¿Qué es el phishing? Revelando la amenaza existente

9 de agosto de 2023 By jane smith Sin comentarios 9 minutos

Cuando pensamos en "qué es el phishing", regresamos al carril donde Buscando a Nemo llenó nuestra infancia con la emoción de hacerlo y se mantuvo como nuestro favorito de hace décadas. Desafortunadamente, el phishing difiere en gran medida en el ámbito de la seguridad cibernética.

Para reventar la burbuja, los ataques de phishing son un intento negro de engañar y obtener la información personal de un usuario, como los datos bancarios y la información de la cuenta de las redes sociales, simplemente todo aquello a lo que no desea que acceda un extraño. Y el 83% de las empresas del Reino Unido informaron haber sido víctimas de ataques de phishing en 2022.

¡Pero no temas! Puede mantener su información personal segura y protegida con conciencia de seguridad cibernética y una buena dosis de escepticismo. Por lo tanto, esté atento y piénselo dos veces antes de compartir información personal en línea.

Para hablar de todo, abróchese el cinturón mientras cubrimos todo sobre qué es el phishing, sus tipos y cómo mitigar un ataque de phishing. ¡Cinturón de seguridad!

¿Qué es el phishing en palabras simples?

Un ataque de phishing es un delito cibernético en el que las víctimas reciben un correo electrónico, un mensaje de texto o son contactadas por algún otro medio. El objetivo es atraer al objetivo para que proporcione al atacante información personal: información de la tarjeta de crédito o contraseñas de identificación. Posteriormente, la información se utiliza para acceder a las cuentas sin el conocimiento de la víctima.

Pongámoslo de esta manera, tiene una dirección de correo electrónico corporativa personal y recibe un correo electrónico de la organización desde una dirección de correo electrónico que parece casi auténtica. Le pide que instale el nuevo software de mensajería y, debido a que parece legítimo, lo instala. 

Ahí tienes; ha instalado ransomware en la red de la empresa. A informe del 2022 afirma que el 92% de las organizaciones son víctimas de ataques de phishing.

¿De dónde vienen los ataques de phishing?

Es American Online (AOL) quien acuñó el término phishing en los años 90. La historia comienza cuando un grupo de sombreros negros se disfrazan de trabajadores de AOL y preguntan por todos los usuarios de AOL. login cartas credenciales.

Haciendo rodar la pelota, el phishing se convirtió en una actividad lucrativa de ciberdelincuencia, y hoy en día, el número de víctimas ha aumentado a Más de 3.4 mil millones correos electrónicos de phishing que se envían diariamente.

Sin embargo, también hay otro lado de la historia. Algunos especialistas dicen que el nombre "phishing" proviene de la técnica de pesca, en la que los piratas informáticos "pescan" la información confidencial de un objetivo en un mar de usuarios.

¿Es el ataque de phishing un delito? ¿Qué le puede hacer el phishing a su computadora?

Varía de estado a estado. En general, por su naturaleza, no es legal; los usuarios deben estar atentos y mantener su información privada. Por otro lado, algunos estados cuentan con leyes y reglamentos para la protección de los usuarios frente a estos ataques. Sin embargo, esas leyes no mencionan claramente el phishing como una práctica ilegal; se pueden aplicar otras leyes para la privacidad de la información. 

Tercer trimestre de 3 de Confense menciona que el phishing representa el 93 % de los delitos cibernéticos modernos. Y, al presenciar el aumento de la tasa, diferentes leyes federales pueden dar lugar a sanciones, al establecer el ataque de phishing como uno de los delitos de robo de identidad. La intención subyacente, junto con varias otras reglas, es un factor significativo en la categorización de un delito. 

Los sitios web fraudulentos, plataformas controladas activamente creadas especialmente para recopilar información personal de forma ilegal, están sujetos a las mismas normas de phishing que los sitios web legítimos. Estos sitios web tienen la intención de engañar a las víctimas confiadas.

Aparte de eso, un ataque de phishing puede dañar su computadora; están diseñados para ello. Una vez que proporcione la información de acceso a su cuenta, un pirata informático puede infectar su computadora con malware.

¿Cómo funciona el phishing?

Aprendamos cómo funciona el phishing con este ejemplo, donde usted es víctima de este ataque. 

Suponga que recibe un mensaje desconocido que parece provenir de una fuente confiable o de alguien que conoce. 

Habrá un archivo adjunto o un enlace solicitando una acción urgente. Y al sentir que, una vez que interactúe con un archivo adjunto malicioso o haga clic en un hipervínculo, será redirigido a una ubicación de Internet maliciosa, y listo, será víctima de un ataque de phishing. 

El objetivo es infectar su dispositivo con malware o redirigirlo a un sitio con contenido malicioso. Estos sitios web fraudulentos están diseñados para engañarlo para que revele información personal, como contraseñas, números de cuenta o información de tarjetas de crédito.

Los ciberdelincuentes recopilan la información personal y los antecedentes de la persona objetivo de las redes sociales. Estos canales se utilizan habitualmente para encontrar información sobre posibles objetivos. El delincuente puede usar el conocimiento que ha adquirido para elaborar un correo electrónico de phishing plausible de manera experta.

¿Cuáles son los 4 tipos de phishing?

Phishing es un término general para actividades maliciosas que involucran engañar a los usuarios para que revelen información personal o financiera como contraseñas, números de seguridad social, OTP, etc. El objetivo del phishing define en última instancia su tipo. 

Estos son los ataques de phishing comúnmente practicados:

1. Spear Phishing
2. Ataque ballenero
3. Ataque de silenciamiento 
4. Phishing de pescador

1 Spear phishing

Spear Phishing se dirige a un grupo específico en lugar de a un gran número de personas. Es una técnica de talla única que se dirige a cientos o miles de personas. Es como lanzar una gran red de pesca al mar y esperar algunas capturas.

Por el contrario, el phishing selectivo implica mucha preparación y un mensaje específico para ese grupo o persona. Por lo general, se dirigirá a los empleados de nivel medio de una organización, por ejemplo. Spear Phishing requiere conocer el objetivo para establecer familiaridad. 

Podría ser información que esperaría que algunas personas supieran o algo relacionado con su organización. Los ciberdelincuentes podrían hacerse pasar por un proveedor y solicitar el pago dirigiéndose al departamento de finanzas.

Una vez que se ha establecido la confianza, los ciberdelincuentes podrían incluso instalar malware en su dispositivo pidiéndole que descargue un archivo adjunto. El malware suele ser spyware que registra información del dispositivo y también puede tener la capacidad de propagarse a través de la red, similar a un gusano. 

También podría ser ransomware, que cifra los datos en el dispositivo, lo que le impide acceder a archivos importantes sin pagar el rescate.

2. Ataque ballenero

A Ataque ballenero se enfoca en un objetivo de alto nivel, como el director general, el director financiero o el director técnico de una organización. El objetivo es grande. Por lo tanto, la preparación será diez veces mayor que la de un ataque típico de phishing. Los ciberdelincuentes utilizarán la información recopilada a través de otras técnicas de ingeniería social.

Infectar el dispositivo de un empleado de alto nivel significa acceder a información confidencial. Además, también puede brindar suficiente información a los ciberdelincuentes para fortalecer los ataques de phishing contra otros empleados, como solicitar dinero urgente al departamento de finanzas utilizando la dirección de correo electrónico del director ejecutivo e incluyendo detalles específicos que evitan la detección.

Otra forma de hacer que instale malware es haciéndose pasar por el departamento de TI. Los ciberdelincuentes podrían tener éxito en el ataque haciéndolo parecer una actualización urgente e importante.

3. Ataque Smishing

Los correos electrónicos no son el único medio que utilizan los ciberdelincuentes. Smishing se refiere al phishing a través de SMS. Los ciberdelincuentes podrían enviarle mensajes de texto haciéndose pasar por su banco o un proveedor de servicios, informándole que se requiere una acción en particular.

Puede contener un enlace, o se le puede pedir que responda en la conversación con la información.

4. Ataque del pescador

In suplantación de identidad del pescador, un pirata informático crea una cuenta falsa, una situación que usted, como millennial, probablemente haya experimentado, y oculta la identidad retratando la personalidad de un amable agente de atención al cliente. Luego te piden información personal o te instan a que hagas clic en enlaces maliciosos. 

La descarga de estos enlaces lo pondría en riesgo de unirse a una red de bots. Si proporciona información personal, esté atento a posibles filtraciones de datos o transacciones financieras anónimas. Al igual que los intentos de phishing anteriores, el objetivo es engañar a un usuario de la red social para que revele información personal para obtener ganancias financieras u obtener acceso a la información.

¿Qué es Vishing?

El vishing es otra forma de phishing que involucra llamadas. Vería a los ciberdelincuentes haciéndose pasar por bancos con mayor frecuencia porque la información financiera es más valiosa para cualquier delincuente. El Viser puede pedirle que verifique algunos datos bancarios y repita un OTP (Código de acceso de un solo uso) enviado a través de su cuenta.

Si el Visher obtiene información de autenticación de dos factores como una OTP, puede ingresar a su cuenta bancaria. La OTP también podría verificar una transacción que el cibercriminal está tratando de realizar a través de su cuenta.

¿Qué es una estafa de sextorsión? Cuando el phishing se vuelve más agresivo

Es posible que no siempre reciba un correo electrónico aparentemente cortés que le solicite información. La sextorsión es una estafa creciente que juega con el miedo del objetivo. Derivado de la palabra extorsión, los correos electrónicos de sextorsión generalmente informan al usuario que el remitente tiene fotos o videos comprometedores de usted y que ha estado activo en sitios web de pornografía recientemente.

El correo electrónico dirá que la foto o el video se tomaron al piratear su cámara web o la cámara del teléfono a través de un programa espía instalado en su dispositivo. El ciberdelincuente exigirá el pago, generalmente en criptomoneda, si no desea que se filtre la imagen o el video.

No se preocupe. Estas son tácticas de miedo para que pague. Incluso puede incluir tu contraseña para que te tomes el mensaje más en serio. Sin embargo, es una estafa que utiliza información recopilada mediante técnicas de ingeniería social o contraseñas de una filtración de datos.

¿Cómo prevenir ataques de phishing?

Estas son las 3 formas principales de prevenir un ataque de phishing:

Usar una VPN

Usar una VPN es la mejor manera de prevenir un ataque de phishing. Pero necesitará más que una VPN gratuita o alguna otra VPN ordinaria. Debe usar una VPN premium para acceder a funciones exclusivas como FastestVPN. Y esta es la mejor parte, a diferencia de otras opciones de primer nivel, esto no le cuesta un ojo de la cara. 

Puede enmascarar su dirección IP y disfrazar su ubicación original usando una VPN. Dicho esto, los phishers no podrán acceder a su información, ¡ya que su conexión siempre está protegida!

No hagas clic en cada enlace que recibas

Incluso cuando el remitente es alguien que conoce, generalmente no es una buena idea hacer clic en los enlaces de los correos electrónicos o mensajes (SMS). 

Algunos intentos de phishing son sofisticados y hacen que la URL de destino parezca un sitio web legítimo para registrar las pulsaciones de teclas o recopilar sigilosamente login/Información de tarjeta de crédito. Se recomienda utilizar un motor de búsqueda para encontrar el sitio web directamente en lugar de confiar en el enlace proporcionado.

Mantenga la rotación de contraseñas

Configurar un sistema para cambiar contraseñas regularmente es crucial para las personas con cuentas en línea. Este procedimiento es una precaución preventiva que evita que los atacantes obtengan acceso no autorizado. La rotación de contraseñas agrega una capa de seguridad, bloquea los intentos en curso y restringe a posibles invasores, considerando la posibilidad de cuentas comprometidas sin descubrimiento.

Nota final

Ya sea que sea una organización o un individuo, existe una necesidad urgente de educación sobre el phishing y otros delitos cibernéticos. El phishing se ha cobrado muchas víctimas a lo largo de los años.

Busque ayuda de las entidades de prevención de delitos cibernéticos en su estado/país si ha sido víctima de una estafa.

Suscríbete al boletín de noticias

Recibe las publicaciones de tendencia de la semana y los últimos anuncios de FastestVPN a través de nuestro boletín electrónico.

Correo electrónico