers «Guardians of Peace» se atribuyó la responsabilidad y afirmó que fue en respuesta al lanzamiento de la película «The Interview».

Equifax (2017)

La compañía de informes crediticios Equifax fue víctima de un ataque de phishing que llevó a una brecha de seguridad masiva. Los atacantes explotaron una vulnerabilidad en una aplicación web y accedieron a información personal de casi 147 millones de personas, incluyendo números de seguridad social y datos financieros.

Google (2017)

Google sufrió un ataque de phishing que se dirigía principalmente a periodistas y activistas. Los atacantes enviaron correos electrónicos maliciosos que pretendían ser de Google y solicitaban credenciales de inicio de sesión. Los atacantes pudieron acceder a las cuentas de correo electrónico de las víctimas.

Wannacry Ransomware (2017)

Aunque no fue un ataque de phishing típico, el ransomware WannaCry se propagó a través de un exploit de phishing llamado EternalBlue. El ataque afectó a organizaciones de todo el mundo, incluyendo hospitales, empresas y gobiernos.

IRS (Internal Revenue Service) (varios años)

Los estafadores han utilizado ataques de phishing dirigidos a los contribuyentes, haciéndose pasar por el IRS de Estados Unidos. Los correos electrónicos de phishing suelen incluir solicitudes de información personal o financiera y pueden ser particularmente efectivos durante la temporada de impuestos.

Yahoo (2013 y 2014)

Yahoo experimentó dos brechas masivas que afectaron a miles de millones de cuentas de usuarios. Los atacantes utilizaron el phishing como parte de sus tácticas para acceder a las cuentas de los usuarios y robar información.

Comparte este Post:

Posts Relacionados

Build Computer

El término Build Computer puede tener diferentes interpretaciones dependiendo del contexto en el que se use, pero en términos generales, dentro de la programación, desarrollo de software y entornos técnicos, hace referencia a una computadora (o servidor) dedicada exclusivamente al proceso de build. Es decir, a compilar, ensamblar y preparar

Ver Blog »

Bugfairy

Bugfairy no es un término estándar ampliamente reconocido dentro de la informática o la ingeniería de software como lo son «bug» o «bug tracking», pero el término ha sido usado en algunos contextos de manera informal, humorística o incluso creativa, particularmente en la cultura del desarrollo de software. A continuación,

Ver Blog »

Bug Tracking

El bug tracking, o seguimiento de errores, es un proceso esencial dentro del desarrollo de software que permite a los equipos registrar, gestionar, priorizar y resolver fallos o comportamientos inesperados (bugs) en una aplicación. Lejos de ser una simple lista de problemas, el sistema de seguimiento de bugs es una

Ver Blog »

¿Qué es un «BUG» en programación?

Un bug es un error, defecto o fallo en el código de un programa de software que causa que este se comporte de manera inesperada, incorrecta o que directamente falle. Es uno de los términos más comunes en el ámbito del desarrollo de software, y forma parte integral del ciclo

Ver Blog »

BSD (Berkeley Software Distribution)

BSD —acrónimo de Berkeley Software Distribution— es una versión del sistema operativo Unix que fue desarrollada en la Universidad de California, Berkeley, a finales de los años 70 y principios de los 80. Aunque comenzó como una serie de modificaciones al Unix original de AT&T, BSD evolucionó hasta convertirse en

Ver Blog »

Browse: El Arte de Navegar

¿Qué significa «Browse» en programación y tecnología? En el ámbito de la informática y la programación, el término “browse” hace referencia al acto de navegar o explorar datos, documentos o recursos digitales. Aunque puede parecer un concepto simple, el verbo «browse» abarca una gama de funcionalidades clave en software, sistemas

Ver Blog »

Déjanos tus datos, nosotros te llamamos

Déjanos tus datos y 
te enviaremos el link del white paper

Déjanos tus datos y 
te enviaremos el link de la revista

Déjanos tus datos y 
te enviaremos el link del programa