El phishing es uno de los tipos de estafas más comunes en Internet. Se utiliza para robar información personal de los usuarios, como información de identificación (su nombre completo, el número de seguro social, etc.), datos bancarios o de la tarjeta de crédito y sus contraseñas.
La principal característica del phishing es engañar a las personas para que, de forma voluntaria, entreguen información o hagan clic en algún tipo de archivo que facilite el robo de datos. En este tipo de cibercrimen, las personas son contactadas por correo electrónico, teléfono o mensaje de texto por alguien que se hace pasar por una institución legítima para atraerlas a proporcionar datos confidenciales.
Pero, ¿hay formas de protegerse?
¿Qué es el phishing?
El nombre “phishing” proviene de la conjunción de dos palabras en inglés: phreaking, que en la subcultura informática refiere al pirateo telefónico y se sirve de asustar a las víctimas; y fishing, es decir, ir de pesca.
El neologismo resume bien la táctica en este tipo de estafa: enviar mensajes masivos e intimidatorios y esperar a que algunas personas se asusten para que hagan lo que les dice el mensaje. Eso resultará en que los desprevenidos sean “enganchados”, como son enganchados los peces en el anzuelo, atraídos por un cebo.
La práctica más común es enviar correos electrónicos o contactar a través de redes sociales (o cualquier otra plataforma) pretendiendo ser un conocido, una empresa o un servicio conocido. Por lo general, el título llama la atención sobre un problema encontrado o se refiere a algún tipo de oferta imperdible.
El phishing tiene tres patas:
- La fuente ilegítima parece la de un individuo conocido o una institución de confianza.
- La información que contiene el mensaje parece sustentar su validez, está bien escrita e imita bien la “imagen” de la empresa por la que se está haciendo pasar.
- La solicitud que se le hace a la posible víctima parece ser razonable.
Ejemplos de mensajes de phishing:
- “Encontramos un problema con su registro: haga clic aquí para actualizar sus datos”;
- “Su pedido será entregado, solo necesitamos una confirmación”;
- “¡Atención! Su tarjeta de crédito será cancelada: así es como se puede evitar”;
- “¿Quiere un préstamo sin garantía fácil? Haga clic aquí”.
- “Descuentos exclusivos de Black Friday”
El formato y las imágenes utilizadas en el correo electrónico están diseñados para imitar la comunicación real que utilizan las empresas.
Cuando la persona abre el mensaje, suele encontrar un enlace que le pide acceder a un sitio web que también imita al original.
Aquí es donde realmente ocurre la estafa: el usuario cree que está en la página real y coloca los datos solicitados.
Ten en cuenta que el riesgo de phishing no es solamente compartir la contraseña de tu tarjeta. Si confirmas tu nombre de usuario y contraseña para un sitio web de compras, por ejemplo, los estafadores pueden acceder a tu cuenta, realizar compras, cambiar tu dirección de envío e incluso tener acceso a los datos registrados por ti en ese sitio web.
Otros tipos de phishing incluyen:
- Pedir a la persona que descargue o instale un programa en la computadora o teléfono celular, para que ese programa pueda robar los datos.
- Llamar o enviar un SMS pidiendo confirmar información o poder acceder a un sitio web.
- Hacerse pasar por una persona conocida por el usuario y pedir ayuda, generalmente a través de las redes sociales.
Tipos de phishing
La pandemia global del Covid-19 ha recluido al mundo, creando un entorno más propicio para la ciberdelincuencia. ¿Eso significa que hay que volver a la Edad de Piedra o volver a vivir del trueque? Por supuesto que no. La Era Digital llegó para quedarse y las transacciones a través de internet ocuparán cada vez más aristas de nuestras vidas.
Lo que sí hay que hacer es informarse, estar prevenido y tener los mínimos recaudos. Aquí abajo te contamos las cuatro formas más
Email phishing
La mayoría de los ataques de phishing se envían por correo electrónico. El delincuente registrará un dominio falso que imite a una organización genuina y envía miles de solicitudes genéricas.
El dominio falso a menudo implica la sustitución de caracteres, como usar “r” y “n” uno al lado del otro para crear “rn” en lugar de “m”; o la letra alfa mayúscula del abecedario griego, que tiene la misma apariencia que la del español: A.
Otra táctica común del engaño es usar el nombre de la organización en la primera parte de la dirección de correo electrónico, la que precede al signo @ (aquí@xxx.com). Esto se hace con la esperanza de que el nombre del remitente falso aparezca en la bandeja de entrada del destinatario.
Spear phishing
Hay otros dos tipos de phishing más sofisticados relacionados con el correo electrónico. El spear phishing, por ejemplo, trata de correos electrónicos maliciosos enviados a una persona específica. Los delincuentes que hagan esto seguramente ya tenga parte o toda la siguiente información sobre la víctima: nombre, empresa adonde trabaja, profesión y dirección de email.
La intención del spear phishing es penetrar en una organización o dañar su sistema con malware.
Whaling/Caza de ballenas
Los ataques de “caza de ballenas” apuntan directamente a los altos ejecutivos de una compañía. Por ello, la técnica de este tipo de phishing se vuelve más ingeniosa. En este caso, ciertos trucos, como los enlaces falsos y las URL maliciosas no son útiles, ya que al escribir los delincuentes intentan imitar la voz del CEO o el Gerente Financiero.
Los ataques de caza de ballenas exigen más investigación y planificación que los anteriores. Para hacerse pasar por una alta autoridad, los delincuentes deben tomarse un tiempo para mimetizarse, encontrar una manera de acercarse a su víctima y averiguar qué tipo de información pueden obtener de ellas.
Smishing
Aquí -como en el vishing-, los teléfonos reemplazan al correo electrónico como canales de comunicación. Smishing deriva de la conjunción de textos por SMS + phishing. Este tipo de robo implica que los delincuentes envíen mensajes de texto, cuyo contenido suele ser muy similar al del phishing por correo electrónico.
Por ejemplo, un mensaje de texto de una empresa que parece provenir de una empresa que has contratado, como tu banco, el proveedor de telefonía móvil o el servicio de streaming de tus series favoritas. El texto puede decir que tu cuenta expiró o que fue bloqueada con el pretexto de una actividad sospechosa o lo que sea. Actoseguido, te piden que proporciones información personal o hacer clic en un enlace para reactivarla.
Eso les da a los estafadores medios para robar tu dinero o identidad o para infectar tu dispositivo con malware.
Vishing
El Vishing es como el smishing, pero implica una conversación telefónica. Una estafa de vishing común involucra a un criminal que se hace pasar por un investigador de fraude (ya sea de la compañía de la tarjeta o del banco) y le dice a la víctima que su cuenta ha sido violada. Apela a los sentimientos de confianza, miedo o codicia.
A continuación, el delincuente le pedirá a la víctima que proporcione los datos de la tarjeta de crédito o la cuenta bancaria para verificar su identidad o para transferir dinero a una cuenta “segura”, es decir, la cuenta del propio delincuente.
¿Existe alguna forma de prevenir el phishing?
Decir que los usuarios son responsables de identificar todas estas estafas es, como mínimo, injusto. Muchos estafadores trabajan con técnicas sofisticadas para enmascarar sus páginas y enlaces falsos y hacer que parezcan reales.
En principio, la regla general para prevenirse del phishing es comprobar la dirección de correo electrónico de un mensaje que te pide que hagas clic en un enlace o que descargues un archivo adjunto.
También existen algunas otras precauciones que pueden ayudar:
- En términos generales, las empresas nunca piden a los usuarios que proporcionen sus contraseñas por correo electrónico. En otras palabras, los bancos, las instituciones financieras y los operadores de tarjetas no solicitarán esta información por ese medio jamás.
- Verifica que la URL del sitio web (es decir, la dirección) sea la correcta y la dirección del correo electrónico cuando debas, por algún motivo, proporcionar o escribir los datos de inicio de sesión.
- Si has solicitado un cambio de contraseña o algún tipo de cambio de registro, es común que las tiendas y establecimientos envíen un correo electrónico de confirmación con un enlace. Ten cuidado si recibes un correo electrónico de este tipo sin realizar ninguna acción en tu cuenta/plataforma. (Además, es recomendable tener contraseñas seguras.)
- En caso de duda, contacta a la empresa a través de los canales oficiales de servicio al cliente o accede a la página a través de su navegador, y no a través del enlace enviado.
- No instales programas ni descargues archivos en anexos enviados por tiendas o establecimientos.
- Si cree que tus datos han sido expuestos, cancela tu tarjeta y comunícate con los comerciantes para bloquear sus cuentas y/o intercambiar datos de inicio de sesión.
Recuerda:
El phishing es un ataque oportunista. La gran ventaja del estafador es llevar a la persona a un medio que está controlado por él, por ejemplo, un sitio web. Si controlas tu acceso, ya sea que te dirigieras directamente al sitio web o abriendo la aplicación en tu teléfono, por ejemplo, la posibilidad de phishing disminuye mucho.
Este contenido es parte de la misión de Nu Colombia de brindar a las personas control sobre sus vidas financieras. ¿Aún no conoces a Nu? Obtenga más información sobre la tarjeta de crédito y nuestra historia aquí.
{{#comments}}-
{{comment_author}}
{{comment_date}}
{{comment_content}}
{{/comments}}
{{#children}}-
{{child_comment_author}}
{{child_comment_date}}
{{child_comment_content}}
{{/children}}