Phishing: Te explicamos lo que tienes que saber (y cómo protegerte)

por | Abr 25, 2019 | Opinión

25-4-19-Phishing-los-peligros-de-la-ciberseguridad

El phishing es uno de los retos de la ciberseguridad a los que es más común enfrentarse por parte del usuario. Siguiendo nuestra línea de entradas en colaboración con DooingIT, startup que participa en la 2ª edición de nuestro programa de aceleración, os explicamos de manera sencilla qué es el phising (y cómo protegerte!)

¿Qué es el Phishing?

Para aquellos que todavía no tienen demasiado claro, lo primero es explicar brevemente de que se trata el phishing. Como dice su nombre en inglés, lo que hacen los ciberdelincuentes es “ir de pesca”, poner un cebo que parece real a los incautos navegantes (los peces) que, a veces, picamos.

En lo que se basa al final es en un ataque de suplantación de identidad en el que los ciberdelincuentes se hacen pasar por una organización, suplantando la imagen corporativa (nos ponen el cebo), y se dirigen a sus clientes o usuarios finales (los peces que quieren pescar) con  el objetivo de adquirir información confidencial de forma fraudulenta (contraseñas, identificadores de usuario, o cualquier otro tipo de información que vayan a utilizar en su beneficio).

El cibercriminal simulará una comunicación real, por lo común un correo electrónico, aunque también puede utilizar otros sistemas, incluso llamadas telefónicas, haciéndose pasar por la organización a quien suplanta, y nos pedirá los datos que necesite.

Hay variedad de técnicas, utilizadas por los atacantes, relacionadas con el phishing. La más habitual es manipular un diseño del correo electrónico para conseguir que parezca una ruta legítima de la organización a quien suplanta y generada por el cibercriminal.

El phishing en el mundo real

Como un ejemplo vale más que mil explicaciones, os mostramos una campaña de hace unos meses.

Phishing - suplantacion de identidad

Contenido del correo: informa al usuario de que tiene un reembolso pendiente y que tiene que ir a una url para confirmarlo:

Si accede al enlace, el usuario será redirigido a una página que suplanta a la web legítima. En dicha página se le pedirá introducir información identificativa, y en pantallas posteriores, simularán una pasarela de pago, donde los cibercriminales solicitan que se introduzca la información de la tarjeta de crédito en la que se desea “abonar” el reembolso inexistente pendiente.  Si los incorporas… ya tendrán tus datos, con todo lo que significa.

El método es muy similar en otros casos. Esto solo es un ejemplo para que te sirva de “guía” a la hora de identificar otros similares.

¿Cómo reconocer el phishing?

Debemos tener especial sensibilidad con los mensajes que nos piden que revelemos información personal, normalmente mediante correo electrónico o en un sitio web. Todas las entidades suelen reforzar mensajes en los que se indica que nunca solicitarán información a sus clientes por esa vía, de forma que podemos presuponer que siempre que nos las soliciten, se trate de un ataque.

Además, aunque algunos pueden pensar lo contrario, siempre es mejor un “falso positivo”, es decir, no dar información a la entidad verdadera, que darle nuestra información confidencia a un ciberdelincuente. Si la entidad realmente la necesita, encontrará la forma de obtenerla de manera que te sientas seguro.

¿Cómo protegerse del phishing? Algunos consejos

  • Ten mucha precaución con los correos electrónicos no solicitados y, sobre todo, no abras archivos adjuntos en esos correos.
  • No reveles nunca y protege tus contraseñas e información confidencial. No se las proporciones a nadie ni por teléfono, ni en persona, ni por correo electrónico.
  • No respondas a enlaces en correos electrónicos no solicitados, ni a través de redes sociales.
  • Comprueba la URL del sitio (dirección web). En muchos casos de phishing, la dirección web puede parecer legítima, pero la URL puede estar mal escrita o el dominio puede ser diferente (.org cuando debería ser .com por ejemplo).
  • Mantén actualizados los navegadores y aplica los parches de seguridad cada vez que haya uno nuevo (el propio navegador te lo indicará).
  • Incorpora medidas técnicas que te ayuden a protegerte identificando ataques. Muchas soluciones, casi todas, incorporan medidas anti-phising.

Pero como pasa con cualquier medida de seguridad, para protegernos del phishing tenemos que complementar la tecnología con la concienciación y nuestra capacidad personal de identificar posibles amenazas.

Inteligencia + Tecnología: la mejor combinación para mejorar nuestra situación ante estas amenazas de ciberseguridad. No nos dejemos “pescar”