Cómo protegerte contra el phishing

(Última actualización: 1 de febrero de 2023)

Desde la creación de Internet y la primer proveedor de servicios de internetel código malicioso siempre ha sido un fascinante prueba de concepto que más tarde se convertiría en una amenaza real que puede dañarnos tanto a nosotros como a nuestros sistemas. El surgimiento de otras amenazas como el ransomware apareció en el horizonte poco después, señalando el inicio de la carrera armamentística de la seguridad en Internet.

Sin embargo, el phishing se ha convertido en una de las amenazas a la seguridad más comunes en Internet, y ya no se trata sólo de los correos electrónicos normales que se envían. Los phishers tienen que maquinar muchas formas de colar su código malicioso en nuestros sistemas.

La más notable es la historia del Dr. Joseph Popp en 1989, que creó el primer ransomware documentado (programa malicioso utilizado para la extorsión digital) y lo distribuyó a través de disquetes utilizando una elaborada "técnica analógica", lo que significa que se basó en el correo postal físico para difundir los disquetes a personas insospechadas.

Por desgracia, las estafas de phishing son también las más difíciles de combatir. Los hackers pueden engañar incluso a los usuarios más avispados en un santiamén creando contenidos de phishing creíbles.

Aunque hay cientos de formas de que alguien robe información en Internet, el phishing se considera la táctica más paciente y gratificante que utilizan los ciberdelincuentes para robar y vender la información de los usuarios. Por supuesto, los estafadores de phishing se centran en particulares y empresas, y pueden causar daños importantes a ambos.

Este blog de HostPapa está aquí para ayudarte a evitar las estafas de phishing, detectar actividades sospechosas online y ayudarte a reforzar la seguridad de tus cuentas online para protegerte de la mayoría de los ataques de phishing.

¿Qué es el phishing?

En los términos más sencillos, el phishing es un tipo de ciberataque en el que los hackers intentan obtener información confidencial, como nombres de usuario, contraseñas y datos de tarjetas de crédito, de víctimas desprevenidas haciéndose pasar por entidades fiables.

Los atacantes suelen hacerlo a través del correo electrónico o incluso de publicaciones en redes sociales y mensajes privados. Incluso pueden ocultar su contenido malicioso en archivos .zip y URL que enlazan a sitios maliciosos que parecen casi idénticos a los originales.

El objetivo de los ataques de phishing es suplantar tus credenciales e información personal. Esto se puede utilizar para acceder a información confidencial de cuentas, robar dinero o incluso cometer un robo de identidad, lo que puede tener graves consecuencias.

La mayoría de los mensajes de texto de phishing comienzan con una invocación a la urgencia mediante una oferta que parece demasiado buena para ser cierta o una advertencia funesta. El correo electrónico de phishing suele parecer que procede de una fuente legítima, por lo que a menudo tiene éxito en su misión.

¿Cuáles son los distintos tipos de ataques de phishing?

Los ataques de phishing se presentan de muchas formas, pero algunas de las más comunes son los correos electrónicos de phishing, los sitios web y los enlaces presentes dentro de los correos electrónicos, en las redes sociales y en otros lugares públicos online. También hay correos electrónicos de phishing que vuelan bajo el radar, sobre los que hemos escrito a fondo en HostPapa.

• Phishing por correo electrónicoCorreo electrónico de phishing : los correos electrónicos de phishing son el método más popular, ya que imitan correos electrónicos legítimos de empresas legítimas. Estos correos de phishing suelen pedir información personal sensible, como nombres de usuario y contraseñas.
• Phishing de sitios web: Un sitio malicioso puede parecerse alarmantemente a uno legítimo. Ligeras alteraciones en los tipos de letra, la colocación de los elementos y el contenido delatarán que se trata de un sitio web malicioso. También pueden contener enlaces maliciosos que lleven a los usuarios a sitios de phishing o incluso a descargas maliciosas.
• Suplantación de enlaces: Los enlaces de phishing se envían por correo electrónico, publicaciones en redes sociales o mensajes privados. El objetivo de los enlaces de phishing es dirigir a los usuarios a sitios web de phishing donde se les puede pedir información personal o incluso descargar software malicioso.

Pero esto no es todo. Hay algunos términos técnicos más sobre los ataques de phishing que debemos señalar en esta entrada del blog para que tengas una visión completa. Así que vamos a repasarlos.

• Suplantación de identidad con arpón: Este ataque se dirige a una persona u organización concreta. Los atacantes utilizarán información personal, como tu nombre y cargo, para ganarse tu confianza y conseguir que hagas clic en enlaces maliciosos o descargues un archivo malicioso.
• Phishing ballenero: Este ataque de phishing se suele utilizar para atacar a ejecutivos de alto nivel y directores generales de empresas. Los correos electrónicos de phishing pueden contener enlaces que requieren que el usuario inicie sesión con sus credenciales o incluso archivos adjuntos maliciosos. Normalmente, el objetivo de estos correos es una posible amenaza financiera o legal que requiere una acción inmediata iniciando sesión en un sitio web dudoso.
• Vishing phishing: Este ataque consiste en utilizar tecnología de voz sobre IP (VoIP), como Skype, aplicaciones de mensajería o incluso llamadas de voz normales. Los atacantes utilizarán técnicas de phishing para conseguir que las víctimas faciliten información sensible por teléfono.
• Smishing phishing: Esta estafa consiste en enviar mensajes sospechosos utilizando el ya anticuado SMS (servicio de mensajes cortos). Los atacantes envían mensajes directos que contienen enlaces o archivos adjuntos maliciosos para obtener información confidencial de los usuarios.
• Suplantación de identidad en buscadores: Otro tipo de phishing es el que utiliza motores de búsqueda. Los atacantes utilizarán palabras clave maliciosas para atraer a víctimas desprevenidas y dirigirlas a sitios web de phishing o a descargar archivos maliciosos.

Consejos para detectar intentos de phishing

Las estafas de phishing pueden ser muy sofisticadas y difíciles de identificar, pero hay algunos indicadores a los que debes prestar atención. El truco está en fijarse en los detalles. Es donde fallan la mayoría de los atacantes. He aquí algunos de los signos más comunes del phishing:

• Correos electrónicos no solicitados de remitentes no reconocidos. Una de las tácticas de phishing más comunes son los correos electrónicos de remitentes desconocidos con líneas de asunto extrañas u ofertas que parecen demasiado buenas para ser verdad. Si tienes una cuenta con una empresa, ésta debe dirigirse a ti con tu nombre de pila en la comunicación por correo electrónico. Esto significa que los saludos genéricos como, por ejemplo, la expresión "estimado cliente" deben considerarse sospechosos.
• Busca enlaces sospechosos. Si la URL parece sospechosa o contiene palabras como "gratis", "descargar" o "iniciar sesión", es probable que se trate de un intento de phishing. Los caracteres y números extraños cerca del nombre de una empresa también revelan un comportamiento sospechoso.
• Echa un vistazo a la dirección de correo electrónico del remitente. Podría ser similar al correo electrónico oficial de una empresa, pero con ligeras variaciones que pueden pasar desapercibidas rápidamente. Busca anagramas y otros caracteres reordenados que no deberían estar ahí en primer lugar.
• Comprueba si hay errores ortográficos y gramaticales en los correos electrónicos de phishing. Ésta suele ser la forma más fácil de detectar un mensaje sospechoso. Los atacantes que no se esfuerzan en hacer que parezca una respuesta natural tendrán toneladas de gramática y
• Desconfía de los correos electrónicos de phishing que exigen una respuesta urgente o solicitan información personal inmediatamente. Normalmente, los correos electrónicos de phishing se envían en masa y exigen una respuesta en un plazo determinado.
• No hagas clic en ningún enlace sin verificar su autenticidad. Comprueba dos veces la URL del sitio web visitándolo a través de otra ventana del navegador. Asegúrate también de comprobar si hay variaciones ortográficas en la dirección. Una vez que hayas identificado el ataque de phishing, es esencial que tomes las medidas necesarias para protegerte contra ellos.

Los archivos adjuntos maliciosos más frecuentes

Estar conectado a varias plataformas, como redes sociales, cuentas de juegos y foros, ofrece a los atacantes muchas formas de engañar a los usuarios. Los archivos adjuntos maliciosos suelen venir en forma de archivos zip, programas ejecutables, PDF e incluso imágenes que pueden venir con código oculto.

Los atacantes también pueden utilizar enlaces de phishing para inducirte a descargar programas maliciosos o a descargar extensiones del navegador que luego pueden hacerse con tu información personal.

Según estadísticas verificadas por Tessianmás del 90% de los intentos de phishing llegan a través del correo electrónico, un pequeño 3% se llevan a cabo a través de sitios maliciosos, y sólo el 1% llega por teléfono.

Documenta dónde se originan la mayoría de los ataques de phishing:

• Archivos JavaScript (.js): Pueden utilizarse para ejecutar código malicioso en tu ordenador o dispositivo móvil. JavaScript es la columna vertebral de los sitios web modernos de Internet, y se utiliza principalmente para ofrecernos una experiencia más conectada o interactiva al navegar por Internet.
• Documentos de Office (.doc, .docx, .ppt): Los atacantes pueden utilizar tácticas de phishing para que descargues contenido malicioso disfrazado de documentos oficiales.
• Archivos PDF (.pdf): Esta es otra táctica de phishing utilizada para propagar malware.
• Archivos ejecutables (.exe): Estos ataques de phishing pueden utilizarse para instalar malware en tu sistema sin que te des cuenta.

Cómo protegerte de los ataques de phishing

Para ir un paso por delante de todos los ataques maliciosos que se ciernen sobre nuestros sistemas, nos ayudaría disponer de algunos consejos sencillos y prácticos que nos salvarían de cualquier desastre posterior.

Por suerte, hemos recopilado una lista de consejos útiles que son fáciles de seguir y te protegerán de los hackers que intentan acceder a tu información personal.

• Instala un software antiphishing en tu ordenador o dispositivo móvil. Este software está diseñado para detectar intentos de phishing y alertarte en caso de actividad maliciosa.
• Instalar un software antivirus de calidad es otro método para mantenerte seguro cuando tu ordenador está conectado a Internet. La mayoría de los programas antivirus incluyen herramientas antiphishing y antirrootkit, así como complementos para los clientes de correo electrónico más conocidos, que te ayudarán a mantenerte seguro.
• Actualiza con frecuencia tus dispositivos y programas. Instala parches de seguridad en el sistema operativo de tu ordenador y actualiza tus programas y dispositivos móviles. El software esencial que necesita actualizarse es tu cliente de correo electrónico, teléfono y navegador web, ya que realizan la mayoría de las transacciones críticas.
• Instala extensiones de navegador antiphishing y bloquea las ventanas emergentes. Están diseñadas específicamente para rastrear los ataques de phishing y alertarte si se detecta un intento de phishing. Además, los bloqueadores de ventanas emergentes pueden ser beneficiosos para la navegación diaria, ya que eliminan las molestas ventanas cuando visitas determinados sitios web.
• Ten cuidado con los correos electrónicos, aunque parezcan proceder de una fuente legítima. Antes de hacer clic en cualquier enlace, comprueba dos veces la URL y la dirección del remitente.
• Evita descargar archivos de fuentes desconocidas. Aunque parezca un documento inofensivo, podría contener código malicioso que puede utilizarse para estafas de phishing. Los documentos de Word y Excel pueden esconder macros maliciosas, entre otras piezas cortas de código que pueden dañar tu ordenador o robarte información y documentos importantes.
• Ten cuidado con los intentos de phishing en redes sociales populares. Los atacantes pueden utilizar técnicas de phishing para acceder a tus cuentas mediante el envío de enlaces de phishing o archivos adjuntos maliciosos.
• Ten cuidado al hacer clic en anuncios online, aunque parezcan legítimos. Comprueba siempre la fuente y asegúrate de que es un sitio web de confianza que has visitado.
• Métodos como la inyección de anuncios pueden dañar un sitio web legítimo y hacer que muestre anuncios maliciosos a todos los usuarios que lo visiten.
• Utiliza siempre la autenticación de dos factores cuando esté disponible. La autenticación de dos factores te pedirá que introduzcas un código adicional para acceder a tu cuenta o realizar una compra. Esta capa añadida de seguridad te protegerá de los ataques de phishing impidiendo el acceso no autorizado a tus datos y cuentas, y está presente en muchas plataformas como cuentas de redes sociales y sitios de instituciones financieras como la banca electrónica, entre otros.

Las consecuencias de un ataque de phishing

Las estafas de phishing pueden costar a particulares y empresas mucho dinero y tiempo y dañar su reputación. Hacerse pasar por otra persona puede dañar tus relaciones y tu entorno laboral si la otra persona envía correos electrónicos desde tu cuenta.

Una vez que han conseguido acceder a tu sistema, los phishers instalan malware en un sistema concreto o infectan otros ordenadores de la red para maximizar sus posibilidades de éxito. Entonces, pueden robarte datos o información confidencial y utilizarla para obtener beneficios económicos. También pueden apoderarse de tus cuentas en las redes sociales y publicar contenido malicioso que podría dañar tu reputación o marca personal.

Muchas empresas han sufrido ataques de phishing, y ha habido muchos en los últimos años. Uno de los más notables es el violación de datos de Sony Pictures de 2014. En este ataque de phishing, los hackers consiguieron robar información confidencial y filtraron gran parte de ella en Internet. Esto supuso una importante pérdida económica para Sony Pictures, ya que los datos filtrados se referían a películas no estrenadas y a otra información sensible relativa a empleados y proyectos.

En caso de ataque de phishing, es importante actuar con rapidez y ponerse en contacto con las autoridades pertinentes lo antes posible. Esto te ayudará a minimizar los daños y a impedir que los phishers se aprovechen de tu información personal. También es muy recomendable cambiar las contraseñas de tus cuentas y barrer tu sistema con un antivirus. Los ciudadanos estadounidenses deben visitar la página de la FTC de la FTC para más detalles o lee sus FAQ sobre cómo denunciar las estafas de phishing y protegerse.

Recursos para aprender más sobre las estafas de phishing

Ahora que hemos repasado qué son los ataques de phishing y cómo protegerte de ellos, es hora de echar un vistazo a los recursos disponibles para seguir aprendiendo sobre el phishing. En estos delicados asuntos, ser proactivo e investigar las técnicas de phishing disponibles y buenas prácticas para estar seguro en internet es fundamental.

Muchos recursos en línea pueden proporcionarte consejos prácticos sobre prevención y protección contra el phishing. Formación para la concienciación sobre la seguridad para tu pequeña empresa y para ti mismo está disponible para ayudarte a mantenerte informado y actualizado sobre los últimos ataques de phishing y sus métodos.

Las redes sociales también ofrecen amplios recursos de phishing, alertas de phishing en tiempo real y formación en ciberseguridad para ayudarte a mantenerte seguro en Internet. Facebook, por ejemplo, ofrece Comprobación de seguridad para ayudarte a controlar la seguridad de tu cuenta comprobando todas las opciones vitales de privacidad.

Todas las plataformas modernas admiten también la autenticación de dos factores, y las redes sociales son un gran ejemplo. Esta capa adicional de protección requerirá que introduzcas un código adicional cada vez que inicies sesión, compres algo en línea o realices una transacción.

Dependiendo de si el sitio web es una tienda online, un banco o una institución gubernamental, habrá documentación e información sobre su seguridad y sobre cómo mantener tus datos personales protegidos online. Siempre debes leer sobre consejos para prevenir el phishing y sobre cómo utilizar herramientas de autenticación de dos factores en cada plataforma que utilices, como se ha mencionado anteriormente.

Consultar de vez en cuando material educativo sobre phishing te ayudará a mantenerte informado rápidamente sobre las amenazas de phishing, así que tómate tu tiempo para leer sobre los ataques de phishing.

Conclusión

Los ataques de phishing pueden ser devastadores tanto para los particulares como para las empresas. Por tanto, es esencial que te mantengas al día de las técnicas de prevención del phishing y de las mejores prácticas de seguridad para protegerte a ti mismo y a tu información personal y financiera. Las comprobaciones y actualizaciones preventivas de seguridad en tus dispositivos son el mejor punto de partida.

Utilizando software antivirus, estando atento a los intentos de phishing en redes sociales y sitios web, evitando descargar archivos de fuentes desconocidas y utilizando la autenticación de dos factores, puedes mantener alejados a los phishers y permanecer seguro en Internet. Además de todo esto, no olvidemos que instalar parches de seguridad en tus dispositivos es necesario para mantenerte seguro a largo plazo. Recuerda, la prevención del phishing es responsabilidad de todos.

En última instancia, el phishing es un problema que debe abordarse desde ambos lados: el remitente y el destinatario de los correos electrónicos de phishing. Si conoces las técnicas de phishing y sabes cómo protegerte, te asegurarás de que los phishers no puedan acceder a tus datos personales.

Esperamos que este blog te haya ayudado a obtener información y consejos importantes sobre la prevención del phishing para ti y también para tu empresa.

¿Te ha gustado este post? Visita el Blog de HostPapa para leer más temas interesantes como éste y obtener los últimos consejos sobre alojamiento web para tu sitio web.