¿Qué es el phishing? Tipos de ataques y consejos para prevenirlos

El phishing es un ciberataque cuyo objetivo es persuadir a las posibles víctimas a que revelen información confidencial, como contraseñas o números de tarjetas de crédito. Los ciberdelincuentes consiguen su cometido fingiendo ser quienes no son y mostrando cierto grado de urgencia.

Protéjase ya

¿Cómo funciona el phishing?

El phishing es un método peligroso y efectivo de pirateo informático. Consiste en que los ciberdelincuentes envían mensajes a personas o empresas con algún enlace o archivo dañino. El objetivo es que hagan clic en esos enlaces para que se descargue malware o se les dirija a alguna página web ilegitima para robar su información personal. Los ataques de phishing se pueden perpetrar de distintas formas, en función del atacante y de la información que se intente proteger.

Con el paso de los años, el phishing se ha vuelto más sofisticado. Se estima que el phishing está presente en alrededor del 32 % de todas las filtraciones y en torno al 64 % de las organizaciones ha informado sobre intentos de phishing alguna vez en su trayectoria.

El principal problema del phishing es que puede ser difícil de detectar, ya que los métodos son cada vez más sofisticados, sobre todo con la aparición de la IA. Puede que haya abierto alguna vez un correo de phishing y no se haya dado cuenta, ya que los ciberdelincuentes usan la ingeniería social para convencer a las víctimas desprevenidas de que abran los archivos adjuntos sospechosos.

¿Cómo funciona el phishing?
Técnicas de phishing usadas habitualmente

Técnicas de phishing usadas habitualmente

Ingeniería social

La ingeniería social es un ataque que manipula a la víctima para que actúe rápidamente con información engañosa. Un ejemplo consiste en aprovecharse del miedo a que Hacienda tome acciones contra la víctima. Este tipo de estafa de phishing es más habitual durante la campaña fiscal. El mensaje de phishing exige acciones inmediatas como "hágalo ahora o Hacienda tomará acciones legales", por lo que finalmente la víctima facilita la información confidencial al ciberdelincuente.

Otros ejemplos más sofisticados incluyen, por ejemplo, mensajes ilegítimos procedentes de compañeros de trabajo y superiores o mensajes que contienen información confirmada del destinatario. Estos ejemplos pueden comprometer la información en formas muy variadas.

Imitación de enlaces

La imitación de enlaces se utiliza a menudo junto con la ingeniería social. Vamos a tomar como ejemplo una estafa en la que se manipula a la víctima para que crea que debe dinero a Hacienda. Esta accede al enlace proporcionado que, a simple vista, parece real. Puede incluso incluir la URL correcta de la página de Hacienda. Una vez que la víctima accede al enlace, se la redirige a una página web falsa donde se solicita la información. Cuando la víctima introduce la información, el ciberdelincuente sabrá lo que es y podrá después usarla para sus propios fines ilícitos.

¿Qué ocurre cuando hace clic en un enlace de phishing?

Un enlace de phishing puede redirigir a la víctima a una página web falsa, descargar un archivo adjunto dañino o instalar malware en el dispositivo o red.

Un ataque de phishing puede alterar por completo la red de una organización secuestrándola o robando información. Un ataque puede obligar a una organización a cesar sus servicios digitales durante un periodo de tiempo indefinido y causar importantes pérdidas de ingresos y daños adicionales por culpa del malware. Además, las empresas pueden tener que hacer frente a multas e impactos en su reputación tras una filtración.

Los ataques de phishing también son peligrosos para las personas de a pie, ya que provocan pérdidas financieras o el robo de identidades.

Ataques de phishing por correo electrónico

Los ataques de phishing por correo electrónico están entre los ataques de phishing más comunes y versátiles, además de ser normalmente los más efectivos. Estos ataques utilizan a menudo la ingeniería social para manipular a los usuarios y que hagan clic en enlaces dañinos o descarguen malware.

Tipos de phishing por correo electrónico

Spear phishing

Se trata de un ataque dirigido que aprovecha la información personal para causar el máximo daño. El atacante ya conoce datos de la víctima, como el número de teléfono, la dirección, el nombre completo e incluso el número de la seguridad social. Aprovecha esta información para hacer que los archivos adjuntos o los enlaces de phishing parezcan más reales.

Whale phishing

Se trata de un ataque similar al spear phishing excepto que en este caso el objetivo es un "pez gordo", es decir, un objetivo notorio en lugar de una persona común o la red de una pequeña empresa. La intención es conseguir acceso a datos de alto nivel, a sistemas internos o a información clasificada.

Clone phishing

En este tipo de ataque, los ciberdelincuentes clonan y reenvían mensajes auténticos a los que añaden malware o enlaces dañinos con la intención de engañar a los destinatarios y que hagan clic en ellos.

Ataques de phishing por correo electrónico
Otros tipos de ataques de phishing

Otros tipos de ataques de phishing

Smishing

El smishing es igual que el phishing por correo electrónico, pero en este caso el ataque se realiza por mensajes SMS. La víctima recibe un mensaje similar a un correo de phishing por mensaje de texto con un enlace o un archivo para descargar.

Vishing

El vishing es un tipo de phishing más sofisticado y en ocasiones más efectivo, ya que incluye una persona real con la que se habla por teléfono. El objetivo del atacante es conseguir información, normalmente datos de tarjetas de crédito, con fines económicos. Las personas mayores son las más propensas a caer en este tipo de ataque.

Angler phishing o phishing social

Consiste en que el atacante se hace pasar por un representante legítimo de atención al cliente y convence a la víctima para que revele información personal.

Malvertising

Se trata de un ataque en el que los ciberdelincuentes pagan a anunciantes reales para que muestren anuncios en sus páginas web o redes sociales. Cuando el usuario hace clic en el anuncio dañino, se le redirige a una página web falsa que descarga malware en sus dispositivos.

Cómo protegerse de los ataques de phishing

Use un gestor de contraseñas

Un gestor de contraseñas puede protegerle de los ataques de phishing ayudándole a crear, gestionar y almacenar contraseñas de forma segura. Los gestores de contraseñas como Keeper Password Manager incluyen avisos sobre páginas web de phishing. Si sus credenciales de acceso guardadas no se muestran en la página web a la que ha accedido, es probable que esté en la página equivocada. Además, el generador de contraseñas integrado le ayuda a crear contraseñas fuertes y aleatorias para reemplazar las comprometidas y limitar el riesgo de sufrir un ataque de rellenado de credenciales.

No haga clic en enlaces o archivos adjuntos no solicitados

Si recibe enlaces y archivos adjuntos no solicitados por correo electrónico, mensajes de texto u otras plataformas de mensajería, no haga clic en ellos. Es posible que contengan malware con el que podrían robarle información o espiarle.

Si no está seguro de si un enlace es seguro, desplace el ratón por encima del enlace para ver la dirección completa de la página web o utilice una herramienta como Google Transparency Report.

Use un analizador de correos electrónicos

Un analizador de correos electrónicos es una herramienta que examina los archivos adjuntos de los correos electrónicos en busca de malware. Invertir en un analizador de correos electrónicos le ayudará a protegerse de los intentos de ataques de phishing por correo.

Cómo protegerse de los ataques de phishing
Cómo proteger su negocio de los ataques de phishing

Cómo proteger su negocio de los ataques de phishing

Formación de los empleados

Forme a sus empleados sobre los peligros del phishing, los distintos tipos que existen y cómo prevenir estos ataques. También puede realizar exámenes de phishing aleatorios para que su equipo esté alerta.

Use un gestor de contraseñas empresariales

Usar una solución de gestión de contraseñas en su empresa le garantiza que sus contraseñas se almacenan de forma segura y que solo están disponibles para las personas adecuadas. Keeper Security, por ejemplo, ofrece funciones de acceso específicas según el rol y carpetas compartidas para restringir quién puede ver ciertos registros o credenciales. Nuestras sólidas funciones empresariales también incluyen auditorías e informes de contraseñas, que proporcionan actualizaciones útiles sobre la higiene de las contraseñas del equipo y facilitan la aplicación de las políticas de contraseñas.

Use un programa antivirus

Un programa antivirus detecta, aísla y elimina el malware descargado en los dispositivos de los empleados. También puede analizar correos electrónicos, archivos específicos o rutas en dispositivos en busca de malware u otros virus. Hay una gran cantidad de programas antivirus gratuitos y para empresas en la web.

Keeper lo protege a usted, a su familia y a su empresa de los ataques de phishing.

Protéjase ya
Chat
close
close
Español (ES) Llámenos