¿Cómo prevenir los ataques de phishing?

Última actualización por Dionisie Gitlan
How to Prevent Phishing Attacks

Estafar a la gente no es nada nuevo. Impostores como Victor Lustig y Frank Abagnale llevan mucho tiempo explotando la confianza y jugando con la mente de sus víctimas. Desde vender dos veces la Torre Eiffel hasta hacerse pasar por piloto, sus estafas eran legendarias. En la actual era digital, los estafadores encuentran un terreno fértil en Internet.

Un ejemplo llamativo es el de Evaldas Rimasauskas, un lituano que engañó a Google y Facebook para que le enviaran más de 100 millones de dólares. Haciéndose pasar por Quanta Computer, un fabricante taiwanés de productos electrónicos, Rimasauskas puso en peligro la seguridad de estos gigantes tecnológicos, revelando la peligrosa amenaza del phishing.

El phishing es uno de los trucos más antiguos de los estafadores en línea. ¿Por qué dedicar incontables horas a romper sistemas de alta seguridad, cuando un correo electrónico bien elaborado puede persuadir al objetivo de que gestione voluntariamente todo lo que le pides? Este artículo trata el phishing con gran detalle y proporciona consejos sobre cómo prevenir un ataque de phishing.

Índice

  1. ¿Qué es el phishing?
  2. ¿Cómo funciona el phishing?
  3. ¿Qué tipos de estafas de phishing existen?
  4. ¿Cómo reconocer un ataque de phishing?
  5. ¿Cómo detener los correos electrónicos de phishing?
  6. ¿Qué hacer si ha dado su información o dinero a un estafador?
  7. ¿Por qué es importante evitar los correos electrónicos de phishing?
  8. Conclusión

¿Qué es el phishing?

El phishing es un ciberataque en el que los estafadores intentan engañar a las personas para que faciliten información confidencial, como contraseñas, números de tarjetas de crédito o de la seguridad social, haciéndose pasar por entidades de confianza. El objetivo final es obtener acceso no autorizado a datos personales o financieros y utilizarlos con fines maliciosos, como el robo de identidad o el fraude financiero.

El término “phishing” deriva de la palabra “pesca”. Se acuñó como un juego de palabras porque los ataques de phishing comparten similitudes con el acto de pescar. Al igual que la pesca tradicional utiliza cebo para pescar, los ataques de phishing emplean comunicaciones fraudulentas para atraer a personas desprevenidas y hacer que revelen su información confidencial.

El término fue utilizado por primera vez a mediados de los noventa por hackers e investigadores de las primeras plataformas en línea, como AOL. Sin embargo, su reconocimiento y uso se generalizaron a principios de los años noventa, cuando los ataques de phishing se convirtieron en una amenaza grave para la ciberseguridad.

¿Cómo funciona el phishing?

La suplantación de identidad funciona utilizando diversas tácticas para parecer digno de confianza y legítimo. Los estafadores suelen enviar correos electrónicos y mensajes de texto fraudulentos o incluso realizar llamadas telefónicas haciéndose pasar por otra persona, como un representante bancario, una plataforma de redes sociales o un minorista en línea. Utilizan técnicas ingeniosas para manipular a las personas para que realicen acciones, como hacer clic en un enlace malicioso o descargar archivos adjuntos infectados.

Ejemplo de intento de phishing

Veamos más de cerca cómo funciona el phishing con un ejemplo concreto:

Imagine que recibe un correo electrónico que parece ser de su banco. El correo electrónico puede utilizar el logotipo y los colores oficiales del banco e incluso imitar su formato. El asunto podría ser urgente, sugiriendo un problema con su cuenta o la detección de una transacción sospechosa.

Dentro del correo electrónico, suele haber una llamada a la acción que le insta a resolver el problema. Por ejemplo, puede pedirle que haga clic en un enlace para verificar los datos de su cuenta o su identidad. Sin embargo, el enlace proporcionado no le llevará a la página real del banco, sino a un sitio web malicioso ingeniosamente diseñado que se asemeja mucho al sitio legítimo del banco.

Una vez que haga clic en el enlace y llegue al sitio web falso, verá una página de inicio de sesión que parece idéntica a la página de inicio de sesión auténtica del banco. Si introduce su nombre de usuario y contraseña en esta página, los estafadores capturarán esa información.

En algunos casos, después de introducir sus credenciales, es posible que se le redirija al sitio web del banco para crear la ilusión de que no ha ocurrido nada sospechoso. De este modo, los estafadores intentan evitar que se les llame la atención.

Con la información de inicio de sesión obtenida, los atacantes pueden acceder a su cuenta bancaria, realizar transacciones no autorizadas o incluso vender sus credenciales en la dark web a otros delincuentes.

¿Qué tipos de estafas de phishing existen?

Las estafas de phishing son diversas y evolucionan. Los atacantes buscan nuevas formas de llevar a cabo sus artimañas, pero la estrategia subyacente es constante. Estas son algunas de las estafas de phishing más comunes que debería conocer:

1. Phishing por correo electrónico

El correo electrónico es la forma clásica de phishing. Los estafadores envían correos electrónicos que parecen proceder de una fuente legítima, como un banco o un proveedor de servicios en línea. Los correos electrónicos suelen contener un mensaje de urgencia, en el que se pide a los destinatarios que actualicen la información de su cuenta o verifiquen sus credenciales haciendo clic en un enlace que conduce a un sitio web falso. Por ejemplo, es posible que reciba un correo electrónico de un proveedor de servicios pidiéndole que haga clic en un enlace e introduzca sus credenciales de acceso para resolver un problema con su cuenta.

2. Compromiso del correo electrónico empresarial (BEC)

Los ataques BEC se dirigen a las empresas y consisten en hacerse pasar por altos ejecutivos o proveedores de confianza para engañar a los empleados y hacerles realizar acciones no autorizadas. Los estafadores suelen enviar correos electrónicos que parecen proceder de un director general, un director financiero o un proveedor conocido, en los que dan instrucciones a los empleados para que inicien transferencias bancarias, revelen datos confidenciales o realicen cambios en los datos de pago. Estos ataques se aprovechan de la confianza y la autoridad asociadas a ejecutivos o proveedores, lo que hace más probable que los empleados accedan a solicitudes fraudulentas.

3. Spear Phishing

El spear phishing se dirige a personas u organizaciones concretas adaptando el ataque a sus intereses personales o profesionales. Los estafadores recopilan información sobre sus objetivos a través de las redes sociales u otras fuentes para crear mensajes personalizados y convincentes. Por ejemplo, un estafador podría enviar un correo electrónico a un empleado de una empresa, haciéndose pasar por un alto ejecutivo y solicitando información confidencial de la empresa.

4. Smishing y Vishing

El smishing se refiere a los ataques de phishing realizados a través de mensajes de texto, mientras que el vishing se refiere al phishing de voz a través de llamadas telefónicas. Los estafadores envían mensajes de texto o realizan llamadas telefónicas haciéndose pasar por entidades de confianza, como bancos, servicios de asistencia técnica o agencias gubernamentales, e intentan engañar a los particulares para que compartan su información personal o realicen transacciones financieras por teléfono.

5. Pharming

En los ataques de pharming, los atacantes manipulan el sistema de nombres de dominio (DNS) para redirigir a los usuarios a sitios fraudulentos de phishing sin su conocimiento. A diferencia de los ataques de phishing tradicionales, que se basan en engañar a las personas a través de correos electrónicos o enlaces engañosos, los ataques de pharming manipulan la infraestructura fundamental de Internet.

Los estafadores comprometen la configuración DNS aprovechando vulnerabilidades en los servidores DNS o infectando los ordenadores de los usuarios con malware. De este modo, redirigen el tráfico destinado a sitios web legítimos a sitios web falsos que se parecen mucho a los legítimos. Cuando los usuarios teclean la dirección web correcta o hacen clic en un enlace marcado como favorito, el ataque de pharming los dirige al sitio web malicioso.

¿Cómo reconocer un ataque de phishing?

He aquí algunas formas probadas de reconocer los ataques de phishing, junto con mejoras de los puntos existentes:

  • Tácticas de urgencia y miedo: Los correos electrónicos de phishing a menudo crean una sensación de urgencia o utilizan tácticas de miedo para presionarle a tomar medidas inmediatas. Pueden afirmar que tu cuenta se cerrará o que sufrirás consecuencias si no respondes rápidamente. Tenga cuidado con este tipo de tácticas y evalúe detenidamente la situación antes de facilitar información delicada.
  • Archivos adjuntos inesperados: Los correos electrónicos de phishing a veces contienen archivos adjuntos inesperados, como facturas, detalles de envío o documentos legales. Estos archivos adjuntos pueden contener malware o virus que pueden poner en peligro su ordenador o robar sus datos. Evite abrir archivos adjuntos de fuentes sospechosas o desconocidas.
  • Solicitudes inusuales de información: Desconfíe de los correos electrónicos que solicitan información personal o financiera innecesaria. Las organizaciones legítimas no suelen solicitar información confidencial por correo electrónico, especialmente credenciales de inicio de sesión, números de la seguridad social o datos de tarjetas de crédito. Póngase en contacto directamente con la organización a través de su sitio web oficial o de los canales de atención al cliente para verificar la solicitud.
  • Saludos genéricos o falta de personalización: Los correos electrónicos de phishing suelen utilizar saludos genéricos como “Estimado cliente” en lugar de dirigirse a usted por su nombre. Las empresas auténticas suelen personalizar sus correos electrónicos y utilizar su nombre o nombre de usuario para establecer su autenticidad. Desconfíe de los correos electrónicos que no se dirijan a usted personalmente.
  • Direcciones de correo electrónico falsificadas: Preste atención a la dirección de correo electrónico de la que procede el mensaje. Los estafadores pueden falsificar direcciones de correo electrónico para que parezca que proceden de una fuente legítima. Compruebe cuidadosamente la dirección de correo electrónico para detectar cualquier ligera variación o error ortográfico que pueda indicar un remitente fraudulento.
  • Remitentes inesperados o desconocidos: Ten cuidado si recibes un correo electrónico de alguien que no reconoces o con quien no has tenido comunicación previa. Desconfíe especialmente si el correo electrónico dice proceder de una organización o persona conocida, pero no coincide con sus interacciones o expectativas actuales.
  • Sin firma digital: Una firma digital verifica la identidad del remitente. Al igual que los certificados SSL, los certificados digitales de correo electrónico permiten cifrar las comunicaciones de extremo a extremo. Puede comprobar el estado de un correo electrónico entrante de su cliente. La marca de verificación verde y la dirección de correo electrónico verificada indican que el mensaje ha sido firmado digitalmente por una Autoridad de Certificación de confianza.

¿Cómo prevenir un ataque de phishing?

La prevención del correo electrónico de suplantación de identidad, tanto si se trata de un cliente como de una empresa suplantada, consiste en ser proactivo. A continuación se enumeran diez formas eficaces de evitar el phishing:

  • Active la autenticación de dos factores (2FA): Añade una capa extra de seguridad a tus credenciales y contraseñas activando 2FA. Requiere un paso adicional, como introducir un código enviado a su dispositivo móvil o utilizar autenticación biométrica como las huellas dactilares.
  • Utilice certificados de correo electrónico: Proteja su identidad personal o empresarial firmando digitalmente sus intercambios de correo electrónico con certificados de correo electrónico. Estos certificados, proporcionados por autoridades de certificación de confianza como Sectigo y Digicert, cifran tus correos electrónicos y documentos salientes, garantizando la legitimidad del remitente.
  • Implemente protocolos de autenticación de correo electrónico: Utilice protocolos de autenticación de correo electrónico como SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) y DMARC (Domain-based Message Authentication, Reporting, and Conformance) para evitar la suplantación de identidad y garantizar que los correos electrónicos entrantes proceden de fuentes legítimas.
  • Tenga cuidado con las comunicaciones no solicitadas: Desconfíe de los correos electrónicos no solicitados, especialmente los que solicitan información sensible o instan a actuar de inmediato. Póngase en contacto con el remitente a través de su sitio web oficial o de los canales de atención al cliente para confirmar la autenticidad del correo electrónico.
  • Actualice y proteja periódicamente los dispositivos: Instale los últimos parches de seguridad y software antivirus. La aplicación periódica de actualizaciones ayuda a protegerse contra vulnerabilidades conocidas que los phishers pueden explotar.
  • Edúquese y manténgase informado: Conozca las técnicas de phishing y las amenazas en evolución, incluidas las tendencias, tácticas y señales de alerta. Manténgase informado a través de fuentes fiables, como blogs y medios de noticias sobre seguridad.
  • Conexiones de red seguras: Utilice una conexión de red segura cuando acceda a información confidencial o realice transacciones en línea. Evite utilizar redes Wi-Fi públicas para este tipo de actividades, ya que pueden carecer del cifrado adecuado y ser vulnerables a las escuchas.
  • Desconfíe de enlaces y archivos adjuntos sospechosos: Evite hacer clic en enlaces sospechosos o descargar archivos adjuntos de fuentes desconocidas o no fiables. Pasa el ratón por encima de los enlaces para inspeccionar la URL antes de hacer clic.
  • Supervise regularmente las cuentas financieras y en línea: Vigile de cerca sus cuentas financieras y en línea para detectar cualquier actividad no autorizada. Revise periódicamente los extractos bancarios, las transacciones con tarjeta de crédito y las actividades de la cuenta en línea para detectar y notificar transacciones sospechosas o fraudulentas.
  • Denuncia los intentos de phishing: Haz que la Web sea más segura denunciando los correos electrónicos de phishing a las autoridades pertinentes, como [email protected] y [email protected]. Revelar tales intentos les ayuda a tomar medidas contra las campañas de phishing y protege a otros de ser víctimas de ellas.

¿Cómo detener los correos electrónicos de phishing?

La mejor manera de prevenir las estafas de phishing es ser consciente de la ciberseguridad. Utiliza programas o servicios de filtrado de correo electrónico y detección de spam para detectar y bloquear los mensajes de phishing. Estos sistemas utilizan algoritmos avanzados y bases de datos de indicadores de phishing conocidos para identificar y filtrar los correos sospechosos antes de que lleguen a su bandeja de entrada.

Pero incluso los mejores filtros de spam pueden pasar por alto mensajes de phishing. Por eso es esencial fomentar una cultura de vigilancia entre los empleados y usuarios, animándoles a escudriñar los correos electrónicos en busca de indicios de phishing. Informe inmediatamente a los equipos informáticos o de seguridad sobre correos electrónicos sospechosos de phishing, lo que les permitirá bloquear remitentes o dominios maliciosos.

¿Qué hacer si ha dado su información o dinero a un estafador?

Si se da cuenta de que ha dado su información o dinero a un phisher, tome medidas inmediatas para mitigar cualquier daño potencial. El tiempo apremia, así que cuanto más rápido responda, más posibilidades tendrá de minimizar el impacto.

Cambie inmediatamente las contraseñas de las cuentas que crea que pueden haber sido comprometidas. Empiece por su correo electrónico, banca en línea, redes sociales y otras plataformas críticas. Cree contraseñas fuertes y únicas para cada cuenta para mejorar la seguridad.

A continuación, póngase en contacto con las organizaciones o instituciones financieras afectadas por la estafa, infórmeles de la actividad fraudulenta y facilíteles todos los detalles pertinentes. Pueden orientarle sobre los pasos necesarios para proteger sus cuentas y evitar nuevos accesos no autorizados.

Controle sus extractos bancarios, transacciones con tarjeta de crédito y otras cuentas para detectar cualquier actividad sospechosa. Notifique inmediatamente cualquier transacción no autorizada a su banco o a la entidad emisora de su tarjeta de crédito.
E informe sobre el fraude a su agencia local de aplicación de la ley o a la división de ciberdelincuencia.

Después de un incidente de phishing, los estafadores pueden intentar atacarle de nuevo, haciéndose pasar por representantes de la organización que le estafó. Manténgase alerta y desconfíe de cualquier comunicación dudosa, especialmente las que soliciten más información personal.

Por último, asegúrese de que su ordenador y sus dispositivos tienen instalados programas antivirus y antimalware actualizados. Ejecute un análisis exhaustivo para detectar y eliminar cualquier posible malware que haya entrado en sus sistemas durante el ataque de phishing.

¿Por qué es importante evitar los correos electrónicos de phishing?

Hoy en día, el phishing es omnipresente y cualquiera puede convertirse en su víctima. Desde el sector sanitario hasta los particulares, nadie es inmune a las estafas en línea. Cada 20 segundos se lanza un nuevo sitio de phishing, mientras que el 86% de los ataques por correo electrónico no contienen malware. Las empresas y organizaciones dependen de la confianza y confidencialidad de sus clientes. Ser víctima de un ataque de phishing puede comprometer los datos de los clientes, erosionar la confianza y dañar la reputación de forma irreparable.

A continuación le ofrecemos una lista de estadísticas reveladoras que probablemente no conocía sobre el phishing:

  • El phishing es responsable del 90% de las filtraciones de datos y es la forma más común de ciberdelincuencia, con unos 3.400 millones de correos spam enviados cada día.
  • Según el FBI, las pérdidas derivadas de la puesta en peligro del correo electrónico empresarial y de las cuentas de correo electrónico han superado los 43.000 millones de dólares.
  • Más del 48% de los correos electrónicos enviados en 2022 fueron spam.
  • El coste medio de una violación de datos contra una organización es de más de 4 millones de dólares.
  • En enero de 2017, una estafa de phishing de Gmail se dirigió a casi 1.000 millones de usuarios de todo el mundo
  • El 37,9% de los usuarios sin formación no supera las pruebas de phishing
  • Apple es la empresa más imitada para las estafas de phishing

Como puede ver, el phishing de correo electrónico es una grave amenaza imposible de eliminar por completo. Mientras exista Internet, los phishers encontrarán formas ingeniosas de manipular a usuarios y empresas. Por eso debe estar siempre atento y alerta al abrir y gestionar sus correos electrónicos. La prevención del phishing no es difícil. Puede detectar e ignorar una posible estafa en un abrir y cerrar de ojos si se entrena para ello.

Conclusión

Le hemos dado todas las herramientas y conocimientos sobre cómo prevenir un ataque de phishing. Ahora te toca a ti seguir las recomendaciones y detectar cualquier actividad maliciosa antes de que se aproveche de tu descuido.

Evitar los correos electrónicos de phishing es vital para salvaguardar la información personal, los recursos financieros, la seguridad digital y mantener la confianza en las interacciones en línea. Manteniéndose alerta y empleando prácticas seguras, puede protegerse y contribuir a un entorno digital más seguro.

Preguntas frecuentes

¿Por qué es difícil prevenir el phishing?

El phishing es difícil de prevenir porque los estafadores evolucionan continuamente sus técnicas, lo que dificulta que las medidas de seguridad sigan el ritmo y detecten eficazmente cada intento de phishing.

Copiar enlace

¿A quién se dirige el phishing?

El phishing se dirige a particulares y organizaciones de diversos sectores, como la banca, el comercio electrónico, la sanidad y la administración pública, para obtener información confidencial o beneficios económicos.

Copiar enlace

¿Por qué se produce el phishing?

El phishing se produce porque es un método lucrativo y de riesgo relativamente bajo para que los ciberdelincuentes exploten las vulnerabilidades humanas, eludan las medidas de seguridad y engañen a las personas para que divulguen información confidencial o realicen acciones perjudiciales.

Copiar enlace

¿Cuánto dura el phishing?

La duración de una campaña de phishing puede variar, desde unas pocas horas hasta varias semanas, dependiendo de los objetivos específicos y las tácticas del atacante.

Copiar enlace

¿El phishing lo hacen los hackers?

Sí, el phishing suele ser llevado a cabo por hackers o ciberdelincuentes que utilizan técnicas de ingeniería social, sitios web falsos y comunicaciones fraudulentas para engañar y explotar a particulares u organizaciones.

Copiar enlace

¿Te pueden piratear al abrir un correo electrónico?

Aunque es poco probable que la simple apertura de un correo electrónico piratee directamente su dispositivo, los correos electrónicos de phishing suelen contener enlaces o archivos adjuntos maliciosos que, al abrirse, pueden provocar infecciones de malware o comprometer aún más su seguridad.

Copiar enlace

¿Podemos detener el phishing?

Es difícil eliminar el phishing debido a la enorme cantidad de ataques que se producen a diario. Lo mejor es estar alerta en todas las interacciones en línea, ya sea por correo electrónico, redes sociales o chat.

Copiar enlace

Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.

Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10

¡Ahorra un 10% ahora!
Escrito por

Redactor de contenidos experimentado especializado en Certificados SSL. Transformar temas complejos de ciberseguridad en contenido claro y atractivo. Contribuir a mejorar la seguridad digital a través de narrativas impactantes.

Entradas relacionadas
Apple y Meta atrapados en un error de filtración de datos
What Is Business Email Compromise (BEC)
¿Qué es el Business Email Compromise (BEC) y cómo prevenirlo?
Send Documents Securely via Email
Cómo enviar documentos por correo electrónico de forma segura
What Is an S/MIME Certificate
¿Qué es un certificado S/MIME y cómo funciona?
Mail Server Security
Seguridad del servidor de correo: cómo proteger sus correos electrónicos