Los avances tecnológicos y el uso generalizado de Internet han creado muchos efectos positivos, como un mayor acceso a la información y una mayor interconexión. Sin embargo, también exponen a los usuarios a una serie de riesgos de ciberseguridad. Uno de ellos son los ciberataques cuyo objetivo último es robar identidades, dinero o asumir ilegalmente el control de cuentas y perfiles de personas. El phishing, como se denomina a estos ciberdelitos, está ahora tan extendido que entre enero y octubre de 2022 se produjeron más de 255 millones de ataques, un incremento del 61 % respecto al año anterior.
Debido a la creciente frecuencia de estos ataques —y al daño que pueden causar a particulares y empresas—, es crucial que la gente conozca qué son estos ataques, cómo funcionan, qué hacer tras un ataque de phishing y, por supuesto, cómo prevenirlos.
¿Qué es el phishing?
Para evitar convertirse en víctima del phishing, es esencial en primer lugar que la gente entienda en qué consisten estos ataques. En pocas palabras, es un tipo de estafa, a menudo ejecutada por correo electrónico, mensajes de texto o llamadas telefónicas, en la que un actor malicioso manipula a su objetivo para que comparta su información de inicio de sesión, credenciales u otros datos personales y luego los utiliza con fines nefastos.
El Instituto Nacional de Estándares y Tecnología define el phishing como “un intento de los delincuentes de engañarte para que compartas información o realices una acción que les des acceso a tus cuentas, tu ordenador o incluso tu red”.
Tras entregar su información en la estafa, el ciberdelincuente suele utilizar los datos de la víctima de phishing para obtener beneficios económicos o perpetuar otros delitos. Esto suele hacerse utilizando las credenciales de inicio de sesión robadas para acceder a cuentas bancarias o tarjetas de crédito, o a buzones de correo electrónico, redes domésticas, perfiles de redes sociales e incluso cuentas del Servicio de Impuestos Internos (IRS) o de la Seguridad Social. Si las credenciales robadas incluyen contraseñas que se utilizan en varias cuentas, el phisher podrá acceder a un mayor número de cuentas de la víctima y causar más daños.
A menudo, los phishers intentan crear una sensación de legitimidad para sus estafas haciéndose pasar por empresas o personas de confianza. Por ejemplo, podrían enviar un correo electrónico de una gran empresa con la que la víctima de phishing podría tener una cuenta: de hecho, Yahoo, DHL, Microsoft, Google, Facebook, Adobe y Netflix se encuentran entre las marcas más suplantadas. O bien, el phisher puede hacerse pasar por un amigo o conocido en el mensaje de phishing. El mensaje suele incluir un enlace que dirige al receptor a un sitio web falso, en el que se pide a la víctima que facilite información privilegiada, como datos de acceso, información de la tarjeta de crédito o, tal vez, datos personales como fechas de nacimiento y números de la Seguridad Social.
Tipos de ataques de phishing
Hay muchas formas a través de las cuales los ciberdelincuentes pueden robar tu información personal para acceder a tu dinero o asumir tu identidad. En la mayoría de estos casos, los hackers se hacen pasar por representantes oficiales de empresas legítimas y engañan a la víctima del phishing para que facilite datos personales que luego pueden utilizarse con fines lucrativos o para suplantar su identidad. Entender qué aspecto pueden tener estos ciberataques puede ayudar a prevenir los ataques de phishing. Estas son algunas de las formas más comunes de phishing de los hackers:
- Correo electrónico: Muchas personas se convierten en víctimas del phishing a través de correos electrónicos maliciosos. Suelen parecer legítimos y proceder de sitios web en los que el usuario tiene una cuenta, pero en realidad son enviados por el hacker para obtener datos personales. Los correos electrónicos suelen contener enlaces que piden al usuario que introduzca sus credenciales de acceso u otros datos confidenciales. El hacker puede entonces robar esta información —como contraseñas o datos de tarjetas de crédito— y utilizarla para sus propios fines.
- Text: Igual que el phishing de correo electrónico, el phishing de los mensajes de texto, o smishing, implica enlaces que parecen proceder de fuentes legítimas y piden a los usuarios que se registren en una cuenta o introduzcan datos personales. Sin embargo, en este caso, el enlace se envía a través de un SMS u otros mensajes de texto en lugar de por correo electrónico.
- Teléfono: En este escenario, el estafador llamará a la víctima de phishing diciendo que es un representante de una empresa legítima en la que el propietario del teléfono podría tener una cuenta. A menudo denominado ‘vishing’, el hacker le pedirá entonces información personal para confirmar los datos de la cuenta y resolver un supuesto problema. Si la víctima facilita estos datos, el estafador puede utilizarlos para lograr sus objetivos.
- Redes sociales: Algunos hackers crean perfiles falsos en las redes sociales y realizan estafas para tratar de obtener información personal de otros usuarios. Por ejemplo, pueden decir a la víctima de phishing que ha ganado un concurso y que tiene que facilitar su número de teléfono, dirección de correo electrónico y número de la seguridad social. O pueden decir que hay un problema de seguridad con la cuenta y que si el usuario no confirma sus datos de acceso, su cuenta será bloqueada.
Es esencial que la gente recuerde que las empresas legítimas, como los bancos, los sitios de comercio electrónico y las plataformas de redes sociales, nunca pedirán a los propietarios de cuentas que faciliten información confidencial por ninguno de los medios mencionados. En caso de duda, siempre es mejor ignorar la posible estafa y ponerse en contacto con la empresa legítima a través de los canales oficiales.
Cómo reconocer un ataque de phishing
Los estafadores pueden robar información confidencial de las personas de muchas maneras, por ejemplo, a través del correo electrónico, mensajes de texto o las llamadas telefónicas, y pueden utilizarla para causar daños importantes a las víctimas del phishing. Por este motivo, conocer las tácticas más comunes que emplean los phishers para llevar a cabo sus ataques es el primer paso en la prevención de ataques de phishing. Por ejemplo, un correo electrónico, un mensaje de texto o una llamada telefónica fraudulentos pueden decir lo siguiente:
- Se han producido intentos sospechosos de inicio de sesión en una cuenta.
- Hay un problema con la información de facturación o pago de la cuenta.
- Es necesario confirmar los datos personales o financieros de la cuenta.
- El pago debe efectuarse haciendo clic en un enlace.
- El titular de la cuenta puede optar a un reembolso o pago si rellena sus datos a través de un enlace.
Además, el mensaje o la llamada telefónica pueden mostrar otros signos de phishing, como:
- Aparentar ser de una empresa legítima en la que la víctima potencial pueda tener una cuenta, como Amazon o Apple.
- Utilizar el logotipo de la empresa en el correo electrónico.
- Incluir el nombre de la empresa en la dirección de correo electrónico, pero en un formato no oficial.
- No poder o no querer confirmar su legitimidad.
Qué hacer tras un ataque de phishing
Las víctimas de phishing pueden preguntarse qué hacer después de que sus datos se hayan visto comprometidos. Se pueden tomar numerosas medidas que pueden mitigar los daños del ataque, evitar que otras personas se conviertan en víctimas de phishing de la misma estafa e incluso proteger a la víctima de futuros ataques. He aquí algunos aspectos a tener en cuenta.
Averiguar qué ha pasado
Tras un ataque de phishing, las víctimas necesitan comprender cómo se produjo el ataque. Esto puede implicar un poco de trabajo de investigación, como un escrutinio del correo electrónico o el mensaje de texto de phishing para averiguar cuál podría haber sido el propósito del ataque, comprobar los registros del firewall en busca de URL o direcciones IP sospechosas, y averiguar exactamente qué información y detalles podrían haberse visto comprometidos. También es una buena idea comprobar cualquier cuenta que pueda estar asociada con la información robada para ver si hay alguna actividad sospechosa.
Denunciar el ataque
Para las víctimas de phishing que se preguntan qué hacer tras un ataque, una posible opción es denunciarlo a las autoridades. Aunque esto no siempre es sencillo o directo, denunciar el ataque es importante por varias razones. Por ejemplo, si una organización legítima se ha visto implicada en el ataque, podría garantizar que sean conscientes de que un estafador se hace pasar por un representante oficial. Y lo que es quizás más importante, puede ayudar a la víctima a recuperar el control de cualquier cuenta comprometida, protegiéndola de si el estafador intenta perpetrar un robo de identidad, y bloquear cualquier transacción financiera sospechosa. En Estados Unidos, el phishing puede denunciarse ante el Grupo de trabajo antiphishing y la Comisión Federal de Comercio mientras que en Europa, la organización responsable es la Oficina Europea de Lucha contra el Fraude. Todo ello puede contribuir a futuros esfuerzos de prevención de ataques de phishing.
Ponerse en contacto con la empresa implicada
A menudo, empresas legítimas se ven implicadas involuntariamente en ataques de phishing porque el phisher se hace pasar por un representante o envía un mensaje que supuestamente procede de la empresa. Si este es el caso, entonces lo que hay que hacer después de un ataque de phishing implicará ponerse en contacto con la empresa en cuestión para informarles del incidente. De este modo, pueden tomar medidas para prevenir futuros ataques de phishing aconsejando a los clientes que sean conscientes de que los estafadores se ponen en contacto con los clientes en su nombre.
Desconecta el dispositivo
En algunos casos, los ataques de phishing pueden ejecutarse con la ayuda de software malicioso. Por esta razón, es esencial que las víctimas de phishing desconecten su dispositivo comprometido de Internet. Esto implicará desactivar la conexión wifi del dispositivo, o desconectar completamente y restablecer la red wifi. Esto es importante porque garantiza que el software malicioso no se siga transmitiendo a través de la red.
Actualiza acualquier contraseña potencialmente comprometida
Las estafas de phishing suelen manipular a las víctimas para que faciliten información confidencial. Por lo general, utilizan un enlace para redirigir al usuario a un sitio web falso y hacer que introduzca credenciales de inicio de sesión, como contraseñas. Después de hacer clic en un vínculo fraudulento de este tipo, lo mejor es cambiar las contraseñas que puedan haberse visto comprometidas en el ataque. Asegúrate de hacerlo a través del sitio web real y no a través del vínculo fraudulento, y si la contraseña se ha reutilizado en otras cuentas, asegúrate de cambiarlas también.
Ejecuta un análisis antimalware
El software antivirus es una parte crucial para garantizar la seguridad y privacidad de cualquier dispositivo, pero también es una parte importante de la prevención de ataques de phishing. Una vez instalado el software, este debería analizar el dispositivo automáticamente para detectar cualquier software malicioso potencial. Sin embargo, corresponde al usuario asegurarse de que el software esté siempre al día —basta con configurar las actualizaciones automáticas— y realizar análisis manuales periódicos que comprueben la presencia de software malicioso en todos los dispositivos, archivos, aplicaciones y servidores de la red.
Cuidado con los robos de identidad
El objetivo de algunos ataques de phishing es robar suficiente información personal sobre el objetivo para que el phisher pueda robar su identidad con fines nefastos. Por ejemplo, al robar el número de la Seguridad Social, el número de teléfono y la fecha de nacimiento de alguien, el atacante puede instigar un ataque de duplicación de SIM, sacar nuevas tarjetas de crédito o perpetrar otros tipos de fraude. Por ello, las víctimas de phishing deben estar atentas a señales de robo de identidad, como transacciones financieras o facturas médicas inesperadas, nuevas tarjetas de crédito que no solicitaron, intentos sospechosos de inicio de sesión en cuentas en línea, por ejemplo. Si las finanzas se ven afectadas, el ataque debe notificarse a las principales agencias de información crediticia de Estados Unidos —TransUnion, Equifax y Experian— para garantizar que la puntuación crediticia de la víctima no se vea afectada como consecuencia del fraude de identidad.
8 consejos para prevenir los ataques de phishing
A pesar de la frecuencia de estos ataques, hay muchas medidas que se pueden tomar para evitar convertirse en víctimas del phishing. Incorporar estos ocho consejos a las medidas generales de seguridad de un dispositivo electrónico puede ayudar a ahuyentar a los phishers.
- Aprende las señales de los ataques de phishing: estar familiarizado con el funcionamiento de las estafas de phishing permite a los usuarios mantenerse alerta y evitar convertirse en víctimas del phishing.
- Elimina o ignora los mensajes de correo electrónico y de texto sospechosos: Quienes conocen las señales del phishing pueden identificar los mensajes potencialmente maliciosos y eliminarlos activamente para no ser víctimas de la estafa.
- Comprueba el remitente: actúa con la diligencia debida para intentar verificar el remitente de un mensaje sospechoso. Esto puede significar comprobar que el dominio del correo electrónico de origen coincide con el de la empresa de la que se supone que procede o comprobar que el número de teléfono que envía un mensaje es un número oficial de la empresa, por ejemplo.
- No hagas clic en enlaces ni descargues archivos de correos electrónicos sospechosos: esta es una importante medida de prevención de ataques de phishing, ya que garantiza que el receptor no facilite datos confidenciales en un sitio web falso ni instale software malicioso sin darse cuenta.
- Denuncia los ataques de phishing: esto puede proteger a otras personas de convertirse potencialmente en víctimas de phishing, y también permite a cualquier empresa que pueda haber estado implicada en la estafa mejorar sus medidas de seguridad y alertar a sus clientes.
- Instala y utiliza programas antivirus y antiphishing: estos programas pueden ayudar a proteger la seguridad y privacidad del usuario filtrando mensajes sospechosos y eliminando y alertando a los usuarios sobre software potencialmente malicioso. Asegúrate de que estos programas se actualizan con regularidad y de que también se inician análisis manuales.
- Utiliza la autenticación multifactor: esto garantiza una capa adicional de seguridad para las cuentas, de modo que incluso si un ataque de phishing tiene éxito, el phisher tiene menos oportunidades de utilizar los datos robados para comprometer cuentas bancarias, perfiles de redes sociales o cuentas de correo electrónico, por ejemplo.
- Haz copias de seguridad periódicas de todos los datos: tanto si usas un smartphone como un portátil, asegúrate de que todos los datos del dispositivo tienen una copia de seguridad periódica —en un disco duro externo o en la nube, por ejemplo— para que estén siempre protegidos y disponibles.
Conclusión
Dada la creciente sofisticación de los ciberdelincuentes, por desgracia es habitual que la gente se convierta en víctima del phishing. Es importante comprender en qué consisten estos ciberdelitos y qué medidas poner en marcha para esforzarse en prevenir los ataques de phishing. Sin embargo, es igualmente importante que la gente sepa qué hacer después de un ataque de phishing. Desde proteger sus dispositivos y cuentas hasta informar del ataque de phishing y comprender cómo se produjo en primer lugar, estos pasos esenciales pueden ayudar a mitigar cualquier daño posterior.
Kaspersky Endpoint Security recibió tres premios AV-TEST al mejor rendimiento, protección y usabilidad de un producto de seguridad de endpoints para empresas en 2021. En todas las pruebas, Kaspersky Endpoint Security demostró un rendimiento, protección y usabilidad excepcionales para las empresas.
Artículos y vínculos relacionados:
Con qué frecuencia debes cambiar tu contraseña
Cómo evitar que los agentes de datos vendan tus datos personales
Robo de identidad: cómo proteger tus datos personales
¿Qué es el pirateo? ¿Cómo evitarlo?
Productos y servicios relacionados
Kaspersky Small Office Security
Kaspersky Endpoint Security Cloud