El phishing en ciberseguridad es un tipo de ataque en el que los ciberdelincuentes envían mensajes haciéndose pasar por una persona o entidad de confianza.
Los mensajes de phishing manipulan el comportamiento de un usuario, haciéndole realizar acciones como instalar un archivo malicioso, hacer clic en un enlace malicioso o divulgar información sensible como contraseñas.
3 Pasos para evitar caer en un ataque de Phishing:
1.- Desconfía de los correos electrónicos de restablecimiento de contraseña no solicitados.
Los correos electrónicos de restablecimiento de contraseña están pensados para ayudarte a recuperar la contraseña de tu cuenta cuando no recuerdas.
Al hacer clic en un enlace, puedes restablecer la contraseña por una nueva.
Los ciberdelincuentes cuando intentan acceder a tus cuentas en línea no conocen la contraseña. Mediante el envío de un falso correo electrónico de restablecimiento de contraseña que te dirige a un sitio de phishing similar y pueden convencerte para que escribas las credenciales de su cuenta y se las envíes.
Si recibes un correo electrónico no solicitado para restablecer la contraseña:
- Visita siempre el sitio web directamente (no hagas clic en enlaces del correo)
- Cambia la contraseña por otra diferente y robusta en ese sitio.
- No reutilices las contraseñas en varios sitios.
2.- ¡¡La urgencia!!
Fíjate que los correos de phising casi siempre suelen hacer referencia a un hecho que requiere que se haga rápido.
- Hay un paquete pendiente que va a ser devuelto en breve.
- Tienes un regalo que vas a perder en poco tiempo.
- Hay una factura pendiente de pagar que va a entrar en mora.
- Tu jefe necesita que hagas una transferencia muy urgente y confidencial.
- Alguien está realizando operaciones en tu cuenta bancaria y es necesario hacer una transferencia rápida a otra cuenta «segura» para evitarlo.
Las técnicas de ingeniería social están diseñadas para aprovecharse de la naturaleza humana.
Las personas somos más propensas a cometer errores cuando tenemos prisa y nos inclinamos a seguir las órdenes de personas en posiciones de autoridad.
Algunas técnicas comunes de phishing incluyen:
Pedido/entrega falsos:
Un correo electrónico de phishing se hará pasar por una marca de confianza (Amazon, FedEx, etc.) afirmando que has realizado un pedido o tienes una entrega pendiente. Al hacer clic para cancelar el pedido o la entrega no autorizados, el sitio web (que pertenece a un ciberdelincuente) exigirá autenticación, lo que permitirá al atacante robar las credenciales de inicio de sesión.
El ataque del CEO:
El ataque del CEO se aprovecha de la jerarquía y la autoridad dentro de una empresa.
Un atacante se hará pasar por el director general u otro ejecutivo de alto nivel y ordenará al destinatario del correo electrónico que realice alguna acción, como un transferencia a una determinada cuenta bancaria que pertenece al estafador.
La Factura falsa:
El ciberdelincuente se hará pasar por un proveedor que solicita el pago de una factura pendiente.
El objetivo de esta estafa es que se transfiera dinero no a la cuenta del proveedor legítimo sino a la cuenta del atacante.
3.- Cuida tus contraseñas.
El robo de credenciales es un objetivo común de los ciberataques.
Muchas personas reutilizan los mismos nombres de usuario y contraseñas en muchas cuentas diferentes, los ciberdelincuentes lo saben por eso robar las credenciales de una sola cuenta es probable que le dé a un atacante acceso a varias cuentas tuyas.
Los ataques de phishing están diseñados para robar las credenciales de inicio de sesión de varias maneras:
Sitios de phishing:
En este caso el ciberdelincuente crea un sitio web parecido al legítimo donde se pide el usuario y la contraseña.
El usuario no se de cuenta e introduce sus credenciales, que son almacenadas y usadas por el hacker después.
Malware de robo de credenciales:
Algunos correos electrónicos de phishing contienen programas maliciosos, como keyloggers (registran las teclas pulsadas y entre ellas están las contraseñas).
La estafas de soporte técnico:
En este caso el atacante se hace pasar especialistas de atención al cliente de Microsoft, Apple y empresas similares y pedirle sus credenciales de inicio de sesión mientras le «ayudan» con su ordenador.
Conclusión
Recuerda es mejor no hacer clic ni seguir instrucciones de una persona que no hemos verificado, en el mundo online, es muy improbable que un asunto sea cuestión de minutos y no se pueda tratar con mayor tranquilidad.
Ante la duda no siga instrucciones de un correo o llamada entrante, llama tú por teléfono a tu banco, a tu jefe o tu proveedor.