¿Qué es el phishing y cómo funciona?
Inicio
Artículos
¿Qué es el phishing y cómo funciona?

¿Qué es el phishing y cómo funciona?

Principiante
Publicación: Nov 28, 2018Actualización: May 29, 2024
7m

Resumen

  • El phishing es una práctica maliciosa en la que los atacantes se hacen pasar por entidades confiables para engañar a las personas con el fin de que revelen información confidencial.

  • Aprende a reconocer los signos comunes de phishing, como URL sospechosas y solicitudes urgentes de información personal, para mantenerte alerta.

  • Conoce las diversas técnicas de phishing, desde estafas comunes de correo electrónico hasta sofisticados spear phishing, para fortalecer las defensas de ciberseguridad.

Introducción

El phishing es una táctica dañina en la que los actores malintencionados fingen ser fuentes confiables para engañar a las personas con el fin de que compartan sus datos confidenciales. En este artículo, arrojaremos luz sobre qué es el phishing, cómo funciona y qué puedes hacer para evitar ser víctima de este tipo de estafas.

Cómo funciona el phishing

El phishing se basa principalmente en la ingeniería social, un método en el que los atacantes manipulan a las personas para que divulguen información confidencial. Los atacantes recopilan datos personales de fuentes públicas (como las redes sociales) para crear correos electrónicos aparentemente auténticos. Las víctimas a menudo reciben mensajes maliciosos que parecen ser de contactos familiares u organizaciones acreditadas.

La forma más común de phishing se da a través de correos electrónicos que contienen enlaces o archivos adjuntos maliciosos. Al hacer clic en estos enlaces, se puede instalar malware en el dispositivo del usuario o llevarlo a sitios web falsificados diseñados para robar información personal y financiera.

Si bien es más fácil detectar correos electrónicos de phishing mal redactados, los ciberdelincuentes están empleando herramientas avanzadas como chatbots y generadores de voz de IA para mejorar la autenticidad de sus ataques. Esto hace que resulte difícil para los usuarios distinguir entre comunicaciones genuinas y fraudulentas.

Cómo reconocer los intentos de phishing

Identificar los correos electrónicos de phishing puede ser complicado, pero hay algunas señales a las que puedes prestar atención.

Signos comunes

Ten cuidado si el mensaje contiene direcciones URL sospechosas, utiliza direcciones de correo electrónico públicas, induce miedo o urgencia, solicita información personal o tiene errores ortográficos y gramaticales. En la mayoría de los casos, deberías poder pasar el cursor del mouse sobre los enlaces para verificar las URL sin hacer clic en ellas.

Estafas basadas en pagos digitales

Los phishers a menudo se hacen pasar por servicios de pago en línea de confianza, como PayPal, Venmo o Wise. Los usuarios reciben correos electrónicos fraudulentos en los que se les insta a verificar los datos de un supuesto inicio de sesión. Es fundamental mantenerse alerta y reportar cualquier actividad sospechosa.

Ataques de phishing en el área de las finanzas

Los estafadores se hacen pasar por bancos o instituciones financieras y alegan fallas de seguridad para obtener información personal. Las tácticas comunes incluyen correos electrónicos engañosos sobre transferencias de dinero o estafas de depósito directo a nuevos empleados. También pueden afirmar que hay una actualización de seguridad urgente.

Estafas de phishing relacionadas con el trabajo

Estas estafas personalizadas involucran a atacantes que se hacen pasar por ejecutivos, CEO o CFO, que solicitan transferencias electrónicas o compras falsas. El phishing de voz con generadores de voz de IA por teléfono es otro método empleado por los estafadores.

Cómo prevenir los ataques de phishing

Para evitar los ataques de phishing, es importante emplear múltiples medidas de seguridad. Evita hacer clic directamente en cualquier enlace. En su lugar, dirígete al sitio web de la empresa o a los canales de comunicación oficiales para verificar si la información que recibiste es legítima. Considera usar herramientas de seguridad como software antivirus, firewalls y filtros de spam. 

Además, las organizaciones deben utilizar estándares de autenticación de correo electrónico para verificar los correos electrónicos entrantes. Los ejemplos comunes de métodos de autenticación de correo electrónico incluyen DKIM (DomainKeys Identified Mail) y DMARC (Domain-based Message Authentication, Reporting and Conformance).

Para las personas, es fundamental informar a sus familiares y amigos sobre los riesgos del phishing. Para las empresas, es vital educar a los empleados sobre las técnicas de phishing y proporcionar capacitación periódica de concientización para reducir los riesgos.

Si necesitas más ayuda e información, busca iniciativas gubernamentales como OnGuardOnline.gov y organizaciones como Anti-Phishing Working Group Inc. Estas proporcionan recursos y orientación más detallados para detectar, evitar y denunciar ataques de phishing.

Tipos de phishing

Las técnicas de phishing están evolucionando, y los ciberdelincuentes utilizan diversos métodos. Los diferentes tipos de phishing suelen clasificarse en función del objetivo y el vector de ataque. Analicémoslo con mayor detalle.

Phishing de clonación

El atacante usa un correo electrónico legítimo enviado previamente y copia su contenido en uno similar que contenga un enlace a un sitio malicioso. El atacante también podría afirmar que se trata de un enlace actualizado o nuevo, e indicar que el anterior era incorrecto o había caducado.

Spear phishing

Este tipo de ataque se centra en una persona o institución. Un ataque de spear es más sofisticado que otros tipos de phishing porque está hecho a la medida. Esto significa que el atacante primero recopila información sobre la víctima (por ejemplo, nombres de amigos o familiares) y utiliza estos datos para atraer a la víctima a un archivo de sitio web malicioso.

Pharming

El atacante contamina un registro DNS, que, en la práctica, redirige a los visitantes de un sitio web legítimo a uno fraudulento que el atacante haya creado de antemano. Este es el más peligroso de los ataques porque los registros DNS no están bajo el control del usuario, lo que hace que el usuario no pueda defenderse.

Whaling

Una forma de spear phishing que se dirige a personas ricas e importantes, como directores ejecutivos y funcionarios gubernamentales.

Spoofing de correos (suplantación)

Los correos electrónicos de phishing suelen falsificar las comunicaciones de empresas o personas legítimas. Pueden incluir enlaces a sitios maliciosos creados para las víctimas desprevenidas. En esos sitios, los atacantes recopilan credenciales de inicio de sesión, así como PII, utilizando páginas de inicio de sesión hábilmente disfrazadas. Las páginas pueden contener troyanos, keyloggers y otros scripts maliciosos que roban información personal.

Redirecciones de sitios web

Los redireccionamientos de sitios web envían a los usuarios a direcciones URL diferentes a las que pretendían visitar. Los actores que explotan las vulnerabilidades pueden insertar redirecciones e instalar un malware en las computadoras de los usuarios.

Typosquatting

El typosquatting dirige el tráfico a sitios web falsificados que utilizan ortografía en idiomas extranjeros, errores ortográficos comunes o variaciones sutiles en el dominio de nivel superior. Los phishers usan dominios para imitar las interfaces legítimas del sitio web, y se aprovechan de los usuarios que escriben o leen incorrectamente la URL.

Anuncios pagados falsos

Los anuncios pagados son otra táctica utilizada para el phishing. Estos anuncios (falsos) utilizan dominios a los que los atacantes aplicaron el typosquatting y son pagados para que suban en los resultados de búsqueda. El sitio puede incluso aparecer como uno de los mejores resultados de búsqueda en Google.

Ataque de abrevadero (watering hole attack)

En un ataque de abrevadero, los phishers estudian a los usuarios y determinan los sitios web que visitan con frecuencia. Analizan estos sitios en busca de vulnerabilidades e intentan inyectar scripts maliciosos diseñados para dirigirse a los usuarios la próxima vez que visiten ese sitio web.

Suplantación de identidad y sorteos falsos

Suplantan la identidad de figuras influyentes en redes sociales. Los phishers pueden hacerse pasar por líderes clave de empresas y anunciar sorteos o participar en otras prácticas engañosas. Las víctimas de este engaño pueden incluso ser atacadas individualmente a través de procesos de ingeniería social destinados a encontrar usuarios crédulos. Los actores pueden hackear cuentas verificadas y modificar los nombres de usuario para hacerse pasar por una figura real mientras mantienen el estado verificado.

Recientemente, los phishers han estado apuntando fuertemente a plataformas como Discord, X y Telegram con los mismos propósitos: suplantar chats, hacerse pasar por individuos e imitar servicios legítimos.

Aplicaciones maliciosas

Los phishers también pueden usar aplicaciones maliciosas que monitorean tu comportamiento o roban información confidencial. Las aplicaciones pueden hacerse pasar por rastreadores de precios, billeteras y otras herramientas relacionadas con las criptomonedas (que tienen una base de usuarios predispuestos a operar y poseer criptomonedas).

SMS y phishing de voz

Una forma de phishing basada en mensajes de texto, generalmente a través de SMS o mensajes de voz, que alienta a los usuarios a compartir información personal.

Phishing vs. Pharming

Aunque algunos consideran que el pharming es un tipo de ataque de phishing, se basa en un mecanismo diferente. La principal diferencia entre phishing y pharming es que el phishing requiere que la víctima cometa un error. Por el contrario, el pharming solo requiere que la víctima intente acceder a un sitio web legítimo cuyo registro DNS fue comprometido por el atacante.

Phishing en el espacio cripto y de blockchain

Si bien la tecnología blockchain proporciona una fuerte seguridad de datos debido a su naturaleza descentralizada, los usuarios en el espacio blockchain deben permanecer atentos a los intentos de ingeniería social y phishing. Los ciberdelincuentes a menudo intentan explotar las vulnerabilidades humanas para obtener acceso a claves privadas o credenciales de inicio de sesión. En la mayoría de los casos, las estafas se basan en errores humanos.

Los estafadores también pueden intentar engañar a los usuarios para que revelen sus frases semilla o transfieran fondos a direcciones falsas. Es importante tener cuidado y seguir las prácticas de seguridad recomendadas.

Conclusiones

En conclusión, comprender el phishing y mantenerse informado sobre la evolución de las técnicas de estafa es crucial para salvaguardar la información personal y financiera. Al combinar sólidas medidas de seguridad, educación y concienciación, las personas y las organizaciones pueden fortalecerse contra la amenaza siempre presente del phishing en nuestro mundo digital interconectado. ¡Mantente SAFU!

Lecturas adicionales

Aviso legal y Advertencia de riesgo: Este contenido se presenta "tal cual" únicamente para fines de información general y educativos, sin declaración ni garantía de ningún tipo. No debe interpretarse como un asesoramiento financiero, legal o de otra índole profesional ni pretende recomendar la compra de ningún producto o servicio específicos. Debes buscar consejo particular de asesores profesionales idóneos. Dado que este artículo es producto de la contribución de terceros, ten en cuenta que las opiniones expresadas pertenecen al tercero colaborador y no reflejan necesariamente las de Binance Academy. Para obtener más información, lee nuestro aviso legal completo aquí. Los precios de los activos digitales pueden ser volátiles. El valor de una inversión puede bajar o subir, y podría darse el caso de que no recuperes el monto invertido. Solo tú eres responsable de tus decisiones de inversión. Binance Academy no se responsabiliza de ninguna pérdida en la que puedas incurrir. Este material no se debe interpretar como una asesoría financiera, legal o de otra índole profesional. Si deseas obtener más información, consulta nuestros Términos de uso y la Advertencia de riesgo.