¿Sabias que el 90% de los ataques comienzan con un simple Phishing?

¿Pero que es el Phishing?

El phishing es el delito de engañar a las personas para ceder información confidencial como contraseñas y números de tarjetas de crédito, pero también se puede tratar sencillamente de engañarte para que instales un programa malicioso en tu ordenador.

Al igual que con la pesca real, hay más de una forma de atraer a una víctima, pero la táctica de phishing es la más común. Las víctimas reciben un correo electrónico malicioso (malspam ) o un mensaje de texto que imita (o “ falsifica ”) a una persona u organización en la que confía, como un compañero de trabajo, un banco o una oficina del gobierno.

El mensaje pide a la víctima vaya a un sitio web con cualquier excusa que el atacante encuentre atractiva. Puede ser ver una factura, comprobar donde está tu pedido de la empresa de transporte o incluso decirte que estas en peligro por cualquier motivo y que si no tomas medidas inmediatas puedes correr graves consecuencias.

Si los usuarios pican y hacen clic en el enlace, se les envían a una imitación de un sitio web legítimo. Desde aquí, se les pide que inicien sesión con sus credenciales de nombre de usuario y contraseña. Si son lo suficientemente crédulos para obedecer, la información de inicio de sesión se envía al atacante, quien la usa para robar identidades, robar cuentas bancarias y vender la información personal en el mercado negro.

Otra modalidad de phishing es utilizar el mismo engaño pero para que te instales un programa que acabara espiando todo lo que haces en tu ordenador y así el atacante conseguirá la misma información de manera aun más peligrosa. Además, ni siquiera sabrás que tu ordenador esta comprometido.

"El phishing es el tipo de ataque cibernético más simple y, al mismo tiempo, el más peligroso y efectivo".

A diferencia de otros tipos de amenazas en línea, el phishing no requiere experiencia técnica especialmente sofisticada. De hecho, según Adam Kujawa, Director de Malwarebytes Labs, “el phishing es el tipo de ataque cibernético más simple y, al mismo tiempo, el más peligroso y efectivo. Esto se debe a que ataca a la computadora más vulnerable y poderosa del planeta: la mente humana. "Los phishers no están tratando de explotar una vulnerabilidad técnica en el sistema operativo de su dispositivo, están usando" ingeniería social " .

Desde Windows y iPhones, a Macs y Android, ningún sistema operativo está completamente seguro contra el phishing, sin importar qué tan fuerte sea su seguridad. De hecho, los atacantes a menudo recurren al phishing porque no pueden encontrar ninguna vulnerabilidad técnica. ¿Por qué perder el tiempo abriéndose paso a través de capas de seguridad cuando puedes engañar a alguien para que te entregue la llave? La mayoría de las veces, el eslabón más débil en un sistema de seguridad no es un problema técnico oculto en el código de una computadora, es un ser humano que no verifica de dónde proviene un correo electrónico.

Origen del nombre

El origen del nombre "phishing" es bastante fácil de rastrear. El proceso de realizar una estafa de phishing es muy parecido a la pesca acuática real. Ensamblas un cebo diseñado para engañar a tu víctima, luego lo arrojas y esperas un bocado. En cuanto al dígrafo "ph" que reemplaza a la "f", podría ser el resultado de una combinación de "pesca" y "falsa", pero algunas fuentes apuntan a otro posible origen.

En la década de 1970, se formó una subcultura en torno a la práctica de utilizar hacks de baja tecnología para explotar el sistema telefónico. Estos primeros piratas informáticos se llamaban "phreaks", una combinación de "teléfono" y "freaks". En un momento en que no había muchas computadoras conectadas en red para hackear, phreaking era una forma común de hacer llamadas de larga distancia gratuitas o alcanzar números no listados.

Cómo identificar un ataque de phishing

Reconocer un intento de phishing no siempre es fácil, pero algunos consejos, un poco de disciplina y algo de sentido común te ayudarán. Busca algo sea sospechoso o fuera de lo común. Pregúntate si el mensaje pasa la "prueba del olfato". Confía en tu intuición, pero no te dejes arrastrar por el miedo. Los ataques de phishing a menudo usan el miedo para nublar tu juicio.

Aquí hay algunos signos más de un intento de phishing:

El correo electrónico hace una oferta que suena demasiado buena para ser verdad. Podría decir que ganaste la lotería, un premio caro o algún otro artículo exagerado.

• Reconoces al remitente, pero es alguien con quien no hablas. Incluso si conoces el nombre del remitente, desconfía si se trata de alguien con quien normalmente no te comunicas, especialmente si el contenido del correo electrónico no tiene nada que ver con tus responsabilidades laborales normales.

• El mensaje suena aterrador. Ten cuidado si el correo electrónico tiene un lenguaje cargado o alarmista para crear un sentido de urgencia, exhortándote a hacer clic y "actuar ahora" antes de que se cancele tu cuenta. Recuerda, las organizaciones responsables nunca solicitan datos personales a través de Internet.

• El mensaje contiene archivos adjuntos inesperados o inusuales. Estos archivos adjuntos pueden contener malware, ransomware u otra amenaza en línea.

• El mensaje contiene enlaces incrustados (los que están ocultos y solo se ven al pasar el ratón por encima de ellos). Incluso si tu sentido de la araña no está hormigueando por ninguno de los anteriores, no hagas clic en ningún hipervínculo incrustado. En su lugar, desplaza el ratón sobre el enlace para ver la URL real. Estate especialmente atento a las faltas de ortografía sutiles en un sitio web que por lo demás tiene un aspecto familiar, porque indica falsedad. Siempre es mejor escribir directamente la URL en lugar de hacer clic en el enlace incrustado.

Este es un ejemplo de un intento de phishing que falsifica un aviso de PayPal y le pide al destinatario que haga clic en el botón "Confirmar ahora". Al pasar el ratón sobre el botón, se muestra el verdadero destino de la URL en el rectángulo rojo.