Con todos los avances que estamos viviendo en los últimos meses, tampoco los ciberdelincuentes se quedan atrás y se reportan diversas nuevas técnicas que se van profesionalizando, atendiendo a que aplican cebos de ingeniería social o contenido de señuelo bien elaborados para realizar phishing.

El phishing es un ataque que intenta robar su dinero o su identidad, haciendo que divulgue información personal (como números de tarjeta de crédito, información bancaria o contraseñas) en sitios web que fingen ser sitios legítimos. Los ciberdelincuentes suelen fingir ser empresas prestigiosas, amigos o conocidos en un mensaje falso, que contiene un vínculo a un sitio web de phishing.

Diferentes tipos de ataques de phishing

Los ataques de phishing provienen de estafadores que se hacen pasar por fuentes de confianza y pueden facilitar el acceso a todo tipo de datos confidenciales. A medida que evolucionan las tecnologías, también lo hacen los ciberataques. Obtén información sobre los tipos de phishing más generalizados.

  • Phishing de correo electrónico: Este tipo de ataque, que es la forma más habitual de phishing, utiliza tácticas como hipervínculos falsos para atraer a los destinatarios de correos electrónicos y hacer que compartan su información personal. Los atacantes suelen hacerse pasar por un gran proveedor de cuentas como Microsoft o Google, o incluso por un compañero de trabajo.
  • Phishing de software malintencionado: Este tipo de ataque de phishing frecuente implanta software malintencionado camuflado como un archivo adjunto de confianza (como un currículum vítae o un extracto bancario) en un correo electrónico. En algunos casos, abrir un archivo adjunto con software malintencionado puede paralizar los sistemas de TI por completo.
  • Phishing de objetivo definido: Mientras que los ataques de phishing abarcan un radio amplio, el phishing de objetivo definido tiene como objetivo personas específicas y se aprovecha de la información recopilada al investigar sus trabajos y sus vidas sociales. El nivel de personalización de estos ataques es muy alto, por lo que sortean con eficacia la ciberseguridad básica.
  • Phishing de altos cargos: Cuando los usuarios malintencionados tienen como objetivo un «pez gordo», como el directivo de una empresa o una persona famosa, el ataque se denomina phishing de altos cargos. Estos estafadores suelen investigar en profundidad a sus objetivos con el propósito de encontrar el momento oportuno para robar sus credenciales de inicio de sesión u otra información confidencial. Si tú tienes mucho que perder, los atacantes de phishing de altos cargos tienen mucho que ganar.
  • Phishing por SMS (smishing): El phishing por SMS o smishing (una combinación de las palabras «SMS» y «phishing») hace referencia al envío de mensajes de texto que se hacen pasar por comunicaciones de confianza de empresas como Amazon o FedEx. Las personas son especialmente vulnerables a las estafas por SMS, ya que los mensajes de texto se reciben en texto sin formato y se entienden como algo más personal.
Aqui Microsoft realiza una dinámica sobre el tema en las redes generando un gran impacto en las interacciones, con una explicación agradable y sencilla.

Obtenga información sobre cómo detectar un mensaje de phishing

El phishing es una forma popular de ciberdelincuencia debido a su eficacia. Los ciberdelincuentes han tenido éxito al usar correos electrónicos, mensajes de texto o mensajes directos en las redes sociales o en videojuegos para que las personas respondan con su información personal. La mejor defensa es el conocimiento y saber qué buscar.

Aquí se muestran algunas formas de reconocer un correo electrónico de phishing:

  • Llamada urgente a la acción o amenazas: sospeche de los correos electrónicos que afirman que debe hacer clic, llamar o abrir un archivo adjunto de inmediato. A menudo, afirman que tienes que actuar ahora para reclamar una recompensa o evitar una penalización. Crear un falso sentido de urgencia es un truco común de los ataques de phishing y estafas. Lo hacen para que no piense en ello demasiado o consulte con un asesor de confianza que pueda advertirle. Sugerencia: Cuando vea un mensaje que exige una acción inmediata, espere un momento y revíselo con cuidado. ¿Seguro que es real? Pause y protéjase.
  • Remitentes de primera vez o poco frecuentes: aunque no es inusual recibir un correo electrónico de alguien por primera vez, especialmente si están fuera de su organización, esto puede ser un signo de suplantación de identidad (phishing). Cuando reciba un correo electrónico de alguien que no reconoce o que Outlook identifica como un nuevo remitente, examine el correo electrónico con sumo cuidado antes de continuar.
  • Ortografía y mala gramática: las empresas y organizaciones profesionales suelen tener un personal editorial para garantizar que los clientes obtengan contenido profesional de alta calidad. Si un mensaje de correo electrónico tiene errores ortográficos o gramaticales obvios, es posible que se trate de una estafa. Estos errores a veces son el resultado de una traducción incorrecta de otro idioma. A veces es deliberado, en un intento de sortear filtros que intentan bloquear estos ataques.
  • Saludos genéricos: una organización que trabaja con usted debe conocer su nombre y, hoy en día, es fácil personalizar un correo electrónico. Si el correo electrónico empieza con un mensaje genérico, como «Estimado señor o señora», es un signo de que puede que no sea realmente su banco o sitio de compras.
  • Dominios de correo electrónico que no coinciden: si el correo electrónico dice ser de una empresa acreditada, como Microsoft o su banco, pero el correo electrónico se envía desde otro dominio de correo electrónico como Gmail.com o microsoftsupport.ru probablemente sea una estafa. También esté atento a los errores ortográficos muy sutiles del nombre del dominio legítimo. Como micros0ft.com donde la segunda «o» se ha reemplazado por un 0 o rnicrosoft.com, donde la «m» se ha reemplazado por una «r» y una «n». Son trucos comunes de estafadores. 
  • Vínculos sospechosos o datos adjuntos inesperados: si sospecha que un mensaje de correo electrónico es un fraude, no abra los vínculos o datos adjuntos que vea. En su lugar, pase el mouse sobre el vínculo, pero no haga clic en él, para ver si la dirección coincide con el vínculo escrito en el mensaje. En el siguiente ejemplo, al colocar el mouse sobre el vínculo se muestra la dirección web real en el cuadro con el fondo amarillo. Tenga en cuenta que la cadena de números no se parece en nada a la dirección web de la empresa.

Si recibe un correo electrónico de suplantación de identidad (phishing)

  • No haga clic nunca en vínculos ni datos adjuntos en correos electrónicos sospechosos. Si recibe un mensaje sospechoso de una organización y le preocupa que pueda ser legítimo, vaya a su explorador web y abra una nueva pestaña. A continuación, vaya al sitio web de la organización desde su propio favorito guardado o a través de una búsqueda web. O llame a la organización con un número de teléfono que aparece en la parte posterior de una tarjeta de suscripción, que está impreso en una factura o extracto, o que se encuentra en el sitio web oficial de la organización.
  • Si parece que el mensaje sospechoso procede de una persona a quien conoce, póngase en contacto con esa persona por algún otro medio, como SMS o llamada de teléfono, para confirmarlo.
  • Informe del mensaje (consulte a continuación).
  • Elimínelo.