Actualmente, estamos continuamente interactuando con los medios tecnológicos, sobre todo el móvil y el ordenador. Consecuentemente, ha llegado a nuestras vidas la ciberdelincuencia y concretamente el phishing.
Desafortunadamente, el phishing ha llegado para quedarse y cada vez son más los ataques recibidos. Concretamente, ha aumentado un 6% el segundo trimestre de 2022 comparado con el primer trimestre de este mismo año.
Por ello, queremos ayudarte y vamos a proceder a explicar cómo podemos identificar el phishing y cómo evitarlo.
¿Qué es el phishing?
El phishing, es una técnica que utilizan los ciberdelincuentes para conseguir información confidencial. Pensarás, bueno actualmente nadie introduce datos personales en un correo electrónico, ni en ninguna página web que no sabe de dónde procede. Los ciberdelincuentes van un paso más allá, se hacen pasar por bancos o entidades que nos son conocidas, es decir, utilizan fuentes de confianza. Así, nosotros meteremos nuestros datos o información confidencial pensando que nos lo está requiriendo nuestro banco o nuestra compañía eléctrica.
Os vamos a contar un dato curioso acerca del phishing, ¿sabes por qué tiene este nombre tan peculiar?
Phishing, proviene de “fishing” (pescar en inglés). Hace referencia al hecho de utilizar un cebo (como es hacerse pasar por fuentes conocidas) y que las personas “muerdan el cebo”, es decir, metan los datos personales que es el objetivo de los ciberdelincuentes.
¿Qué tipos de phishing existen?
Hay una amplia variedad de phishing, de hecho están continuamente innovando. Aquí te dejamos algunos de los más típicos, vamos a ir desde el más simple hasta el más sofisticado.
Phishing Masivo
El Phishing Masivo, es uno de los más usados por los ciberdelincuentes debido a su simplicidad.
Este tipo de Phishing se caracteriza por no personalizar los mensajes, es decir, se dirige hacia todos de la misma forma. Concretamente, los ciberdelincuentes cogen una base de datos e intentan contactar con todas las personas de la misma forma.
Dentro de este tipo Phishing, tendríamos el Smishing. Se llama así porque es a través de mensajes de texto, aunque hoy en día suele ser más habitual que lo hagan a través de WhatsApp.
A continuación, te dejamos un ejemplo que seguro que te resultará conocido. Este es el caso de que han cogido la base de datos de Correos, por lo que todas las personas que están pendientes de recibir un pedido los próximos días recibirán este mensaje. Pero, como puedes observar, no está personalizado en ningún momento.
¿Cómo detectar el Phishing masivo?
Los Phishing Masivo, suelen detectarse por su urgencia. Suelen intentar que lo hagas todo lo más rápido posible, para que no se borre la cuenta o para que no se divulgue.
A continuación, dejamos un ejemplo:
Spear Phishing
El Spear Phishing, tiene una peculiaridad y es que es un ataque dirigido a una persona o a una organización en concreto. Por ello, el contenido que envían suele ser bastante personalizado y concreto. Consecuentemente, los ciberdelincuentes han necesitado para hacer eso posible un conocimiento sobre sus víctimas. Bastaría con algunos datos básicos como sus nombres, correos electrónicos, puestos de trabajo y datos similares. Que realmente, hoy en día, es tan fácil como meterse en las redes sociales y obtendrás toda esa información y más.
Cuando ya tienen la información básica de la víctima, proceden a realizar el ataque. Primero, crean un correo electrónico con una dirección que les sea familiar a la víctima. Procedamos a ver un ejemplo, para aclarar cómo podría ser:
Pongamos el caso, una mujer de 35 años, su banco es ING. Y le llega un correo de la dirección ING_banco@gmail.com ¿puede ser real, no? Además, no es nada raro que le llegue un mensaje sobre que mire cuánto ha gastado este mes.
Este phishing, concretamente es muy peligroso ya que al estar personalizado, se da por hecho que lo ha enviado alguien que tiene conocimiento de nosotros.
¿Cómo detectar el Spear Phishing?
Os damos una serie de consejos.
- Identificar al remitente: mira la dirección concreta por si ves al extraño.
- Evaluar el ”asunto”
- Inspeccionar detenidamente el contenido: mira si tiene contenido o archivos que no tienen sentido.
Malware
Malware o también conocido como “software malicioso”.
Se le llama así a cualquier programa o código malicioso que daña los sistemas de nuestros dispositivos.
Básicamente, el malware intrusivo tiene como objetivo invadir, perjudicar o deshabilitar ordenadores, sistemas informáticos, móviles…(hay diversos canales por los que pueden atacar) con la finalidad de asumir el control sobre ellos.
El objetivo principal es obtener dinero de la víctima, ya que al tener el control pueden robar, alterar o secuestrar funciones básicas del ordenador y espiar la actividad en el ordenador. Consecuentemente, pueden llegar a obtener información importante como claves de banco.
¿Cómo detectar el Malware?
- Instala programas y archivos que procedan de fuentes fiables
- No abras ningún archivo o enlace proveniente de correos electrónicos cuyos remitentes no conozcas.
- Fíjate en los anuncios, banners o ventanas emergentes en los que haces clic..
- Maneja con mucho cuidado los datos sensibles como la información sobre la cuenta bancaria, los datos de registro y las contraseñas.
Phishing de clonación
Este tipo de phishing, se diferencia de que los ciberdelincuentes hacen una copia de algún correo electrónico que la víctima ha recibido anteriormente y que contenga un enlace o un archivo adjunto. El ciberdelincuente sustituye ese enlace o ese archivo por otro. Consecuentemente, la víctima abrirá el archivo y el enlace con total normalidad, y ya es el momento en el que los delincuentes consiguen entrar en el sistema de su víctima.
Para detectarlo, lo primero que puedes hacer es analizar detenidamente la dirección de correo electrónico del e-mail que has recibido. También, ten siempre en mente de que no deben de iniciar sesión en enlaces externos mínimamente sospechosos.
¿Cómo detectar el Phishing de clonación?
Realmente, es seguir las mismas instrucciones que en los anteriores. Fíjate en la dirección de correo electrónico o de dónde proceda y en archivos sospechosos. Además, no descargar ningún archivo si estás en duda.
Phishing telefónico/ Vishing
Solemos hablar siempre del phishing a través de correo electrónico, pero también existe a través del teléfono.
En este caso, el delincuente llama a la víctima y se hace pasar por su banco, un policía o alguna persona importante que no sea raro que te pida datos personales. Para conseguir los datos, se inventa una situación problemática para asustar a la víctima. La víctima, al estar en ese estado de nerviosismo de datos sin pensar muchas veces si realmente tiene sentido que eso haya ocurrido.
¿Cómo detectar el Vishing?
Primero, piensa como la entidad por la que se está haciendo pasar el ciberdelincuente suele comunicarse contigo. Si no utiliza este medio de comunicación, ten claro que no son ellos. Por otro lado, en caso de que sea así, haz que se pueda confirmar su identidad o métete en la página web oficial de la entidad y llama al contacto de teléfono que te salga, y verifícalo.
Prevención
Ya que conocemos lo que es el phishing, vamos a adentrarnos un poco más en profundidad en el tema. Y claramente, no dudamos que la prevención es uno de los puntos más importantes.
También os adjuntamos una serie de herramientas que te ayudan a detectar el phishing. Son herramientas muy fáciles de usar.
- ScamSearch: te permite reportar un spam o detectar un engaño si alguien lo ha reportado con anterioridad.
Es muy fácil de usar, tan sólo tendrás que introducir en la barra que véis a continuación, el email/número/web sospechoso y os saldrá si alguien lo ha reportado.
- VirusTotal: adjuntas una URL, y te dirá si alguien ha detectado con anterioridad contenido malicioso.
Puedes introducir un archivo, una URL o una búsqueda sospechosa, tansólo tendrás que marcar qué quieres averiguar e introducirlo en la barra.
- Google Transparency Report: detecta contenido inseguro. Podríamos decir que es el másfácil de utilizar. Introduce la URL en la barra blanca, y te dirá si hay datos actuales sobre ella.
¿Cómo protegerse de un ataque de phishing?
Os vamos a dar una serie de tips, que esperamos que apliquéis ya que os pondrá evitar un gran susto.
- No abras correos electrónicos que no sean familiares.
- Si recibes un correo electrónico de un sorteo o que has sido ganador de algo, recuerda que no vas a ganar nunca nada en algo que ni has participado.
- Mira bien la dirección de correo electrónico.
- Si es de una fuente que te es familiar, métete en la página web o incluso llama por teléfono para asegurarte.
- Copia y pega el texto en internet, los casos no suelen ser particulares. A lo mejor hay una persona o un artículo, dónde ya indican que les llegó el mismo texto.
- Nunca introduzcas ningún dato personal, y recuerda que el número de la tarjeta no te lo van a pedir por un correo electrónico.
Consecuencias
¿Qué hacer si has sido víctima de un ataque phising?
Lo primero de todo, si has proporcionado algún número bancario o una tarjeta, cancélala inmediatamente y habla con tu banco.
¿Ya la has cancelado? Perfecto, prosigamos.
En segundo lugar, pon una denuncia. Podemos elegir si hacerlo de forma presencial acercándote a tu oficina más cercana o de forma virtual. La policía por los numerosos casos que está habiendo, ha habilitado una oficina virtual para alegar que has sido víctima de phishing.
También, podemos, si quieres, avisar del fraude a la Guardia Civil. De forma virtual, puedes rellenar un formulario y avisar de la estafa cibernética. Pero, si quieres interponer denuncia tienes que acercarte a una oficina.
Otra opción es llamar al Instituto Nacional de Ciberseguridad (017). Es una línea totalmente gratuita disponible todos los días de 9:00-21:00.
Por último, avisa a la entidad por la que se han hecho pasar, para que estén al día de lo que está ocurriendo y avisen al resto de clientes.
Continúa mejorando tus competencias digitales
A continuación, te dejamos dos cursos online gratuitos de nuestra plataforma de formación - Formados, que pueden ayudarte:
- Curso de Buenas prácticas para proteger nuestra privacidad en Internet
- Curso de Protección y seguridad informática en la empresa
Ahora ya conoces qué es el phishing ¿Te ha resultado útil? Si es así, te aconsejamos que visites otras entradas de nuestro Blog y, si tienes alguna duda, te pongas en contacto con nosotros ¡Estaremos encantados de ayudarte!