Contents
¿Qué es es el phishing?
La palabra phishing quiere decir suplantación de identidad. Es una técnica de ingeniería social que usan los ciberdelincuentes para obtener información confidencial de los usuarios de forma fraudulenta y así apropiarse de la identidad de esas personas. Los ciberdelincuentes envían correos electrónicos falsos como anzuelo para “pescar” contraseñas y datos personales valiosos.
¿Qué es el phishing y de ejemplos?
Ejemplos de phishing – La manera en que un atacante lleva a cabo la campaña de phishing depende de sus objetivos. Para empresas, es común que los atacantes opten por usar facturas falsas para convencer al departamento de cuentas por pagar que les envíen dinero. En este ejemplo de phishing, el botón morado abre una página web con un falso formulario de autenticación de Google. La página intenta convencer a las víctimas para que introduzcan sus credenciales de Google, que los atacantes usarán después para robarles sus cuentas.
¿Qué es el phishing y como protegernos de él?
¿Qué es el phishing? – El phishing es una técnica de engaño que utilizan los piratas informáticos para robar nuestros datos personales y bancarios a través de la página web falsa de alguna institución oficial como la Agencia Tributaria, nuestro banco o cualquier empresa o tienda que consideraríamos de total confianza.
En primer lugar, nos llega un mail, SMS, whatsapp o similar con una excusa cualquiera (hemos ganado un concurso, nos han obsequiado con cupones de descuento en una tienda o supermercado, tenemos que confirmar nuestra cuenta bancaria porque ha habido problemas con una transferencia o pago.) y que contiene un enlace que redirige a una página web falsa que simula ser la oficial.
Una vez allí, nos piden que introduzcamos nuestros datos de acceso (usuario y contraseña) y es entonces cuando ya nos tienen pillados porque han conseguido la información que necesitan para cometer el robo.
¿Qué tan grave es el phishing?
Consecuencias del phishing – El phishing puede tener graves consecuencias tanto para las empresas como para los particulares, como el robo de identidad, el robo de fondos y otras. En el caso de las empresas, el phishing puede causar importantes daños en las operaciones y, potencialmente, enormes pérdidas económicas.
- También puede causar daños a la reputación si una empresa tiene que informar de una filtración de datos causada por el engaño a su personal para entregar información, algo que exigen algunas legislaciones, como el GDPR.
- Pero aún hay más: IBM ha informado de que en 2022 el 60 % de las filtraciones de datos de empresas provocaron aumentos de precios que repercutieron a los clientes.
Esto significa que el phishing está costando dinero tanto a la empresa como a sus clientes. Para las víctimas individuales del phishing, como las personas engañadas para que faciliten datos de tarjetas o cuentas bancarias, las consecuencias del phishing pueden incluir pérdidas financieras y una amplia gama de problemas asociados, como una calificación crediticia destrozada.
La información personal robada permite a menudo el robo de identidad, entre otros delitos. Otro uso habitual de los datos de phishing son los robos de cuentas, en los que los estafadores se hacen con la cuenta de una persona. Esto puede permitir al delincuente obtener información sensible, robar fondos o estafar a los contactos del propietario de la cuenta.
Por último, puede decirse que el fenómeno del phishing afecta a la confianza de los consumidores en las transacciones y servicios en línea, lo que puede provocar que algunas personas no confíen en nadie en línea, incluidas las empresas legítimas, ya que optan por pecar de precavidos.
¿Qué causas tiene el phishing?
¿Qué es el phishing y cuáles son sus consecuencias? — Baylos No todos los ciberataques tienen éxito, pero los que lo consiguen suelen tener consecuencias catastróficas tanto para las organizaciones como para sus clientes. El ciberataque más común es el ” phishing ” o suplantación de identidad, término que denomina un modelo de abuso informático que se comete mediante el uso de ingeniería social y se caracteriza por intentar adquirir información confidencial de forma fraudulenta.
- El objetivo principal de este tipo de ataque cibernético es la obtención de datos valiosos como contraseñas, información bancaria, etc.
- Y el modus operandi suele ser siempre el mismo: el cibercriminal, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea, solicitando información o la realización de un pago pendiente.
El auge de phishing es un claro síntoma del cambio de tendencia que estamos observando en el escenario internacional del cibercrimen. Nos encontramos con menos ataques dirigidos a tecnología, y más ataques dirigidos hacia personas. El motivo es sencillo: el cibercriminal cuenta con que siempre hay una víctima desinformada, o suficientemente distraída como para no prestar la atención necesaria a los correos electrónicos o mensajes que recibe.
- Las empresas cada vez invierten más en tecnología de seguridad y, sin embargo, el eslabón más débil sigue siendo el factor humano.
- Aunque el phishing masivo (envío de correos genéricos a un gran número de objetivos con la esperanza de que al menos algunos caigan en el engaño), sea el ataque más frecuente, el tipo de ciberataque más eficaz es sin duda el conocido como spear-phishing,
Este suele materializarse en un email personalizado y dirigido específicamente a la persona concreta que lo recibe, que usa información, normalmente obtenida por ingeniería social o fuentes abiertas, para aumentar la sensación de que ese email procede de la fuente que se está intentando suplantar.
Además, si se habla de “alerta”, “urgencia” o “importancia” el receptor derivará su atención hacia el tema en sí y bajará la guardia respecto de la credibilidad del remitente. Pues bien, como anticipábamos al principio del artículo, las posibles consecuencias de los ciberataques pueden ser nefastas para las compañías que sufren dichos ataques.
Según un informe de Proofpoint ( State of the Phish Report 2022 ), realizado mediante una encuesta con 600 profesionales de seguridad de TI de Australia, Francia, Alemania, Japón, España, Reino Unido y Estados Unidos, en 2021 más de la mitad (54%) de los ataques de phishing que tuvieron éxito terminaron en una violación de los datos de los clientes, y el 48% acabó con las credenciales y cuentas comprometidas.
- En general, el 83% de las organizaciones informaron que han experimentado un ataque de phishing con éxito en 2021.
- Las violaciones de datos de clientes, o brechas de seguridad, representan un daño devastador para las empresas, al quedar expuestos a todo tipo de uso los datos de sus clientes.
- Un claro ejemplo de lo anterior es el incidente de seguridad sufrido por Uber, la empresa americana que hizo realidad la simple idea de conseguir un medio de transporte pulsando un botón.
A principios del pasado mes de septiembre de 2022, según la información filtrada y no confirmada por la compañía, Uber sufrió una brecha de seguridad como resultado de un ataque de ingeniería social dirigido contra uno de los empleados, a través del cual los hackers habrían conseguido acceso a su cuenta en Slack, el servicio de comunicación que emplean a nivel interno, y de ahí a los sistemas internos de Uber.
Nada nuevo para Uber: ya en el año 2017, la compañía admitió haber sufrido un ciberataque que afectó a 57 millones de clientes y conductores. Ejemplos de brechas de seguridad, por desgracia, tenemos muchos: en diciembre de 2019, la propia Microsoft, una de las empresas que más datos de usuarios tiene en sus registros, fue hackeada, quedando expuestos los datos de hasta 250 millones de usuarios; en septiembre de 2018, un fallo en Facebook expuso las fotos privadas de casi 7 millones de usuarios durante doce días; suma y sigue.
Si no se toman a tiempo medidas adecuadas, las violaciones de seguridad de los datos personales pueden entrañar graves daños y perjuicios para las personas físicas, tales como la pérdida de control sobre sus datos personales, la restricción de sus derechos, discriminación, usurpación de identidad y pérdidas económicas.
Por ello, la empresa, responsable del tratamiento de los datos personales, cuando tenga conocimiento de que se ha producido una violación de seguridad, tiene que proceder a notificar la misma a la autoridad de control competente a la mayor brevedad, y tomar todas aquellas medidas de “contención” apropiadas.
Pero, como siempre, prevenir es más importante que curar. Por ello, es conveniente que las compañías tomen las precauciones necesarias para evitar que posibles ciberataques encuentren terreno fértil entre sus empleados. Las reglas de oro que nunca está de más recordar son: (i) utilizar contraseñas distintas para cada servicio o aplicación; (ii) prestar mucha atención al contenido sospechoso en los emails y tener en cuenta el nombre del remitente en los correos electrónicos; (iii) proteger los ordenadores/móviles con un software de seguridad; y (iv) proteger los datos haciendo una copia de seguridad que no estén conectada al servidor de la compañía.
¿Qué pasa si abro una página phishing?
¿Qué sucede cuando le das clic a un enlace en un correo no deseado? – Al hacer clic en un enlace phishing o abrir un archivo adjunto, corres el riesgo de infectar tus dispositivos con malware, tales como virus, spyware o ransomware. Todo esto se ocurre tras bambalinas por lo que, como usuario, no te das cuenta de lo que está pasando, por lo que se vuelve crucial actuar con rapidez; si sigues estos pasos podrás reducir o incluso detener los daños.
¿Cómo se elimina el phishing?
Muchos troyanos se almacenan en la caché o entre las descargar de tu navegador en Android, así que el primer paso y el más recomendado es eliminarla junto a todas las descargas. Para ello: Abre la aplicación Chrome, toca los 3 puntos verticales para acceder al Menú y luego ve a Privacidad > Borrar datos de navegación.
¿Qué hacer para no recibir correos maliciosos?
Use una dirección de correo secundaria. Utilice un filtro de correo electrónico de terceros. Elimine los mensajes sospechosos. Proteja su dispositivo contra el spam malicioso.
¿Cuánto tiempo dura el phishing?
Las técnicas utilizadas en los ataques de phishing no dejan de aumentar en complejidad; según el MDDR, el tiempo medio que tarda un atacante en acceder a sus datos privados si son víctimas de un correo electrónico de phishing es de 1 hora y 12 minutos.
¿Cuando un correo es sospechoso de phishing?
Vínculos sospechosos o datos adjuntos inesperados: si sospecha que un mensaje de correo electrónico es un fraude, no abra los vínculos o datos adjuntos que vea. En su lugar, pase el mouse sobre el vínculo, pero no haga clic en él, para ver si la dirección coincide con el vínculo escrito en el mensaje.
¿Qué fraudes pueden hacer con mi correo electrónico?
Qué hacer si cree que ha recibido un correo electrónico fraudulento – Si cree que ha recibido un correo electrónico fraudulento, aquí hay algunos pasos que puede seguir para mantenerse seguro, prevenir futuros ataques y educar a otros miembros de su familia sobre cómo evitar ser estafado.
- No responda ni haga clic en ningún enlace o archivo adjunto en el correo electrónico. Los estafadores pueden usarlos para robar su información personal o infectar su computadora con malware.
- Marque el correo electrónico como spam o phishing, si su cliente de correo electrónico lo permite. Esto ayudará a evitar que correos electrónicos similares lleguen a su bandeja de entrada en el futuro.
- Si el correo electrónico parece ser de una organización o empresa legítima, contáctelos directamente para verificar su autenticidad. No utilice ninguna información de contacto provista en el correo electrónico sospechoso, ya que esto puede ser parte de la estafa.
- Verifique sus cuentas y estados de cuenta de tarjetas de crédito para detectar cualquier actividad no autorizada. Si ve algo sospechoso, comuníquese con su banco o compañía de tarjeta de crédito de inmediato.
- Considere informar el correo electrónico a las autoridades correspondientes, como la Comisión Federal de Comercio (FTC) o el Grupo de Trabajo Anti-Phishing (APWG).
- Infórmese sobre cómo identificar y evitar estafas de phishing en el futuro. Esté atento a direcciones de correo electrónico de remitentes sospechosos, mala gramática y ortografía, y solicitudes de información personal o financiera. La alfabetización digital es una habilidad importante para toda la familia. Echa un vistazo a nuestro Guía de alfabetización digital,
- Agregue protección adicional instalando controles parentales como Kidslox en los dispositivos de sus hijos. Al hacer esto, puede bloquear compras, sitios web y aplicaciones y controlar para qué usan Internet sus hijos. Saber que está supervisando su actividad y ser una caja de resonancia cuando navega por el mundo en línea ayudará a su hijo a ser más ciudadano digital responsable,
Al seguir estos pasos, puede ayudar a protegerse de ser víctima de estafas por correo electrónico y evitar cualquier posible robo financiero o de identidad.
¿Por qué los ataques de phishing son tan exitosos?
La razón por la que el phishing es tan eficaz es que los autores pueden dirigirse a individuos o grupos de personas específicos. Además, disponen de una gran variedad de métodos que pueden utilizar para engañar a sus víctimas y hacer que entreguen su información.
¿Cuándo se creó el phishing?
La palabra phishing se acuñó en 1996 en un grupo de noticias de Usenet llamado AOHell. Para enfatizar la naturaleza de suplantación de este ataque, el autor cambió deliberadamente la ortografía de fishing a phishing.
¿Cuáles son los sectores más propensos a sufrir ataques de phishing?
¿Cuáles son los sectores más vulnerables a un ataque de Phishing? – Pese a que hay sectores más vulnerables ante el Phishing, todos deberían estar precavidos ante la posibilidad de recibir un ataque. Estos sectores tienen una tasa de intercambio de datos mayor a otros. Tal vez sea debido a esto que son más propicios a pinchar en archivos adjuntos de correo o hacer clicks en links fraudulentos, acostumbrados a recibir correos con estas características.
- Consultorías
- Vestimenta y accesorios
- Educación
- Tecnología
- Conglomerados
Entre los grupos que más pincharon en correo fraudulentos, se encuentran aquellos orientados a derecho, auditorías o control interno. En general, todos aquellos orientados a temas administrativos, y luego los orientados a salud o gestión de calidad.