Como hemos dicho en reiteradas ocasiones, nunca hay que ser demasiado confiado en la web, ya que los ciberdelincuentes están por todas partes, incluso a través de nuestro correo electrónico, esperando un descuido nuestro para atacar.
¿Cómo convencen los ciberdelincuentes al usuario para que abra un correo fraudulento? Aquí se lo contamos.
Phishing: ciberdelito a través del correo electrónico
El Phishing es una técnica de suplantación de identidad, con el fin de engañar al usuario y que éste comparta contraseñas, números de tarjetas de crédito y otros datos personales, haciéndose pasar por una institución de confianza en un mensaje de correo electrónico o a través de una llamada telefónica.
Muchas veces al revisar nuestro correo no nos damos cuenta a simple vista de un correo fraudulento, ya que los ciberdelincuentes se las arreglan para que así sea, usan muchas estrategias para engañar al usuario.
Esta forma de atacar se llama Phishing y es a través del correo electrónico, en los últimos años ha aumentado enormemente, ya que el correo electrónico es un medio de comunicación masivo, usado tanto por empresas como por particulares.
A través del correo electrónico los ciberdelincuentes se hacen con los datos de sus víctimas, utilizando diferentes estrategias para atraer la atención del usuario y tener así mayor probabilidad de éxito.
Con el solo hecho de enviar un correo electrónico no significa que puedan hackear al usuario, para ello se necesita una interacción del usuario con el e-mail.
El modus operandis es enviar un correo con un enlace fraudulento o un archivo adjunto que contiene el virus, para ello se hacen pasar por entidades reales, para que el usuario tenga más confianza en el e-mail y lo abra.
Si el usuario no realiza ninguna acción con ese correo fraudulento, no pasa nada con su seguridad y no perjudicará al sistema, es decir, no será hackeado.
Para no caer en la trampa, debe verificar muy bien quien envía el e-mail y no confiar en todo lo que llega a la bandeja de entrada de su correo.
Si un usuario cae en la trampa y abre el correo, ya pasó a ser una víctima del ciberdelincuente, ya que se le deriva a una página muy similar a la original y a partir de ahí empieza a entregar sus datos personales, y así, el atacante roba identidades, saquea cuentas bancarias y vende información personal en el mercado negro.
Con la información robada amenaza a la víctima y pide rescate para su devolución, sino consigue el pago, amenaza con publicar la información obtenida.
“El Phishing es la forma más sencilla de ciberataque y al mismo tiempo, la más efectiva y peligrosa”.
Los ciberdelincuentes con esta técnica utilizan ingeniería social para atacar a sus víctimas, no explotan una vulnerabilidad técnica o una brecha de seguridad y no está a salvo ningún sistema operativo. En el fondo, atacan la mente de su víctima.
Generalmente utilizan el phishing cuándo no encuentran una vulnerabilidad en el sistema operativo, pero sí encuentran personas confiadas que no revisan la procedencia de un correo.
La ingeniería social que utilizan en esta técnica se basa en crear alarma en los receptores de los mensajes, con indicaciones de urgencia, alarma y diferentes llamadas a la acción, porque el objetivo es que el usuario actúe de inmediato ante el estímulo y no analice los riesgos de su acción.
¿Cómo reconocer un delito de phishing?
Lo primero que debemos saber y pensar, es que las grandes empresas, ya sea de banca, energía o telecomunicaciones, no piden datos personales a través del correo electrónico, eso ya es un indicio de fraude.
No es posible imitar o copiar una página real tal cual, por lo tanto, nos debe llamar la atención las faltas de ortografía, incoherencias y errores, lo cuál es otro indicio de fraude. Fijarse también en la dirección del remitente.
Tener cuidado con las operaciones que realizamos en nuestro móvil, ya que tiene menores medidas de seguridad y menos claridad en una pantalla más pequeña y esto lo saben los ciberdelincuentes y se aprovechan de eso.
¿Cómo protegerse del Phishing?
- Si abre el correo, no pinchar en ningún enlace y realizar las verificaciones pertinentes desde la URL del navegador.
- Mejorar la seguridad del ordenador y mantener actualizado el sistema operativo y el navegador web siempre. En este caso también funciona si utilizamos el sentido común.
- Contar con un antivirus profesional.
- Ingresar los datos personales solo en sitios seguros, éstos siempre empiezan por “https://”. Y que el navegador muestre el ícono de un candado cerrado.
- Revisar constantemente las cuentas, facturas y cuentas bancarias, por si nota alguna irregularidad.
- Y el mejor consejo sería “ante la duda abstente”.
Los sitios de redes sociales son un caldo de cultivo para los ciberdelincuentes, es más, desde hace un tiempo que se han convertido en el objetivo principal del phishing.
Existen diferentes tipos de ataques de phishing, nombraremos algunos:
- Spear phishing
- Phishing de clonación
- 419/Estafas nigerianas
- Phishing telefónico
Estrategias utilizadas por los hackers para que abra los correos
Generalmente, el correo fraudulento suele estar a nombre de la víctima, así gana su confianza. Esta estrategia es una de las más utilizadas por los ciberdelincuentes y va derecho al éxito.
Muchas veces se le hace creer a la víctima que ha ganado un premio, o una oferta exclusiva, ésta técnica se ha utilizado desde hace mucho tiempo.
Durante la pandemia los ciberdelincuentes han usado el Covid-19 como estrategia, a través del miedo persistente en la sociedad, han sacado provecho de la situación y han accedido al ordenador del usuario.
Uno de los ataques más comunes de phishing es hacer creer al usuario a través de un e-mail que su cuenta tiene problemas, suplantando la identidad de grandes empresas como Amazon, Netflix o Paypal.
Sea cual sea el tipo de ataque, lo primero que debemos hacer si sospechamos de un correo, es dudar y pensar que es fraudulento, no abrirlo, verificar el remitente, buscar lo raro e inusual. No actuar con miedo, porque eso es lo que quiere el ciberdelincuente, con miedo se toman malas decisiones.
Fuentes utilizadas en este artículo:
https://www.pandasecurity.com/es/security-info/phishing/#
https://es.malwarebytes.com/phishing/
Oferta Formativa
Máster en Ciberseguridad, Análisis e Ingeniería
Este máster de Ingeniería en Ciberseguridad tiene como objetivo principal la formación de expertos en el sector de la seguridad informática desde un punto de vista teórico-práctico. En especial, gracias a una focalización principalmente basada en la ingeniería informática y en las prácticas de ciberseguridad, el máster busca difundir una cultura adecuada sobre el uso de sistemas informáticos en modo correcto y seguro con el fin de mejorar las capacidades personales de contrarrestar las amenazas provenientes del ciberespacio.
Más información en nuestra página: https://www.iniseg.es/ciberseguridad/masteres-oficiales/master-ingenieria-ciberseguridad.html