Concepto y principios del phishing

Resumen

• El phishing es un comportamiento malicioso en el que el atacante se disfraza como una entidad confiable para engañar a las personas y hacer que revelen información sensible.

• Mantente alerta ante el phishing, prestando atención a algunas señales comunes, como URLs sospechosas y solicitudes urgentes de información personal.

• Conoce las diversas técnicas de phishing, como los fraudes por correo electrónico comunes y el sofisticado phishing de arpón, para mejorar tus defensas de ciberseguridad.

Introducción

El phishing es una técnica maliciosa que ataca a otros, donde los delincuentes se hacen pasar por fuentes confiables para engañar a otros a compartir datos sensibles. En este artículo, presentaremos el concepto y el funcionamiento del phishing, así como las formas de evitar caer en la trampa.

El principio del phishing

El phishing depende en gran medida de técnicas de ingeniería social, donde los atacantes manipulan a otros para que revelen información confidencial. Los atacantes recopilan información personal de fuentes públicas (como redes sociales) y falsifican correos electrónicos que parecen genuinos. Las víctimas a menudo reciben mensajes maliciosos que parecen provenir de contactos conocidos o de organizaciones reconocidas.

La forma más común de phishing es enviar correos electrónicos que contienen enlaces o archivos adjuntos maliciosos. Al hacer clic en estos enlaces, los usuarios pueden instalar malware en sus dispositivos o visitar sitios web falsos que intentan robar información personal y financiera.

Identificar correos electrónicos de phishing de mala calidad es relativamente fácil, pero los delincuentes cibernéticos están utilizando herramientas avanzadas como chatbots y generadores de voz de inteligencia artificial para mejorar su capacidad de engañar. Esto hace que sea difícil para los usuarios distinguir la autenticidad de los correos electrónicos.

Identificación de intentos de phishing

Los correos electrónicos de phishing son difíciles de identificar, pero aún puedes hacer juicios a través de algunas señales.

Señales comunes

Si un correo electrónico contiene URLs sospechosas, utiliza direcciones de correo electrónico públicas, provoca miedo o urgencia, solicita información personal o contiene errores de ortografía y gramática, debes tener mucho cuidado. En la mayoría de los casos, al pasar el mouse sobre el enlace, se mostrará la URL, permitiéndote verificar sin hacer clic.

Estafas que suplantan plataformas de pago digitales

Los phishers a menudo se hacen pasar por proveedores de servicios de pago en línea de confianza, como PayPal, Venmo y Wise. Envía correos electrónicos fraudulentos instando a los usuarios a verificar su información de inicio de sesión. Mantente alerta y reporta actividades sospechosas.

Ataques de phishing suplantando instituciones financieras

Los estafadores se hacen pasar por bancos o instituciones financieras, afirmando que hay vulnerabilidades de seguridad para obtener información personal. Las tácticas comunes incluyen enviar correos electrónicos fraudulentos relacionados con transferencias o depósitos directos a nuevos empleados. También pueden afirmar que hay actualizaciones de seguridad urgentes.

Estafas de phishing relacionadas con el trabajo

En estas estafas personalizadas, los atacantes se hacen pasar por ejecutivos, directores ejecutivos o directores financieros, solicitando transferencias o alegando que necesitan comprar suministros. Los estafadores también pueden utilizar generadores de voz de inteligencia artificial en llamadas para realizar phishing por voz.

Cómo prevenir ataques de phishing

Al prevenir ataques de phishing, es esencial tomar múltiples medidas de seguridad. Evita hacer clic directamente en cualquier enlace. Primero visita el sitio web oficial de la empresa o verifica el contenido publicado en sus canales de comunicación para validar la información recibida. Puedes utilizar herramientas de seguridad como software antivirus, firewalls y filtros de correo no deseado.

Además, las empresas deben utilizar estándares de verificación de correo electrónico para validar los correos electrónicos entrantes. Los métodos comunes de verificación de correo electrónico incluyen DKIM (DomainKeys Identified Mail) y DMARC (Domain-based Message Authentication, Reporting, and Conformance).

Los individuos deben informar a amigos y familiares sobre los riesgos del phishing. Las empresas deben educar a sus empleados sobre las técnicas de phishing y llevar a cabo capacitaciones periódicas para aumentar la conciencia y reducir los riesgos.

Si necesitas más información y asistencia, sigue sitios web gubernamentales como OnGuardOnline.gov y organizaciones como grupos de trabajo contra el phishing. Ofrecen recursos y guías más detalladas sobre cómo identificar, evitar e informar sobre ataques de phishing.

Tipos de phishing

A medida que la tecnología de phishing continúa evolucionando, los métodos de estafa de los delincuentes también se diversifican. El phishing generalmente se clasifica según el objetivo y el vector de ataque. A continuación, exploraremos esto en detalle.

Phishing clonador

Los atacantes pueden utilizar correos electrónicos legítimos enviados previamente, copiando su contenido en correos similares que contienen enlaces a sitios web maliciosos. También pueden afirmar que este es un enlace actualizado o recién generado, señalando que el enlace anterior era incorrecto o había caducado.

Phishing de arpón

Este tipo de ataque se dirige principalmente a una sola persona o entidad. El ataque de arpón es más complejo que otros tipos de phishing, ya que el atacante investiga a su objetivo con anticipación y ataca con precisión. Recopilan información sobre la víctima (como nombres de amigos o familiares) y utilizan esos datos para engañar a la víctima para que visite un sitio web malicioso.

Domain Spoofing

Los atacantes pueden alterar los registros de caché DNS para que, al acceder a un sitio web legítimo, los usuarios sean redirigidos a un sitio web fraudulento que el atacante ha preparado con anticipación. Este tipo de ataque es altamente peligroso. Dado que los registros DNS no están bajo el control del usuario, no pueden defenderse en absoluto.

Ataque de pesca con ballena

Una forma de phishing de arpón que tiene como objetivo a personas ricas y de importancia (como directores ejecutivos y funcionarios del gobierno).

Fraude por correo electrónico

Los delincuentes a menudo se hacen pasar por empresas o personas legítimas para enviar correos electrónicos de phishing, proporcionando enlaces a sitios web maliciosos a víctimas desprevenidas. Utilizan páginas de inicio de sesión disfrazadas para recopilar credenciales de inicio de sesión e información personal de las víctimas. Estas páginas pueden contener troyanos, keyloggers y otros scripts maliciosos diseñados para robar información personal.

Redirección de sitios web

La redirección de sitios web lleva a los usuarios de la URL que desean visitar a otra URL. Los delincuentes explotan vulnerabilidades, insertan comandos de redirección e instalan malware en la computadora del usuario.

Dominios mal escritos

Los dominios mal escritos desvían el tráfico hacia sitios web falsos que tienen pequeñas diferencias con los dominios de nivel superior, utilizando ortografía en otros idiomas o errores comunes. Los pescadores utilizan estos nombres de dominio para hacerse pasar por sitios web legítimos. Cuando los usuarios leen mal o escriben incorrectamente la URL, terminan en estos sitios falsos.

Anuncios falsos pagados

Los anuncios pagados son otra táctica de phishing. Los atacantes utilizan anuncios falsos para impulsar dominios mal escritos en los resultados de búsqueda. Estos sitios pueden incluso aparecer en los resultados de búsqueda populares de Google.

Ataques de watering hole

En un ataque de watering hole, los phishers analizan el comportamiento del usuario y determinan los sitios web que visitan con frecuencia. Escanean estos sitios en busca de vulnerabilidades e intentan inyectar scripts maliciosos para atrapar a las víctimas en su próximo acceso a esos sitios.

Suplantación de identidad y regalos falsos

Suplantación de figuras influyentes en redes sociales. Los phishers pueden hacerse pasar por los líderes de la empresa, publicar anuncios de regalos o engañar de otras maneras. Pueden incluso utilizar técnicas de ingeniería social, apuntando a usuarios susceptibles a ser engañados uno a uno. Los delincuentes pueden comprometer cuentas verificadas, modificando los nombres de usuario para hacerse pasar por personas reales, pero sin alterar el estado de verificación de la cuenta.

Recientemente, los phishers han intensificado sus ataques en plataformas como Discord, X y Telegram con el mismo propósito: enviar mensajes de chat fraudulentos, hacerse pasar por personas e imitar servicios legítimos.

Aplicaciones maliciosas

Los phishers también pueden usar aplicaciones maliciosas para monitorear tus actividades o robar información sensible. Estas aplicaciones pueden hacerse pasar por rastreadores de precios, billeteras y otras herramientas relacionadas con criptomonedas (cuyos usuarios suelen comerciar y mantener criptomonedas).

Phishing por SMS y voz

Esta es una forma de phishing que utiliza mensajes de texto como medio. Los delincuentes suelen enviar mensajes de texto o mensajes de voz que animan a los usuarios a compartir información personal.

Phishing y Domain Spoofing

Aunque algunas personas consideran que el domain spoofing también es un tipo de phishing, su funcionamiento es completamente diferente. La principal diferencia entre phishing y domain spoofing es que en el phishing, los delincuentes tienen éxito solo cuando la víctima comete un error involuntario. En el domain spoofing, los registros DNS de un sitio legítimo han sido alterados por el atacante, y la víctima caerá en la trampa simplemente intentando acceder a ese sitio.

Phishing en el ámbito de blockchain y criptomonedas

Aunque la tecnología blockchain ofrece una fuerte seguridad de datos gracias a su naturaleza descentralizada, los usuarios en este campo aún deben estar alerta ante ataques de ingeniería social y intentos de phishing. Los cibercriminales a menudo explotan las debilidades humanas para obtener claves privadas o credenciales de inicio de sesión. En la mayoría de los casos, los delincuentes solo tienen éxito cuando la víctima comete un error.

Los estafadores también pueden intentar engañar a los usuarios para que revelen sus frases de recuperación o transfieran fondos a direcciones falsas. Asegúrate de seguir las prácticas más seguras y ten cuidado de no caer en trampas.

Conclusión

En resumen, comprender el phishing y mantenerse al tanto de las últimas técnicas es crucial para proteger la información personal y financiera. Tanto individuos como organizaciones pueden tomar medidas de seguridad robustas, difundir el conocimiento pertinente y aumentar la conciencia sobre la prevención, para resistir las omnipresentes amenazas de phishing en un mundo digital interconectado. ¡Trabajemos juntos para garantizar la seguridad de los fondos!

Lectura adicional

• 5 consejos para proteger la seguridad de los activos de criptomonedas

• Cinco formas de mejorar la seguridad de tu cuenta de Binance

• Cómo realizar transacciones P2P (C2C) de manera segura

Descargo de responsabilidad: El contenido de este artículo se proporciona 'tal cual' solo con fines informativos y educativos y no constituye ninguna declaración o garantía. Este artículo no constituye asesoramiento financiero, legal o de otro tipo, y no pretende recomendar la compra de ningún producto o servicio específico. Debe buscar asesoramiento de un profesional adecuado. Si este artículo fue enviado por un tercero, tenga en cuenta que las opiniones expresadas son del autor del artículo y no necesariamente reflejan las opiniones de Binance Academy. Para más detalles, haga clic aquí para leer el descargo de responsabilidad completo. Los precios de los activos digitales pueden ser volátiles. El valor de su inversión puede disminuir o aumentar, y puede que no recupere el capital invertido. Usted es el único responsable de sus decisiones de inversión, y Binance Academy no será responsable de ninguna pérdida que pueda sufrir. Este artículo no constituye asesoramiento financiero, legal o de otro tipo. Para más detalles, consulte nuestros (Términos de uso) y (Advertencias de riesgo).