Site icon Sophos News

¿Qué es… phishing?

¿Qué es…phishing?

El phishing (o suplantación de identidades) es el término empleado cuando un cibercriminal envía algún tipo de mensaje de correo electrónico con la intención de que su víctima realice algo inseguro. Si el medio a emplear difiere del correo electrónico su nombre varía ligeramente, como Vishing (sobre teléfono, es decir, phishing sobre Voz).

La palabra phishing proviene del inglés “fishing” (pescar) por lo que crea una clara metáfora con el cebo y la pesca.

Los estafadores que realizan este tipo de delito, comúnmente llamados phishers, normalmente utilizan el correo electrónico, porque es muy sencillo disfrazar los mensajes para que parezcan reales, además de su bajo coste. Si lo comparamos con, realizar llamadas de teléfono, el email es, con diferencia, muchísimo más barato y con capacidad de ser masivo, enviando cientos de miles o millones de correos.

Pero los ataques de phishing también pueden surgir en las redes sociales, SMS o aplicaciones de mensajería. ¿Quién no recuerda los “posts” en redes sociales que aseguran que por hacer un like participaremos en el sorteo de un coche de alta gama o los anuncios de gafas de marca por precios muy reducidos?

Estos son algunos ejemplos del tipo de engaños realizados por los phishers:

¿Qué hacer?

El phishing puede ser complicado de detectar. No siempre nos dan pistas claras como errores gramaticales o faltas de ortografía. Hasta hace poco, debido a que los emails eran traducciones automáticas, eran realmente extraños al leerlos. Lamentablemente, los phishers van mejorando y cuentan con departamentos de traducción, por lo que ya es muy difícil detectarlos por esta vía.

También pueden conocer tu nombre y dirección, por lo que pueden personalizar el ataque haciéndolo mucho más creíble. ¿De dónde los sacan?: hay bases de datos a la venta online por muy poco dinero, pero muy posiblemente hayamos sido nosotros quienes les dimos los datos al suscribirnos a alguna supuesta promoción, etc…

Los siguientes consejos os ayudarán a protegeros de este tipo de ataque:

No introduzcas credenciales de autenticación en enlaces que recibes por correo electrónico. Introduce directamente el URL o marca como favoritas las páginas a las que normalmente accedes. Si tienes dudas, usa el buscador, escribiendo el nombre de la tienda online, banco, etc… y revisa los resultados. En los primeros puestos suele venir bien su publicidad o el enlace a su web. Siempre debemos ser nosotros quienes accedamos al servicio, nunca clicando lo que el correo indica.

Evita abrir los ficheros adjuntos que recibes por correo electrónico, especialmente si vienen de gente que no conoces, incluso si trabajas en recursos humanos o en finanzas.

Crea una dirección de correo electrónico dentro de tu empresa como por ejemplo seguridad@ejemplo.com a la que los empleados puedan reenviar los correos electrónicos en caso de duda y esté gestionado por expertos en ciberseguridad para que ellos puedan validad los adjuntos (abriéndolos de forma segura y analizándolos). Por otro lado, si tu departamento de seguridad es informado, podrá evitar que otros compañeros caigan en el phishing, pues muy posiblemente, les haya llegado a varios a la vez.

En caso de duda, no lo hagas. Tus datos personales valen más que una mínima posibilidad de conseguir un iPad.

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

Exit mobile version