Suplantación de identidad, robo de credenciales y venta de información personal: esta es la fórmula de uno de los tipos de ciberataque más comunes, el phishing. Este tipo de fraude en línea, se ha popularizado durante los últimos años, ya que es un método fácil de usar y de adaptar con el tiempo.
Además, gracias a las inteligencias artificiales generativas como ChatGPT, esta forma de ataque malicioso, se ha vuelto más accesible y fácil de ejecutar. No te preocupes: en este artículo te daremos las claves sobre su funcionamiento, pero también sobre cómo protegerte ante estos ciberataques.
¿En qué consiste el phishing? 🔐
Primero de todo, debemos aclarar qué es el phishing. Su nombre proviene del inglés fishing, cuyo significado es pesca. Esto se debe a cómo se llevan a cabo estos ataques cibernéticos: se lanza un cebo y se espera a que la víctima caiga en él, entregando sus datos confidenciales en el proceso.
En esencia, un ataque phishing es un intento de fraude. El atacante se hace pasar por una persona o una entidad, para extraer datos como números de tarjeta, contraseñas o cualquier otra información. Este engaño se puede llevar a cabo de muchas formas y es precisamente esta versatilidad lo que hace que sea difícil protegerse de forma duradera ante este tipo de ataques.
Un elemento clave para defenderse ante un ataque phishing, es mantenerse actualizado sobre qué tipo de engaños se están utilizando en la actualidad. Lo más común es que los atacantes usen mensajes enviados a través de SMS, correos electrónicos, servicios de mensajería instantánea o redes sociales.
Al creer que están realizando un inicio de sesión de forma normal en su entidad, las personas acaban sufriendo robos de sus números de tarjetas de crédito o su número de cuenta bancaria como consecuencia.
¡Descubre cómo el Pentesting garantiza la ciberseguridad en las organizaciones! 🔑
¿Qué tipos de ataque phishing existen? 👨💻
Ahora que tenemos claro qué es el phishing y cómo funciona este método de ingeniería social, vamos a ver los ejemplos más comunes de phishing:
Spear phishing
Como hemos explicado anteriormente, el phishing se basa en intentar engañar a las personas a través de mensajes que emulan a otros organismos o particulares. Esto se suele realizar de forma masiva, enviando el mismo mensaje con un enlace fraudulento a cientos de personas.
El caso del spear phishing es distinto, puesto que el foco del atacante se centra en una sola persona u organización. Para conseguirlo, se recopila información muy detallada sobre la víctima: dónde trabaja, qué plataformas utiliza, dónde compra, etc.
Al proporcionar tanta información en el mensaje, la víctima acaba creyendo que realmente existe una conexión personal o profesional con la persona que realiza el ataque. Un ejemplo es el reciente caso de International Fairs Directory, en el que los atacantes se hacían pasar por un directorio de expositores de ferias.
El procedimiento era el envío de una carta y un formulario parcialmente rellenado. Este formulario contenía información sobre la feria, edición, organizador y datos de la empresa expositora. Al proporcionar tantos datos, muchas personas caían en el engaño e introducían los datos bancarios de su empresa.
Phishing de clonación
Otro tipo de ataque muy común y efectivo es el phishing de clonación. En este ataque, los atacantes crean una réplica de mensajes de correo electrónico legítimos previamente enviados, que tienen un enlace o un archivo adjunto.
Estos son reemplazados con contenido malicioso con la intención de simular el material original. Es por ello que muchas personas son pilladas desprevenidas y hacen clic en el enlace o descargan el archivo, permitiendo que el ciberdelincuente tome control de los sistemas. Esto les da la oportunidad de realizar un robo de la identidad de la víctima fácilmente.
Recientemente y gracias a la aparición de inteligencias artificiales generativas como ChatGPT, este tipo de ciberataques se ha disparado. Gracias a estas IA especializadas en generación de texto, se pueden crear mensajes muy convincentes y a mayor escala.
Phishing telefónico (Vishing)
Por último, tenemos los intentos de phishing de voz, conocidos como vishing. Estos implican que los atacantes hacen llamadas para hacerse pasar por un banco, la policía o la Agencia Tributaria. Estas personas tratan de asustar al destinatario con alguna problemática y le exigen que proporcione información de su cuenta, que pague una multa o que abone algún tipo de tasa. Los ciberdelincuentes suelen pedir el pago mediante transferencias bancarias o tarjetas prepago, ya que son más difíciles de rastrear.
Como ocurre con los ataques phishing convencionales, con la aparición de inteligencias artificiales capaces de emular voces, ha habido un incremento en este tipo de ataques.
¿Cómo puedo protegerme ante el phishing? ⚠️
Como ya habrás visto, este tipo de estafa es bastante convincente y además, se transforma de forma continua. Pero no te preocupes, porque puedes tomar una serie de precauciones que nunca fallan ante estos ataques. Aquí te dejamos una lista de recomendaciones:
- No hagas clic en enlaces sospechosos: si recibes un correo electrónico de una fuente desconocida y contiene un enlace sospechoso, no hagas clic en él.
- Verifica la dirección web antes de ingresar información personal o de tus tarjetas en un sitio web. Asegúrate también de que ésta comience con “https://” en lugar de “http://”.
- No compartas información personal a través de correos electrónicos, mensajes de texto o llamadas telefónicas no solicitadas.
- Mantén tu sistema actualizado. Asegúrate de mantener tu sistema operativo, navegadores web y software antivirus actualizados para protegerte como es debido.
Mantener un sistema actualizado es primordial para asegurar la seguridad informática, así como disponer de la información más nueva y relevante. Si quieres aprender más sobre este mundo y convertirte en un experto, nuestro máster en Ciberseguridad es una de las formas más rápidas y efectivas de conseguirlo.