Resumen
La suplantación de identidad es una práctica maliciosa en la que los atacantes se disfrazan de entidades confiables para engañar a las personas y lograr que revelen información confidencial.
Esté atento al phishing reconociendo signos comunes como URL sospechosas y solicitudes urgentes de información personal.
Comprenda una variedad de técnicas de phishing, desde estafas comunes por correo electrónico hasta phishing sofisticado, para fortalecer sus defensas de ciberseguridad.
Introducir
Un ataque de phishing es una táctica maliciosa en la que los delincuentes pretenden ser partes confiables para engañar a las personas para que compartan datos confidenciales. En este artículo, explicaremos qué es el phishing, cómo funciona y qué puede hacer usted para evitar ser víctima de este tipo de estafas.
Cómo funcionan los ataques de phishing
Los ataques de phishing dependen en gran medida de la ingeniería social, un método mediante el cual los atacantes manipulan a las personas para que revelen información confidencial. Los atacantes recopilan información personal de fuentes públicas (como las redes sociales) para crear correos electrónicos que parezcan auténticos. Las víctimas suelen recibir mensajes maliciosos que pretenden provenir de contactos familiares u organizaciones acreditadas.
La forma más común de ataque de phishing se produce a través de correos electrónicos que contienen enlaces o archivos adjuntos maliciosos. Al hacer clic en estos enlaces, los usuarios podrían instalar malware en sus dispositivos o dirigirlos a sitios web falsos diseñados para robar información personal y financiera.
Si bien es fácil detectar correos electrónicos falsos mal escritos, los ciberdelincuentes utilizan herramientas avanzadas como chatbots y generadores de voz de IA para mejorar la autenticidad de sus ataques. Esto dificulta que los usuarios distingan entre comunicaciones reales y falsas.
Reconocer trucos falsos
Identificar correos electrónicos falsos puede resultar complicado, pero hay algunas señales que puedes comprobar.
Signos comunes
Tenga cuidado si un mensaje contiene una URL sospechosa, utiliza una dirección de correo electrónico pública, parece aterrador o urgente, solicita información personal o tiene errores ortográficos y gramaticales. En la mayoría de los casos, podrá pasar el cursor sobre los enlaces para examinar las URL sin tener que hacer clic en ellas.
Falsificación basada en medios de pago digitales
Los estafadores suelen hacerse pasar por servicios de pago en línea confiables como PayPal, Venmo o Wise. Los usuarios reciben correos electrónicos de phishing instándolos a verificar sus datos de inicio de sesión. Es importante mantenerse alerta y reportar actividades sospechosas.
Hacerse pasar por una institución financiera
Los estafadores se hacen pasar por bancos o instituciones financieras y alegan violaciones de seguridad para obtener información personal. Las tácticas comunes incluyen correos electrónicos de phishing sobre transferencias de dinero o estafas de depósito directo dirigidas a nuevos empleados. También pueden afirmar que hay una actualización de seguridad urgente disponible.
Falsificación relacionada con el trabajo
Estas estafas personalizadas involucran a atacantes que se hacen pasar por ejecutivos, directores ejecutivos o directores financieros, solicitando transferencias bancarias o compras falsas. La suplantación de voz mediante un generador de voz con IA por teléfono es otro método utilizado por los estafadores.
Cómo prevenir ataques de phishing
Para prevenir ataques de phishing, es importante utilizar múltiples medidas de seguridad. Evite hacer clic en cualquier enlace directamente. En su lugar, visite el sitio web oficial de la empresa o los canales de comunicación para comprobar si la información que recibe es legítima o no. Considere la posibilidad de utilizar herramientas de seguridad como software antivirus, cortafuegos y filtros de spam.
Además, las organizaciones deben utilizar estándares de autenticación de correo electrónico para verificar los correos electrónicos entrantes. Ejemplos populares de métodos de autenticación de correo electrónico incluyen DKIM (DomainKeys Identified Mail) y DMARC (Autenticación, informes y conformidad de mensajes basados en dominio).
Para las personas, es importante informar a familiares y amigos sobre los riesgos de los ataques de phishing. Para las empresas, es importante educar a los empleados sobre técnicas de ataque de phishing y brindar capacitación periódica sobre concientización para minimizar los riesgos.
Si necesita más información, busque iniciativas gubernamentales como OnGuardOnline.gov y organizaciones como Anti-Phishing Working Group Inc. Estas organizaciones brindan recursos y orientación más detallados sobre cómo detectar, evitar y reportar ataques de phishing.
Formas de ataques de suplantación de identidad
Las técnicas de phishing están evolucionando y los ciberdelincuentes utilizan diversos métodos. Los diferentes tipos de ataques de phishing suelen clasificarse según su objetivo y la dirección del ataque. Echemos un vistazo más de cerca.
Copia falsificada
Un atacante utilizaría un correo electrónico legítimo enviado previamente y copiaría su contenido en un correo electrónico similar que contuviera un enlace a un sitio web malicioso. Un atacante también podría afirmar que se trata de un enlace nuevo o actualizado, lo que indica que el enlace anterior era incorrecto o ha caducado.
Ataque de suplantación de identidad "pescar con lanza"
Este tipo de ataque se centra en una persona u organización. Un ataque con lanza es más sofisticado que otros tipos de ataques de pícaros porque tiene forma. Esto significa que los atacantes primero recopilan información sobre la víctima (por ejemplo, el nombre de un amigo o familiar) y utilizan estos datos para atraer a la víctima a un archivo de sitio web malicioso.
Estafa de farmacia
Un atacante envenenaría los registros DNS, redirigiendo de hecho a los visitantes de un sitio web legítimo a un sitio web fraudulento que el atacante había creado previamente. Este es el ataque más peligroso porque los registros DNS no están bajo el control del usuario, lo que lo deja indefenso para defenderse.
caza de ballenas
Una forma de ataque de phishing dirigido a personas ricas e importantes, como directores ejecutivos y funcionarios gubernamentales.
Suplantación de correo electrónico
Los correos electrónicos de phishing a menudo pretenden ser comunicaciones de empresas o individuos legítimos. Los correos electrónicos de phishing pueden proporcionar a las víctimas involuntarias enlaces a sitios web maliciosos, donde los atacantes recopilan información de inicio de sesión y PII utilizando páginas de inicio de sesión inteligentemente disfrazadas. Estos sitios pueden contener troyanos, registradores de pulsaciones de teclas y otros scripts maliciosos que roban información personal.
Redirección de sitios web
Los redireccionamientos del sitio llevan a los usuarios a URL distintas a la URL que el usuario pretendía visitar. Los actores que aprovechen la vulnerabilidad podrían insertar redireccionamientos e instalar malware en la computadora de un usuario.
Ataque gracias a errores ortográficos
Los errores ortográficos dirigen el tráfico a sitios web falsos que utilizan ortografía en idiomas extranjeros, errores ortográficos comunes o variaciones sutiles en los nombres de dominio de nivel superior. Los estafadores utilizan nombres de dominio para imitar la apariencia de sitios web legítimos, aprovechándose de los usuarios que escriben o leen mal las URL.
Publicidad paga falsa
La publicidad paga es otra táctica utilizada para cometer fraude. Estos anuncios (falsos) utilizan nombres de dominio que los atacantes han escrito y pagado para aparecer en los resultados de búsqueda. El sitio web puede incluso aparecer entre los primeros resultados de búsqueda en Google.
Atacar el abrevadero
En un ataque de abrevadero, los estafadores analizan a los usuarios y determinan los sitios web que visitan con frecuencia. Escanean estos sitios web en busca de vulnerabilidades e intentan inyectar scripts maliciosos diseñados para atacar a los usuarios la próxima vez que visiten ese sitio web.
Suplantación de identidad y entrega de regalos falsos.
Este es el acto de hacerse pasar por figuras influyentes en las redes sociales. Los estafadores pueden hacerse pasar por líderes clave de empresas y anunciar obsequios o participar en otras estafas. Las víctimas de este truco pueden incluso ser atacadas personalmente mediante procesos de ingeniería social destinados a encontrar usuarios desprevenidos. Los actores pueden piratear cuentas verificadas y modificar nombres de usuario para hacerse pasar por personajes reales mientras mantienen su estado verificado.
Recientemente, los estafadores han atacado fuertemente plataformas como Discord, X y Telegram con el mismo objetivo: falsificar chats, hacerse pasar por personas e imitar servicios legítimos.
Aplicación maliciosa
Los estafadores también pueden utilizar aplicaciones maliciosas que rastrean su comportamiento o roban información confidencial. Estas aplicaciones pueden servir como rastreadores de precios, billeteras y otras herramientas relacionadas con las criptomonedas (con una base de usuarios que tiende a comerciar y poseer criptomonedas).
SMS y suplantación de voz
Una forma de suplantación de identidad basada en mensajes de texto, a menudo realizada mediante SMS o mensajes de voz, que anima a los usuarios a compartir información personal.
Compara los ataques de phishing con pharming
Aunque algunas personas consideran que el pharming es un tipo de ataque de phishing, este se basa en un mecanismo diferente. La principal diferencia entre phishing y pharming es que el phishing requiere que la víctima cometa un error. Por el contrario, el pharming sólo requiere que la víctima intente acceder a un sitio web legítimo cuyos registros DNS hayan sido comprometidos por el atacante.
Ataques de phishing en el sector blockchain y las criptomonedas
Si bien la tecnología blockchain ofrece una sólida seguridad de los datos debido a su naturaleza descentralizada, los usuarios del espacio blockchain deben tener cuidado con la ingeniería social y los intentos de phishing. Los ciberdelincuentes a menudo intentan explotar las vulnerabilidades humanas para obtener acceso a claves o credenciales privadas. En la mayoría de los casos, las estafas se basan en errores humanos.
Los estafadores también pueden intentar engañar a los usuarios para que revelen frases mnemotécnicas o transfieran dinero a direcciones falsas. Es importante ser cauteloso y seguir las mejores prácticas de seguridad.
Resumen
En resumen, comprender los ataques de phishing y mantenerse informado sobre las técnicas de phishing es muy importante para que los inversores protejan su información personal y financiera. Al combinar poderosas medidas de seguridad, aprendizaje y concientización, las personas y las organizaciones pueden fortalecer sus defensas contra las amenazas siempre presentes de los ataques de phishing en un mundo digital, donde todo está interconectado. ¡Manténgase SAFU!
Leer más:
5 consejos para proteger tus criptoactivos
5 formas de mejorar la seguridad de tu cuenta de Binance
Cómo mantenerse seguro en el comercio entre pares (P2P)
Descargo de responsabilidad: Este contenido se le proporciona "tal cual" para información general y fines educativos únicamente sin representación ni garantía de ningún tipo. No debe interpretarse como asesoramiento financiero, legal ni de otro tipo profesional, ni pretende ser una recomendación para comprar ningún producto o servicio específico. Debe buscar su propio consejo de asesores profesionales adecuados. En los casos en que los artículos sean aportados por colaboradores externos, tenga en cuenta que las opiniones expresadas pertenecen al colaborador externo y no reflejan necesariamente las opiniones de Binance Academy. Lea nuestro descargo de responsabilidad completo aquí para obtener más detalles. Los precios de los activos digitales pueden fluctuar. El valor de su inversión puede aumentar o disminuir y es posible que no recupere la cantidad que invirtió. Usted es el único responsable de sus decisiones de inversión y Binance Academy no es responsable de las pérdidas en las que pueda incurrir. Este material no debe interpretarse como asesoramiento financiero, legal o de otro tipo. Para obtener más información, consulte nuestros Términos de uso y Advertencia de riesgos.
