Volver

Los ataques de “phishing”, a la orden del día: qué son y cómo protegerte de estas suplantaciones de identidad que pretenden robarte información.

Publicaciones
12-Dec-19

El eslabón másdébil de la cadena de seguridad de un sistema es el usuario, y hoy en día lamayor amenaza a la que se enfrentan los usuarios, es el phishing. Así lodemuestran las estadísticas que prueban cómo los hackeos a grandescorporaciones se habían iniciado con una brecha provocada por un empleado quecayó en un ataque de phishing. Por esta razón es tan importante saberidentificarlos, ya que las consecuencias de no hacerlo pueden ser devastadoraspara la compañía. Pero ¿en qué consiste el phishing?

Estas técnicasbuscan suplantar la identidad de unaempresa, una organización o una persona, engañando al usuario y haciéndole creerque se encuentra en un sitio de confianza,cuando en realidad está en uno falso.Su finalidad última es el robo deinformación confidencial como pueden ser las contraseñas de un usuario conel fin de acceder a su cuenta confines ilegítimos.

Comúnmente suelerealizarse a través de un correo electrónico con una apariencia razonablementenormal a ojos de cualquier usuario medio, simulando ser una entidad reconocida,que incluye un enlace que ledirige a un sitio web de confianza falso.

El sitio web alque se accede aparenta proceder de fuentes fiables y conocidas, sin embargo, setrata de una copia del originaldonde se solicita al usuario introducir determinados datos confidenciales, comosu usuario y contraseña que, una vezen poder de los infractores, pueden causar daños irreparables.

Aunque en apariencia pueda parecer que proviene de una fuente de confianza,existen determinados aspectos que dejan entrever que los datos de la entidad nose corresponden con los reales:

  • Utilizan URL parecidas, en las que el nombre de la entidad no está bien escrito, tiene faltas de ortografía o nose corresponde exactamente con el real, hay una letra demás o de menos.
  • Tu banco u otras organizaciones nunca te pedirán que les envíes tus claves o datos personales por correo.Nunca respondas a este tipo de preguntas y si tienes una mínima duda, llamadirectamente a la organización para aclararlo.
  • Desconfía de las URL acortadas, pues no podemos comprobar si el destino es legítimoo no. Como norma general las entidades financieras, de suministros (agua, luz,gas,…) y gubernamentales, no harán uso de direcciones acortadas, para evitarque puedan suplantarles.
  • En muchas ocasiones hacen referencia a datos oinformación que no existe o difiere de la auténtica, por ejemplo unDepartamento con un nombre sospechoso o que no pertenece a la entidad, aunquecon el conocimiento suficiente podrían suplantar un Departamento Oficial, así que ¡estate atento!
  • Aunque el formato del correo electrónico enun primer vistazo puede parecer el original utilizado por la entidad en suscomunicaciones, sin embargo analizado con mayor detalle puede ser identificadocomo sospechoso por no corresponderse con el formato de los correoscorporativos: faltas ortográficas, logos de mala calidad, formato poco cuidado,tipos de letra distintos, contenido del mensaje poco claro, etc. Pero una vezmás, un ataque sofisticado podría ser literalmente calcado al original por lo que hay que tener en cuenta todos losfactores.
  • Suelen utilizarse como gancho cuestionesque despierten el interés en el usuario, como regalos, pérdidas de la propiacuenta, o novedades interesantes que se pueden consultar a través del enlaceque facilitan, también es frecuente que expresen urgencia en sus motivos.
  • Ten en cuenta que archivos .doc, .pdf, imágenes o incluso audiopueden contener virus. También eshabitual llamar PDF a un archivo que nolo es, sobre todo desconfía de los archivos ejecutables: .exe para Windows, .dmgpara MacOS y .bin para Linux.
  • Siempre que desconfíes de la legitimidadde un correo o página web, recuerda que es mejor hacer el esfuerzo decomprobarlo antes de correr el riesgo de darle tu contraseña a un ciber delincuente,especialmente en una gran compañía en la que las pérdidas pueden ascender acifras elevadas.
  • Ante laduda, contacta por otro medio con el remitente y confirma querealmente te ha enviado ese mensaje. No te fíes de los datos de contacto quecontiene el e-mail, usa los detalles de contacto que ya sabes que soncorrectos.
  • Si ya hubieras facilitado los datos,recuerda además cambiar inmediatamente tus contraseñas u otros datosconfidenciales y notificar el ataque lo antes posible.

Mientras exista gente que sucumba ante este tipo de fraudes, éstos seguirán existiendo, haciéndose además cada vez más sofisticados, por lo que os alentamos a maximizar las precauciones y apelar al sentido común cuando nos encontremos con ellos.

Loreto Jiménez Muñoz | Head of Privacy | L-A

Leer más

Posts relacionados que podrían interesarte

Todas nuestras noticias
25-04-24
TikTok, o cambia de dueño o tendrá que abandonar Estados Unidos
This is some text inside of a div block.
Leer más
25-04-24
Responsables de la toma de decisiones sobre IA están temerosos por la privacidad y ciberseguridad
This is some text inside of a div block.
Leer más
25-04-24
TikTok cuestionada por la UE
This is some text inside of a div block.
Leer más