¿Qué es el phishing: Tipos de ataques y cómo prevenirlos?

Cómo mejorar la privacidad digital en Android y evitar ataques de phishing

La mayoría de las personas utilizan internet para todo, desde interactuar con colegas de trabajo hasta explorar el mundo de los chatbots de inteligencia artificial. Si bien internet es una herramienta maravillosa por estas y muchas otras razones, también puede dañar la seguridad y privacidad de las personas. Grandes corporaciones como Amazon y Google encuentran formas novedosas de extraer hasta la última gota de datos de nuestra presencia en línea en nombre de la rentabilidad. En este sentido, puedes seguir estos sencillos pasos para mejorar tu privacidad digital en Android.

Por otro lado, existe un grupo que se toma más en serio la recopilación de datos. En lugar de permitirte renunciar voluntariamente a tu privacidad a cambio de servicios, estos ciberdelincuentes hacen todo lo posible por robar tu información y utilizarla en beneficio propio a tu costa. Antes de convertirte en víctima, te explicamos qué es el phishing y las mejores formas de combatirlo en tu teléfono Android de bajo presupuesto y en cualquier otro lugar donde tengas presencia en línea.

¿Qué es el phishing y cómo funciona?

El phishing es un tipo de ciberataque que utiliza una combinación de técnicas de ingeniería social para cometer robo de identidad u otro tipo de delito con el objetivo de robar dinero a las víctimas. Los hackers suelen intentar que las víctimas les entreguen información sensible, como datos de tarjetas de crédito, credenciales de inicio de sesión en banca en línea o en redes sociales, a través de la ingeniería social. Los hackers utilizan estos datos para acceder a las cuentas de las víctimas y robar su dinero o como un paso más en la cadena de ataque.

Los ataques de phishing se dirigen a los dispositivos al hacer que la víctima descargue software que contiene malware para extraer esa información del sistema de la víctima o tomar el control del mismo utilizando ransomware. Estos ataques de phishing suelen ocurrir a través de correos electrónicos. También existen el vishing y el smishing, que ocurren a través de llamadas de voz y mensajes de texto.

¿Cuáles son los tipos de ataques de phishing y cómo puedes prevenirlos?

Si bien los ataques de phishing pueden involucrar software sofisticado, generalmente requieren interacción humana. Para caer víctima de un ataque de phishing, a menudo es necesario abrir un correo electrónico, descargar un archivo, contestar una llamada telefónica o hacer todas estas acciones. La ingeniería social detrás de los scams de phishing los hace exitosos, pero también nos permite identificarlos y detenerlos sin necesidad de muchos conocimientos técnicos. Veamos algunas de las técnicas de phishing más comunes y cómo puedes prevenirlas.

Phishing por correo electrónico y spear phishing

El phishing por correo electrónico y el spear phishing operan según el mismo principio. En ambas situaciones, los hackers fingen ser otra persona, como una gran empresa o proveedor de servicios. Envían correos electrónicos a una persona insistiendo en que realice alguna acción, generalmente iniciar sesión en un sitio o enviar información a los hackers, para evitar alguna consecuencia negativa o aprovechar alguna recompensa.

Casi siempre hay un sentido de urgencia en estos correos electrónicos y es probable que veas algo como «Si no actúas en este correo electrónico dentro de dos horas, tu cuenta bancaria se bloqueará y tardará 60 días en recuperarse». La supuesta urgencia lleva a las víctimas a caer en los engaños. Como tienen miedo de las consecuencias, es más probable que actúen y dediquen menos tiempo a investigar la información.

El spear phishing difiere del phishing regular por la forma en que se implementa el engaño. El phishing regular por correo electrónico es un correo electrónico general y amplio con poco contexto o información sobre la víctima. El spear phishing se dirige a una persona específica utilizando información obtenida de las redes sociales o de una filtración de datos para personalizar el correo electrónico. Los hackers de spear phishing suelen enviar un correo electrónico fingiendo ser una empresa confiable que la víctima utiliza o ha contactado previamente.

La mayoría de las veces, los correos electrónicos de spear phishing contienen enlaces maliciosos que llevan a sitios web falsos convincentes donde los usuarios deben iniciar sesión para resolver cualquier problema que esté ocurriendo con su cuenta bancaria o servicio. Cuando el destinatario intenta iniciar sesión, el sitio web malicioso guarda las credenciales de la víctima y el perpetrador puede utilizarlas y los datos sensibles como desee.

Los ataques de spear phishing pueden ser más convincentes, y por lo tanto más exitosos, que los métodos de phishing por correo electrónico regular que envían cientos de correos electrónicos al mismo tiempo.

Una subcategoría de los ataques de spear phishing es el whale phishing, una técnica utilizada para atacar a personas influyentes (generalmente ejecutivos o celebridades) que tienen acceso a información confidencial o que pueden autorizar transacciones financieras sustanciales.

Otra variación leve del phishing por correo electrónico y spear phishing es el clone phishing, cuando los atacantes envían a la víctima una copia de un correo electrónico que han recibido con enlaces o adjuntos alterados. La víctima ya confía en el remitente original, por lo que es menos sospechosa de este nuevo correo electrónico.

Cómo prevenir el phishing por correo electrónico y spear phishing

Los ciberdelincuentes que utilizan estas técnicas de suplantación para imitar entidades legítimas a menudo afirman ser grandes empresas conocidas como Amazon, Microsoft, PayPal y compañías de tarjetas de crédito. El correo electrónico que recibes suele ser una imitación convincente de un correo electrónico legítimo que podrías recibir de una de estas empresas. Los atacantes habilidosos copian y editan el código de marcado de los correos electrónicos originales para hacer copias sorprendentemente creíbles. Sin embargo, incluso en esos casos, generalmente hay pistas de que el correo electrónico es falso.

Lo primero que debes buscar en un correo electrónico sospechoso son errores ortográficos y gramaticales, pero hay otras formas de identificar un correo electrónico fraudulento. También es útil saber que Google Gmail hace un buen trabajo al advertirte sobre enlaces fraudulentos si haces clic en uno.

El principio básico para prevenir el phishing es no confiar en nadie. Si recibes un correo electrónico inesperado o no solicitado sobre un reembolso, un problema bancario o algún otro servicio en línea que tenga tus datos sensibles, lo mejor que puedes hacer es ignorar los enlaces en el correo electrónico. Si te preocupa, contacta a la empresa a través de un canal de comunicación conocido. Por ejemplo, si recibes un correo electrónico de tu banco informándote que hay un problema con tu cuenta, accede a la página de inicio de sesión de tu banco escribiendo la URL manualmente o accediendo desde el sitio web del banco, o llama a las oficinas del banco a un número que conozcas. Bajo ninguna circunstancia debes abrir un enlace desde un correo electrónico e iniciar sesión en tu cuenta bancaria desde allí, a menos que verifiques la autenticidad de la página web.

Otra forma sencilla de detectar un intento de estafa de phishing por correo electrónico es observar la dirección de correo electrónico. Por lo general, los hackers no pueden acceder a los dominios reales de los bancos, por lo que utilizarán algo que se vea lo suficientemente similar al dominio real del banco a primera vista. Si observas detenidamente la dirección de correo electrónico, notarás que se agregan palabras donde no deberían estar, o se intercambian o sustituyen letras por números (esta técnica se conoce como typosquatting).

También puedes evitar los ataques de phishing basados en correo electrónico utilizando filtros automáticos de correo no deseado. El phishing daña la confianza que una empresa ha ganado con sus usuarios. Si recibes mensajes de phishing, es una buena idea informarlo a la empresa que está siendo suplantada. Y si terminas haciendo clic en un enlace de phishing, sigue nuestros consejos para minimizar el riesgo de robo de tus datos.

El vishing y el smishing son similares a las campañas de phishing por correo electrónico, pero ocurren a través de llamadas y mensajes de texto. Si recibes una llamada o mensaje de texto de alguien que afirma ser de una empresa con la que trabajas y que hay un problema que necesitan que resuelvas de inmediato, es mejor ignorarlo y llamar a la línea de servicio al cliente que usaste anteriormente para validar que realmente hay un problema y proceder desde allí. Puedes verificar el número de teléfono, pero ten cuidado, ya que los actores maliciosos probablemente usarán una identificación de llamadas falsa para engañarte.

Ataques de inyección de contenido y malvertising

La inyección de contenido, el malvertising y los ataques de intermediario (MITM, por sus siglas en inglés) son difíciles de combatir, ya que dependen en gran medida de que los hackers comprometan a un tercero: un host de publicidad, un proveedor de servicios de internet (ISP) o una red local. Por lo tanto, conocer la ingeniería social solo te llevará hasta cierto punto.

La inyección de contenido implica que un hacker obtiene acceso a un sitio web que estás visitando y cambia el sitio para agregar un enlace que descarga malware en tu dispositivo o te lleva a un sitio que intenta convencerte de ingresar información personal que utilizarán para cometer robo de identidad. El malvertising utiliza vulnerabilidades en componentes del navegador como JavaScript, visores de PDF y web…