saltar al contenido
Incluso si no está muy interesado en la ciberseguridad y no es un experto en tecnología, probablemente haya oído hablar del término phishing.Pero, ¿sabe cómo funciona y cuáles son las formas más comunes de phishing?
Se estima que alrededor de 15 mil millones de correos electrónicos no deseados se envían diariamente.Lo que es más preocupante, en promedio, uno de cada 99 correos electrónicos es un ataque de phishing, lo que significa que la tasa general de ataques es de poco más del 1 %.
Y, para agregar a esto, alrededor del 90 % de todas las infracciones ocurren debido a la suplantación de identidad.Todos estos números hablan de lo importante que es saber cómo funciona el phishing y cuáles son las mejores prácticas de protección contra él.
En esta página detallada, repasaremos varias formas de phishing, las diferencias entre ellas y compartiremos con usted ejemplos de correos electrónicos de phishing para ayudarlo a comprender todo lo que necesita saber sobre esta amenaza de ciberseguridad.
Contenido
¿Qué significa suplantación de identidad?
¿Qué es el phishing por correo electrónico?
¿Qué es el phishing selectivo?
Caza de ballenas vs Spear Phishing vs Phishing
Ejemplos de ataques de phishing
¿Cómo detener un ataque de phishing?
Protéjase contra el phishing sin demora
¿Qué significa suplantación de identidad?
El primer paso para protegerse contra el phishing es comprender qué es y cómo funciona.Entonces, ¿cuál es el significado de phishing y cómo se phishing? En términos simples, el phishing es una forma de ataque de ingeniería social que los atacantes emplean para robar sus datos personales.
En esencia, el phishing es una forma de ataque muy simple.Gira en torno a engañar a la víctima objetivo haciéndose pasar por una fuente confiableConfiando en el remitente, la víctima, sin saberlo, infecta su dispositivo con malware, congela su sistema o comparte información confidencial que no revelaría a extraños.
Dependiendo de la gravedad del ataque de phishing, podría haber consecuencias muy graves para la víctimaEl objetivo podría sufrir un robo de identidad o perder todo su dineroCuando se trata de quiénes son los objetivos, cualquiera puede ser víctima de un ataque de este tipo.Además, el phishing no solo afecta a los individuosTambién es una ocurrencia común en el mundo de los negocios.
¿Qué es el phishing por correo electrónico?
La mayoría de los ataques de phishing se llevan a cabo a través de correos electrónicos, por lo que es clave resaltar este método para ayudarlo a reconocerlo.El proceso es bastante simple.Las técnicas de phishing por correo electrónico involucran a los atacantes que registran dominios falsos y crean credenciales falsas que se asemejan a las que provienen de fuentes legítimas.
Por ejemplo, puede recibir un correo electrónico haciéndose pasar por el agente de soporte de su banco o un representante instándolo a cambiar su contraseña, hacer clic en un enlace para completar alguna información o simplemente descargar algunos archivos adjuntos con las últimas actualizaciones.
Muchas personas desprevenidas asumen que, solo porque el correo electrónico parece provenir de una dirección reconocible, es seguro interactuar con él.Sin embargo, para evitar ser phishing a través de un enlace de correo electrónico o archivo adjunto, siempre asegúrese de verificar dos veces la dirección de correo electrónico del remitente y asegúrese de que el correo electrónico sea genuino.
Ejemplo de ataque de phishing
Si bien este ejemplo de phishing es el más común que afecta a los usuarios en línea, hay muchos otros tipos de phishing que debe tener en cuenta.Para ayudarlo a reconocer otros tipos frecuentes de phishing, resaltémoslos rápidamente:
- Smishing: esta forma de phishing reemplaza la comunicación por correo electrónico con SMSImplica que los atacantes cibernéticos envíen a la víctima un mensaje elaborado de manera similar con un enlace o archivo adjunto, instándolos a hacer clic en el contenido del SMS.
- Vishing: al igual que la forma anterior de phishing, esto incluye apuntar al teléfono de la víctima, pero esta vez a través de un mensaje de voz.Los atacantes dejan mensajes de voz tratando de inducir a la víctima a revelar información personal o financiera valiosa.
- Phishing de Angler: el phishing de Angle se ha vuelto cada vez más frecuente en la era actual de las redes sociales.Los atacantes se disfrazan como representantes de la empresa o agentes de servicio al cliente para obtener información personal, credenciales de cuenta u otros datos de otros usuarios de redes sociales
¿Qué es el phishing personalizado?
La suplantación de identidad (spear phishing) es un tipo de suplantación de identidad más sofisticado.A diferencia del phishing regular, que generalmente lanza una red más amplia con la esperanza de capturar a una víctima, el phishing selectivo es mucho más específico.Entonces, en el contexto de spear phishing versus phishing, este último se enfoca más en la cantidadSi bien los ataques de phishing a menudo interactúan con miles de destinatarios, los ataques de phishing selectivo no se acercan a este número.
En cambio, los ataques de spear phishing lo atacan a usted como individuoAntes de enviarle un correo electrónico de spear phishing, los atacantes se dedican a la ingeniería social, tratando de desenterrar la mayor cantidad de información posible sobre usted para que parezca que lo conocen.
Con esto en mente, los ataques de spear phishing suelen estar dirigidos a un objetivo muy específico.La mayoría de las veces, se presentan como alguien de su negocio o vida personal, le piden que les envíe dinero y le envían instrucciones de transferencia aparentemente genuinas.
Caza de ballenas vs Spear Phishing vs Phishing
Además del spear phishing, hay un tipo de ataque aún más dirigido, llamado caza de ballenas.Esta forma de phishing solo se dirige a los directores ejecutivos y empleados de alto nivel en el mundo corporativo.Los ataques de caza de ballenas a menudo requieren que los atacantes realicen una investigación y preparación exhaustivas para adaptar el correo electrónico de phishing para tener la mejor oportunidad de éxito.
En resumen, los ataques balleneros funcionan de manera idéntica a los ataques regulares de phishing, solo que con un pretexto más específico.Por ejemplo, los atacantes cibernéticos se hacen pasar por el jefe o colega de un empleado y, por lo general, piden un favor o les brindan algún tipo de oportunidad que los incite a interactuar con el correo electrónico malicioso.
Ejemplo de ataque de phishing
Ejemplos de ataques de phishing
Dado que el phishing es la amenaza de seguridad más común en el mundo en línea, existen innumerables ejemplos de ataques de phishing.Tanto es así, que incluso algunas de las empresas más grandes del mundo no son inmunes a tales amenazas.Con eso en mente, queremos compartir dos conocidos ataques de phishing que han ocurrido en los últimos años.
Solo este año, ha habido un ataque a las cuentas de Microsoft 365 basado en tácticas AITM (adversario en el medio).El ataque estaba tan bien dirigido que incluso funcionó en las cuentas de correo electrónico de los usuarios que tenían MFA habilitado.
Ejemplo de ataque de phishing
Pero este estuvo lejos de ser el único gran ataque exitoso de phishing en 2022La reconocida empresa estadounidense Cloudflare también experimentó un ataque de phishing cuando sus empleados fueron engañados para que ingresaran sus credenciales de trabajo en un sitio de phishingEn menos de un minuto, al menos 76 empleados de Cloudflare recibieron un mensaje de texto de phishing, y muchos de ellos fueron víctimas del ardid.
Ejemplo de ataque de phishing
¿Cómo detener un ataque de phishing?
Detener un ataque de phishing es un desafío, ya que la mayoría de las personas notan lo que sucede solo cuando es demasiado tarde.Sin embargo, existen algunos métodos de prevención que puede utilizar para asegurarse de no ser víctima de un ataque de phishing.Estos son los cuatro mejores consejos sobre cómo prevenir un ataque de phishing:
- Verifique siempre antes de hacer clic: este sencillo consejo es muy efectivo para ayudarlo a evitar estafas de phishingPiense siempre antes de hacer clic en un enlace o archivo adjunto, y evite hacer clic en algo de lo que no esté 100% seguro.
- Mantenga su información privada: no revele su información privada a menos que debaIncluso cuando desee iniciar sesión o comprar algo en línea, no lo haga a través de enlaces de correo electrónico o SMSIr directamente al sitio de origen
- Mantenga todo actualizado: los principales navegadores y programas antivirus lanzan parches regularmente para abordar nuevos riesgos de seguridad, así que asegúrese de no retrasar las actualizaciones cuando se le solicite.
- Use una clave de seguridad: las claves de seguridad que cumplen con los estándares FIDO U2F/FIDO2 son quizás la mejor manera de protegerse contra el phishingReconocen automáticamente el dominio genuino y eliminan la necesidad de escribir manualmente las contraseñas.
Protéjase contra el phishing sin demora
En 2017, Google implementó un nuevo requisito que neutralizaba por completo los ataques de phishing a sus empleados.Con alrededor de 140,000 empleados, Google no ha tenido ningún ataque de phishing desde 2017Esto puede parecer un milagro logístico, pero en realidad se realizó con un simple ajuste.
En 2017, todos los empleados de Google tuvieron que dejar de usar contraseñas para iniciar sesiónIncluso estaba prohibido usar códigos de un solo usoEn cambio, todos los empleados de Google tuvieron que comenzar a usar llaves de seguridad físicas para acceder a sus cuentas.
Un portavoz de Google dijo que las llaves de seguridad ahora forman la base de todo el acceso a la cuenta en Google.“ No hemos informado ni confirmado adquisiciones de cuentas desde que implementamos las llaves de seguridad en Google”, dijo el portavoz. "Es posible que se solicite a los usuarios que se autentiquen con su clave de seguridad por muchas aplicaciones/motivos diferentesTodo depende de la sensibilidad de la aplicación y el riesgo del usuario en ese momento.”
Por supuesto, estos beneficios y funciones de seguridad no solo están reservados para las grandes empresas de tecnología y organizaciones con presupuestos masivos.Todo el mundo puede obtener software antiphishing de forma gratuita o a un coste mínimo y protegerse de los peligros de los ataques de phishing.
En Hideez, hemos creado una clave de seguridad universal rentable que es lo suficientemente robusta y confiable para proteger contra una variedad de ataquesNuestra Hideez Key 4 puede protegerlo contra ataques de phishing, ataques MITM, suplantación de identidad y cualquier otro tipo de amenaza relacionada con contraseñas
Lo mejor de todo es que no rompe el banco, por lo que es una solución accesible para pequeñas empresas y usuarios individuales.Por solo $49, obtendrá una solución de seguridad completa, que combina componentes de hardware y softwareEsto incluye un administrador de contraseñas de hardware con una función de autocompletar, un generador de contraseñas seguras, una clave de seguridad compatible con los estándares FIDO/U2F y un llavero remoto RFID
Conociendo las muchas amenazas de ciberseguridad que existen en el panorama actual, no debe dejar su seguridad al azar.¡Comuníquese con nosotros ahora para solicitar una prueba gratuita para empresas!
