¬ŅQu√© es el phishing y c√≥mo funciona?
Inicio
Artículos
¬ŅQu√© es el phishing y c√≥mo funciona?

¬ŅQu√© es el phishing y c√≥mo funciona?

Principiante
Publicación: Nov 28, 2018Actualización: May 29, 2024
7m

Resumen

  • El phishing es una pr√°ctica maliciosa en la que los atacantes se hacen pasar por entidades confiables para enga√Īar a las personas con el fin de que revelen informaci√≥n confidencial.

  • Aprende a reconocer los signos comunes de phishing, como URL sospechosas y solicitudes urgentes de informaci√≥n personal, para mantenerte alerta.

  • Conoce las diversas t√©cnicas de phishing, desde estafas comunes de correo electr√≥nico hasta sofisticados spear phishing, para fortalecer las defensas de ciberseguridad.

Introducción

El phishing es una t√°ctica da√Īina en la que los actores malintencionados fingen ser fuentes confiables para enga√Īar a las personas con el fin de que compartan sus datos confidenciales. En este art√≠culo, arrojaremos luz sobre qu√© es el phishing, c√≥mo funciona y qu√© puedes hacer para evitar ser v√≠ctima de este tipo de estafas.

Cómo funciona el phishing

El phishing se basa principalmente en la ingenier√≠a social, un m√©todo en el que los atacantes manipulan a las personas para que divulguen informaci√≥n confidencial. Los atacantes recopilan datos personales de fuentes p√ļblicas (como las redes sociales) para crear correos electr√≥nicos aparentemente aut√©nticos. Las v√≠ctimas a menudo reciben mensajes maliciosos que parecen ser de contactos familiares u organizaciones acreditadas.

La forma m√°s com√ļn de phishing se da a trav√©s de correos electr√≥nicos que contienen enlaces o archivos adjuntos maliciosos. Al hacer clic en estos enlaces, se puede instalar malware en el dispositivo del usuario o llevarlo a sitios web falsificados dise√Īados para robar informaci√≥n personal y financiera.

Si bien es más fácil detectar correos electrónicos de phishing mal redactados, los ciberdelincuentes están empleando herramientas avanzadas como chatbots y generadores de voz de IA para mejorar la autenticidad de sus ataques. Esto hace que resulte difícil para los usuarios distinguir entre comunicaciones genuinas y fraudulentas.

Cómo reconocer los intentos de phishing

Identificar los correos electr√≥nicos de phishing puede ser complicado, pero hay algunas se√Īales a las que puedes prestar atenci√≥n.

Signos comunes

Ten cuidado si el mensaje contiene direcciones URL sospechosas, utiliza direcciones de correo electr√≥nico p√ļblicas, induce miedo o urgencia, solicita informaci√≥n personal o tiene errores ortogr√°ficos y gramaticales. En la mayor√≠a de los casos, deber√≠as poder pasar el cursor del mouse sobre los enlaces para verificar las URL sin hacer clic en ellas.

Estafas basadas en pagos digitales

Los phishers a menudo se hacen pasar por servicios de pago en línea de confianza, como PayPal, Venmo o Wise. Los usuarios reciben correos electrónicos fraudulentos en los que se les insta a verificar los datos de un supuesto inicio de sesión. Es fundamental mantenerse alerta y reportar cualquier actividad sospechosa.

Ataques de phishing en el √°rea de las finanzas

Los estafadores se hacen pasar por bancos o instituciones financieras y alegan fallas de seguridad para obtener informaci√≥n personal. Las t√°cticas comunes incluyen correos electr√≥nicos enga√Īosos sobre transferencias de dinero o estafas de dep√≥sito directo a nuevos empleados. Tambi√©n pueden afirmar que hay una actualizaci√≥n de seguridad urgente.

Estafas de phishing relacionadas con el trabajo

Estas estafas personalizadas involucran a atacantes que se hacen pasar por ejecutivos, CEO o CFO, que solicitan transferencias electrónicas o compras falsas. El phishing de voz con generadores de voz de IA por teléfono es otro método empleado por los estafadores.

Cómo prevenir los ataques de phishing

Para evitar los ataques de phishing, es importante emplear m√ļltiples medidas de seguridad. Evita hacer clic directamente en cualquier enlace. En su lugar, dir√≠gete al sitio web de la empresa o a los canales de comunicaci√≥n oficiales para verificar si la informaci√≥n que recibiste es leg√≠tima. Considera usar herramientas de seguridad como software antivirus, firewalls y filtros de spam.¬†

Además, las organizaciones deben utilizar estándares de autenticación de correo electrónico para verificar los correos electrónicos entrantes. Los ejemplos comunes de métodos de autenticación de correo electrónico incluyen DKIM (DomainKeys Identified Mail) y DMARC (Domain-based Message Authentication, Reporting and Conformance).

Para las personas, es fundamental informar a sus familiares y amigos sobre los riesgos del phishing. Para las empresas, es vital educar a los empleados sobre las técnicas de phishing y proporcionar capacitación periódica de concientización para reducir los riesgos.

Si necesitas más ayuda e información, busca iniciativas gubernamentales como OnGuardOnline.gov y organizaciones como Anti-Phishing Working Group Inc. Estas proporcionan recursos y orientación más detallados para detectar, evitar y denunciar ataques de phishing.

Tipos de phishing

Las técnicas de phishing están evolucionando, y los ciberdelincuentes utilizan diversos métodos. Los diferentes tipos de phishing suelen clasificarse en función del objetivo y el vector de ataque. Analicémoslo con mayor detalle.

Phishing de clonación

El atacante usa un correo electrónico legítimo enviado previamente y copia su contenido en uno similar que contenga un enlace a un sitio malicioso. El atacante también podría afirmar que se trata de un enlace actualizado o nuevo, e indicar que el anterior era incorrecto o había caducado.

Spear phishing

Este tipo de ataque se centra en una persona o institución. Un ataque de spear es más sofisticado que otros tipos de phishing porque está hecho a la medida. Esto significa que el atacante primero recopila información sobre la víctima (por ejemplo, nombres de amigos o familiares) y utiliza estos datos para atraer a la víctima a un archivo de sitio web malicioso.

Pharming

El atacante contamina un registro DNS, que, en la práctica, redirige a los visitantes de un sitio web legítimo a uno fraudulento que el atacante haya creado de antemano. Este es el más peligroso de los ataques porque los registros DNS no están bajo el control del usuario, lo que hace que el usuario no pueda defenderse.

Whaling

Una forma de spear phishing que se dirige a personas ricas e importantes, como directores ejecutivos y funcionarios gubernamentales.

Spoofing de correos (suplantación)

Los correos electrónicos de phishing suelen falsificar las comunicaciones de empresas o personas legítimas. Pueden incluir enlaces a sitios maliciosos creados para las víctimas desprevenidas. En esos sitios, los atacantes recopilan credenciales de inicio de sesión, así como PII, utilizando páginas de inicio de sesión hábilmente disfrazadas. Las páginas pueden contener troyanos, keyloggers y otros scripts maliciosos que roban información personal.

Redirecciones de sitios web

Los redireccionamientos de sitios web envían a los usuarios a direcciones URL diferentes a las que pretendían visitar. Los actores que explotan las vulnerabilidades pueden insertar redirecciones e instalar un malware en las computadoras de los usuarios.

Typosquatting

El typosquatting dirige el tráfico a sitios web falsificados que utilizan ortografía en idiomas extranjeros, errores ortográficos comunes o variaciones sutiles en el dominio de nivel superior. Los phishers usan dominios para imitar las interfaces legítimas del sitio web, y se aprovechan de los usuarios que escriben o leen incorrectamente la URL.

Anuncios pagados falsos

Los anuncios pagados son otra t√°ctica utilizada para el phishing. Estos anuncios (falsos) utilizan dominios a los que los atacantes aplicaron el typosquatting y son pagados para que suban en los resultados de b√ļsqueda. El sitio puede incluso aparecer como uno de los mejores resultados de b√ļsqueda en Google.

Ataque de abrevadero (watering hole attack)

En un ataque de abrevadero, los phishers estudian a los usuarios y determinan los sitios web que visitan con frecuencia. Analizan estos sitios en busca de vulnerabilidades e intentan inyectar scripts maliciosos dise√Īados para dirigirse a los usuarios la pr√≥xima vez que visiten ese sitio web.

Suplantación de identidad y sorteos falsos

Suplantan la identidad de figuras influyentes en redes sociales. Los phishers pueden hacerse pasar por l√≠deres clave de empresas y anunciar sorteos o participar en otras pr√°cticas enga√Īosas. Las v√≠ctimas de este enga√Īo pueden incluso ser atacadas individualmente a trav√©s de procesos de ingenier√≠a social destinados a encontrar usuarios cr√©dulos. Los actores pueden hackear cuentas verificadas y modificar los nombres de usuario para hacerse pasar por una figura real mientras mantienen el estado verificado.

Recientemente, los phishers han estado apuntando fuertemente a plataformas como Discord, X y Telegram con los mismos propósitos: suplantar chats, hacerse pasar por individuos e imitar servicios legítimos.

Aplicaciones maliciosas

Los phishers también pueden usar aplicaciones maliciosas que monitorean tu comportamiento o roban información confidencial. Las aplicaciones pueden hacerse pasar por rastreadores de precios, billeteras y otras herramientas relacionadas con las criptomonedas (que tienen una base de usuarios predispuestos a operar y poseer criptomonedas).

SMS y phishing de voz

Una forma de phishing basada en mensajes de texto, generalmente a través de SMS o mensajes de voz, que alienta a los usuarios a compartir información personal.

Phishing vs. Pharming

Aunque algunos consideran que el pharming es un tipo de ataque de phishing, se basa en un mecanismo diferente. La principal diferencia entre phishing y pharming es que el phishing requiere que la víctima cometa un error. Por el contrario, el pharming solo requiere que la víctima intente acceder a un sitio web legítimo cuyo registro DNS fue comprometido por el atacante.

Phishing en el espacio cripto y de blockchain

Si bien la tecnología blockchain proporciona una fuerte seguridad de datos debido a su naturaleza descentralizada, los usuarios en el espacio blockchain deben permanecer atentos a los intentos de ingeniería social y phishing. Los ciberdelincuentes a menudo intentan explotar las vulnerabilidades humanas para obtener acceso a claves privadas o credenciales de inicio de sesión. En la mayoría de los casos, las estafas se basan en errores humanos.

Los estafadores tambi√©n pueden intentar enga√Īar a los usuarios para que revelen sus frases semilla o transfieran fondos a direcciones falsas. Es importante tener cuidado y seguir las pr√°cticas de seguridad¬†recomendadas.

Conclusiones

En conclusión, comprender el phishing y mantenerse informado sobre la evolución de las técnicas de estafa es crucial para salvaguardar la información personal y financiera. Al combinar sólidas medidas de seguridad, educación y concienciación, las personas y las organizaciones pueden fortalecerse contra la amenaza siempre presente del phishing en nuestro mundo digital interconectado. ¡Mantente SAFU!

Lecturas adicionales

Aviso legal y Advertencia de riesgo: Este contenido se presenta "tal cual" √ļnicamente para fines de informaci√≥n general y educativos, sin declaraci√≥n ni garant√≠a de ning√ļn tipo. No debe interpretarse como un asesoramiento financiero, legal o de otra √≠ndole profesional ni pretende recomendar la compra de ning√ļn producto o servicio espec√≠ficos. Debes buscar consejo particular de asesores profesionales id√≥neos. Dado que este art√≠culo es producto de la contribuci√≥n de terceros, ten en cuenta que las opiniones expresadas pertenecen al tercero colaborador y no reflejan necesariamente las de Binance Academy. Para obtener m√°s informaci√≥n, lee nuestro aviso legal completo aqu√≠. Los precios de los activos digitales pueden ser vol√°tiles. El valor de una inversi√≥n puede bajar o subir, y podr√≠a darse el caso de que no recuperes el monto invertido. Solo t√ļ eres responsable de tus decisiones de inversi√≥n. Binance Academy no se responsabiliza de ninguna p√©rdida en la que puedas incurrir. Este material no se debe interpretar como una asesor√≠a financiera, legal o de otra √≠ndole profesional. Si deseas obtener m√°s informaci√≥n, consulta nuestros T√©rminos de uso y la Advertencia de riesgo.