Qué es el phishing, el método para robar información personal en internet
Se trata de una técnica de ingeniería social que los ciberdelincuentes aprovechan para obtener datos confidenciales de forma fraudulenta y así apropiarse de la identidad de la persona.
En los últimos meses, una peligrosa tendencia se volvió furor entre los ciberdelincuentes. Se trata del phishing, una técnica de ingeniería social que permite saquear datos personales y confidenciales con el fin de robar la identidad de una persona.
Esta técnica consiste en el envío de un correo electrónico -por parte de los ciberdelincuentes- a un usuario simulando ser una entidad legítima, como una institución, bancos, e incluso redes sociales, con el objetivo de robar información privada o infectar un dispositivo.
Para ello, publican páginas fraudulentas o adjuntan archivos infectados, para que, al hacer clic, poder cometer la fechoría.
Seguí leyendo:
Salud mental en adolescentes: qué es cierto y qué no
El objetivo del phishing y cómo funciona
Una campaña de phishing puede estar dirigida a un objetivo específico o puede estar dirigida a la mayor cantidad de personas posibles, pero en ambos casos comienza de la misma manera: un mensaje malintencionado.
Si bien los objetivos pueden variar, en la mayoría de los casos este es el robar información personal o credenciales con un mensaje de urgencia que pone en alerta a las víctimas. Los mismos pueden ir desde una amenaza con suspensión de una cuenta, la pérdida de dinero o de trabajo.
Las víctimas, debido a la presión y el miedo, no se toman el tiempo de pensar si las exigencias son razonables o si la fuente es legítima, por lo que caen en la trampa.
El phishing evoluciona constantemente para eludir filtros de seguridad y detección humana, por lo que es indispensable interiorizarse de las estrategias fraudulentas constantemente para no caer en ellas.
¿Qué es un correo electrónico falso?
Se trata de correos electrónicos que contienen información fraudulenta y enlaces que te llevan a página de internet falsas con formularios y preguntas para obtener tus datos personales.
Estos correos pueden aparecer como un mensaje de un banco, servicio pago, mercados de compra en línea o proveedores de servicios como luz o gas.
Los datos más comunes que se piden en los correos
Generalmente, en este tipo de mensajes fraudulentos es muy usual que se pida la siguiente información personal.
Rellenar formularios o hacer clic en un enlace para obtener alguna información.
Hacer clic en un enlace que redirige a una página de registro falsa
Descargar un archivo adjunto importante
Por qué el phishing es una terrible amenaza en la actualidad
El phishing en la actualidad es un problema realmente alarmante, ya que es fácil, barato y eficaz de utilizar para los ciberdelincuentes. Los costes y esfuerzos son mínimos y las víctimas pueden sufrir robo de datos, robo de identidad o, en el peor de los casos, con malwares en sus dispositivos.
Los datos buscados por estos ciberdelincuentes incluyen información personal identificable, como datos de cuentas financieras, números de tarjetas de crédito, registros médicos o fiscales. También suelen buscar datos empresariales delicados, como nombres de clientes e información de contacto, secretos relacionados con productos propios y comunicaciones confidenciales.
Algunos otros objetivos de los ciberdelincuentes son:
Obtener acceso directo al correo electrónico
Obtener contraseña de redes sociales u otras cuentas
Vulnerar puntos de venta o información sensible
Obtener número de DNI, CUIL O CUIT
Códigos PIN
Nombres de usuario
Seguí leyendo:
Mitos y verdades sobre la gripe en el embarazo
Cómo saber si un mensaje es un intento de phishing
Para saber si estamos siendo víctimas de un intento de phishing, es necesario tener en cuenta los siguientes detalles:
Correos o mensajes de WhatsApp enviado por remitentes desconocidos.
El uso de remitentes parecidos a los de las páginas oficiales.
Faltas de ortografía, errores gramaticales, falta de tildes o presencia de caracteres en otro idioma.
Presencia de enlaces dudosos.
El tono del correo electrónico: las empresas se dirigen a sus clientes en tono cálido y personal generalmente, porque tus datos ya figuran en su base de información.
El objetivo del correo: ningún proveedor pide a sus clientes que introduzca datos a través de un correo electrónico.
Faltan o sobran letras en una dirección URL: no es lo mismo "argentina.gob.ar" que "argentina.io", la última dirección es falsa.
La página no tiene candado que certifica que es un sitio seguro para el usuario.
En caso de dudas, es recomendable no apretar el enlace ni escribirlo manualmente en el navegador de internet.
Tipos de ataques de phishing
El phishing evoluciona constantemente y va más allá que un simple robo de datos. El modo en que el atacante configure su estrategia depende del tipo de phishing, entre los cuales están:
- Phishing por correo electrónico: se trata de cualquier correo electrónico malintencionado destinado a engañar a usuarios para obtener información privada. Generalmente, el objetivo es robar credenciales de cuentas, información personal identificable y secretos comerciales corporativos.
- Spear phishing: son mensajes de correo que se envían a personas concretas pertenecientes a una organización, normalmente titulares de cuentas con privilegios elevados, para lograr que divulguen datos confidenciales, enviar dinero al atacante o descargar programas malintencionados.
- Manipulación con enlaces: los mensajes que contienen un enlace a un sitio malintencionado que parece oficial, pero lleva a las víctimas a un servidor controlado por el atacante, donde se les convence para que se autentiquen en una página de inicio de sesión falsa.
- Whaling (Fraude al CEO): son mensajes que suelen llegarle a empleados de alto nivel de una empresa para hacerles creer que el CEO de la misma solicitó una transferencia de dinero.
- Inyección de contenidos: es un movimiento del ciberdelincuente para inyectar contenidos malintencionados en una página oficial para que los usuarios accedan a una pestaña emergente y llevar a cabo el robo de datos.
- Malware: se convence a los usuarios de hacer clic o abrir un archivo adjunto que descargue de forma automática un malware en sus dispositivos.
- Smishing: este método se lleva a cabo a través de SMS, donde los atacantes engañan a los usuarios para que accedan a páginas web maliciosas desde sus smartphones. Los delincuentes envían un mensaje de texto a la víctima con supuestos descuentos si entran al link indicado.
- Vishing: los ciberdelincuentes utilizan software de modificación de voz para dejar un mensaje a la víctima avisando que deben llamar a un número telefónico en el que pueden ser estafados.
- Wifi gemelo maligno: se trata de la suplantación de una red wifi gratuita para que el usuario se conecte a esta red maliciosa y, desde allí, los atacantes tener acceso a sus dispositivos.
- Pharming: el pharming es un ataque que se lleva a cabo en dos fases con el fin de robar credenciales de cuentas. En la primera fase, se instala un malware en los dispositivos de la víctima objetivo y se la redirige a un sitio web falso donde se lo engañe para que de información de sus credenciales.
- Angler phishing: este método se utiliza principalmente en las redes sociales. Allí, los atacantes responden mensajes haciéndose pasar por una organización oficial y engañar a los usuarios para que divulguen credenciales de cuentas e información personal.
- Watering hole: se trata de un sitio comprometido que ofrece infinidad de oportunidades. Allí, el atacante identifica un sitio utilizado por numerosos usuarios, explota una vulnerabilidad en el sitio, y la utiliza para que los usuarios descarguen malwares.
¿Cómo se puede denunciar el phishing?
Los delitos por phishing se pueden denunciar en las unidades fiscales especializadas. Podés consultar en el área de denuncias de Con Vos en la Web, los organismos e instituciones donde te puedan dar asesoramiento.
Además, podés filtrar los sitios que realizan phishing en el siguiente formulario oficial de Google: Report phishing.
