Los avances tecnológicos y el uso generalizado de Internet han creado muchos efectos positivos, como un mayor acceso a la información y una mayor interconexión. Sin embargo, también exponen a los usuarios a una serie de riesgos de ciberseguridad. Uno de ellos son los ciberataques cuyo objetivo último es robar identidades, dinero o asumir ilegalmente el control de cuentas y perfiles de personas. El phishing, como se denomina a estos ciberdelitos, está ahora tan extendido que entre enero y octubre de 2022 se produjeron más de 255 millones de ataques, un incremento del 61 % respecto al año anterior.
Debido a la creciente frecuencia de estos ataques —y al daño que pueden causar a particulares y empresas—, es crucial que la gente conozca qué son estos ataques, cómo funcionan, qué hacer tras un ataque de phishing y, por supuesto, cómo prevenirlos.
Para evitar convertirse en víctima del phishing, es esencial en primer lugar que la gente entienda en qué consisten estos ataques. En pocas palabras, es un tipo de estafa, a menudo ejecutada por correo electrónico, mensajes de texto o llamadas telefónicas, en la que un actor malicioso manipula a su objetivo para que comparta su información de inicio de sesión, credenciales u otros datos personales y luego los utiliza con fines nefastos.
El Instituto Nacional de Estándares y Tecnología define el phishing como “un intento de los delincuentes de engañarte para que compartas información o realices una acción que les des acceso a tus cuentas, tu ordenador o incluso tu red”.
Tras entregar su información en la estafa, el ciberdelincuente suele utilizar los datos de la víctima de phishing para obtener beneficios económicos o perpetuar otros delitos. Esto suele hacerse utilizando las credenciales de inicio de sesión robadas para acceder a cuentas bancarias o tarjetas de crédito, o a buzones de correo electrónico, redes domésticas, perfiles de redes sociales e incluso cuentas del Servicio de Impuestos Internos (IRS) o de la Seguridad Social. Si las credenciales robadas incluyen contraseñas que se utilizan en varias cuentas, el phisher podrá acceder a un mayor número de cuentas de la víctima y causar más daños.
A menudo, los phishers intentan crear una sensación de legitimidad para sus estafas haciéndose pasar por empresas o personas de confianza. Por ejemplo, podrían enviar un correo electrónico de una gran empresa con la que la víctima de phishing podría tener una cuenta: de hecho, Yahoo, DHL, Microsoft, Google, Facebook, Adobe y Netflix se encuentran entre las marcas más suplantadas. O bien, el phisher puede hacerse pasar por un amigo o conocido en el mensaje de phishing. El mensaje suele incluir un enlace que dirige al receptor a un sitio web falso, en el que se pide a la víctima que facilite información privilegiada, como datos de acceso, información de la tarjeta de crédito o, tal vez, datos personales como fechas de nacimiento y números de la Seguridad Social.
Hay muchas formas a través de las cuales los ciberdelincuentes pueden robar tu información personal para acceder a tu dinero o asumir tu identidad. En la mayoría de estos casos, los hackers se hacen pasar por representantes oficiales de empresas legítimas y engañan a la víctima del phishing para que facilite datos personales que luego pueden utilizarse con fines lucrativos o para suplantar su identidad. Entender qué aspecto pueden tener estos ciberataques puede ayudar a prevenir los ataques de phishing. Estas son algunas de las formas más comunes de phishing de los hackers:
Es esencial que la gente recuerde que las empresas legítimas, como los bancos, los sitios de comercio electrónico y las plataformas de redes sociales, nunca pedirán a los propietarios de cuentas que faciliten información confidencial por ninguno de los medios mencionados. En caso de duda, siempre es mejor ignorar la posible estafa y ponerse en contacto con la empresa legítima a través de los canales oficiales.
Los estafadores pueden robar información confidencial de las personas de muchas maneras, por ejemplo, a través del correo electrónico, mensajes de texto o las llamadas telefónicas, y pueden utilizarla para causar daños importantes a las víctimas del phishing. Por este motivo, conocer las tácticas más comunes que emplean los phishers para llevar a cabo sus ataques es el primer paso en la prevención de ataques de phishing. Por ejemplo, un correo electrónico, un mensaje de texto o una llamada telefónica fraudulentos pueden decir lo siguiente:
Además, el mensaje o la llamada telefónica pueden mostrar otros signos de phishing, como:
Las víctimas de phishing pueden preguntarse qué hacer después de que sus datos se hayan visto comprometidos. Se pueden tomar numerosas medidas que pueden mitigar los daños del ataque, evitar que otras personas se conviertan en víctimas de phishing de la misma estafa e incluso proteger a la víctima de futuros ataques. He aquí algunos aspectos a tener en cuenta.
Tras un ataque de phishing, las víctimas necesitan comprender cómo se produjo el ataque. Esto puede implicar un poco de trabajo de investigación, como un escrutinio del correo electrónico o el mensaje de texto de phishing para averiguar cuál podría haber sido el propósito del ataque, comprobar los registros del firewall en busca de URL o direcciones IP sospechosas, y averiguar exactamente qué información y detalles podrían haberse visto comprometidos. También es una buena idea comprobar cualquier cuenta que pueda estar asociada con la información robada para ver si hay alguna actividad sospechosa.
Para las víctimas de phishing que se preguntan qué hacer tras un ataque, una posible opción es denunciarlo a las autoridades. Aunque esto no siempre es sencillo o directo, denunciar el ataque es importante por varias razones. Por ejemplo, si una organización legítima se ha visto implicada en el ataque, podría garantizar que sean conscientes de que un estafador se hace pasar por un representante oficial. Y lo que es quizás más importante, puede ayudar a la víctima a recuperar el control de cualquier cuenta comprometida, protegiéndola de si el estafador intenta perpetrar un robo de identidad, y bloquear cualquier transacción financiera sospechosa. En Estados Unidos, el phishing puede denunciarse ante el Grupo de trabajo antiphishing y la Comisión Federal de Comercio mientras que en Europa, la organización responsable es la Oficina Europea de Lucha contra el Fraude. Todo ello puede contribuir a futuros esfuerzos de prevención de ataques de phishing.
A menudo, empresas legítimas se ven implicadas involuntariamente en ataques de phishing porque el phisher se hace pasar por un representante o envía un mensaje que supuestamente procede de la empresa. Si este es el caso, entonces lo que hay que hacer después de un ataque de phishing implicará ponerse en contacto con la empresa en cuestión para informarles del incidente. De este modo, pueden tomar medidas para prevenir futuros ataques de phishing aconsejando a los clientes que sean conscientes de que los estafadores se ponen en contacto con los clientes en su nombre.
En algunos casos, los ataques de phishing pueden ejecutarse con la ayuda de software malicioso. Por esta razón, es esencial que las víctimas de phishing desconecten su dispositivo comprometido de Internet. Esto implicará desactivar la conexión wifi del dispositivo, o desconectar completamente y restablecer la red wifi. Esto es importante porque garantiza que el software malicioso no se siga transmitiendo a través de la red.
Las estafas de phishing suelen manipular a las víctimas para que faciliten información confidencial. Por lo general, utilizan un enlace para redirigir al usuario a un sitio web falso y hacer que introduzca credenciales de inicio de sesión, como contraseñas. Después de hacer clic en un vínculo fraudulento de este tipo, lo mejor es cambiar las contraseñas que puedan haberse visto comprometidas en el ataque. Asegúrate de hacerlo a través del sitio web real y no a través del vínculo fraudulento, y si la contraseña se ha reutilizado en otras cuentas, asegúrate de cambiarlas también.
El software antivirus es una parte crucial para garantizar la seguridad y privacidad de cualquier dispositivo, pero también es una parte importante de la prevención de ataques de phishing. Una vez instalado el software, este debería analizar el dispositivo automáticamente para detectar cualquier software malicioso potencial. Sin embargo, corresponde al usuario asegurarse de que el software esté siempre al día —basta con configurar las actualizaciones automáticas— y realizar análisis manuales periódicos que comprueben la presencia de software malicioso en todos los dispositivos, archivos, aplicaciones y servidores de la red.
El objetivo de algunos ataques de phishing es robar suficiente información personal sobre el objetivo para que el phisher pueda robar su identidad con fines nefastos. Por ejemplo, al robar el número de la Seguridad Social, el número de teléfono y la fecha de nacimiento de alguien, el atacante puede instigar un ataque de duplicación de SIM, sacar nuevas tarjetas de crédito o perpetrar otros tipos de fraude. Por ello, las víctimas de phishing deben estar atentas a señales de robo de identidad, como transacciones financieras o facturas médicas inesperadas, nuevas tarjetas de crédito que no solicitaron, intentos sospechosos de inicio de sesión en cuentas en línea, por ejemplo. Si las finanzas se ven afectadas, el ataque debe notificarse a las principales agencias de información crediticia de Estados Unidos —TransUnion, Equifax y Experian— para garantizar que la puntuación crediticia de la víctima no se vea afectada como consecuencia del fraude de identidad.
A pesar de la frecuencia de estos ataques, hay muchas medidas que se pueden tomar para evitar convertirse en víctimas del phishing. Incorporar estos ocho consejos a las medidas generales de seguridad de un dispositivo electrónico puede ayudar a ahuyentar a los phishers.
Dada la creciente sofisticación de los ciberdelincuentes, por desgracia es habitual que la gente se convierta en víctima del phishing. Es importante comprender en qué consisten estos ciberdelitos y qué medidas poner en marcha para esforzarse en prevenir los ataques de phishing. Sin embargo, es igualmente importante que la gente sepa qué hacer después de un ataque de phishing. Desde proteger sus dispositivos y cuentas hasta informar del ataque de phishing y comprender cómo se produjo en primer lugar, estos pasos esenciales pueden ayudar a mitigar cualquier daño posterior.
Kaspersky Endpoint Security recibió tres premios AV-TEST al mejor rendimiento, protección y usabilidad de un producto de seguridad de endpoints para empresas en 2021. En todas las pruebas, Kaspersky Endpoint Security demostró un rendimiento, protección y usabilidad excepcionales para las empresas.
Artículos y vínculos relacionados:
Con qué frecuencia debes cambiar tu contraseña
Cómo evitar que los agentes de datos vendan tus datos personales
Robo de identidad: cómo proteger tus datos personales
¿Qué es el pirateo? ¿Cómo evitarlo?
Productos y servicios relacionados
Kaspersky Small Office Security