¿Qué es el phishing y cómo funciona?

¡Con cuidado! Mucho texto.

• El phishing es un tipo de fraude en el que los atacantes se hacen pasar por personas de confianza para obtener información confidencial.

• Tenga cuidado con las estafas de phishing: esté atento a URL sospechosas, solicitudes urgentes de información personal y otras señales.

• Conozca los diferentes métodos de phishing, desde correos electrónicos fraudulentos hasta phishing, y aprenda cómo protegerse en el ciberespacio.

Introducción

El phishing es un tipo de estafa en el que los atacantes se hacen pasar por personas de confianza y engañan a las víctimas para que revelen información confidencial. En este artículo hablaremos sobre qué es el phishing, cómo funciona y cómo protegerse de él.

Cómo funciona el phishing

El phishing se basa en la ingeniería social: los atacantes manipulan a las personas para obtener su información confidencial. Por ejemplo, los estafadores primero recopilan información personal de fuentes disponibles públicamente (como las redes sociales) y luego envían correos electrónicos que parecen genuinos. Las víctimas sienten que fueron escritas por organizaciones conocidas o de buena reputación.

La mayoría de las veces, las estafas de phishing utilizan correos electrónicos que contienen enlaces o archivos maliciosos. Si hace clic en ellos, su dispositivo puede infectarse con un virus o ser redirigido a un sitio falso diseñado para robar información personal y financiera.

Si un correo electrónico de phishing está mal redactado, es relativamente fácil de detectar. Pero algunos ciberdelincuentes utilizan herramientas avanzadas como chatbots y generadores de voz impulsados ​​por inteligencia artificial para dificultar que las víctimas distingan entre mensajes genuinos y fraudulentos.

Cómo reconocer los intentos de phishing

Reconocer los correos electrónicos de phishing puede resultar complicado, pero recomendamos prestar atención a ciertas señales.

Signos comunes

Tenga cuidado si el remitente envía direcciones sospechosas, utiliza una dirección de correo electrónico pública, intenta infundirle miedo o una acción urgente, solicita información personal o comete errores ortográficos o gramaticales. Para comprobar una URL, pase el cursor sobre el enlace sin hacer clic en él.

Ataques de phishing relacionados con pagos digitales

Los atacantes suelen hacerse pasar por conocidos servicios de pago en línea como PayPal, Venmo o Wise. Durante las estafas de phishing, los estafadores envían correos electrónicos falsos pidiéndole que confirme sus datos de inicio de sesión. Si recibe un correo electrónico de este tipo, esté alerta e informe cualquier actividad sospechosa.

Ataques de phishing relacionados con las finanzas

A veces los estafadores se hacen pasar por representantes de bancos o instituciones financieras y hablan de supuestas violaciones de seguridad. Por ejemplo, envían correos electrónicos falsos sobre transferencias de dinero o créditos. Los atacantes también pueden afirmar que se necesita urgentemente una actualización de seguridad.

Ataques de phishing relacionados con el trabajo

Los atacantes pueden hacerse pasar por ejecutivos o directores para convencer a las víctimas de que transfieran dinero o compren bienes inexistentes. Incluso pueden utilizar generadores de voz impulsados ​​por IA para realizar llamadas telefónicas.

¿Cómo evitar ser víctima de phishing?

Para protegerse de ataques de phishing, debe seguir medidas de seguridad. No haga clic en enlaces directamente; en su lugar, verifique la exactitud de la información en el sitio web oficial de la empresa o a través de sus canales. Intente conectar herramientas de seguridad como programas antivirus, firewalls y filtros de spam. 

Las organizaciones deben utilizar la autenticación de correo electrónico para validar los correos electrónicos entrantes. Los métodos comunes incluyen DKIM (correo identificado con claves de dominio) y DMARC (autenticación, informes y conformidad de mensajes basados ​​en dominio).

Se recomienda a las personas que adviertan a sus familiares y amigos sobre la posibilidad de phishing. Es importante que las empresas eduquen a los empleados sobre cómo protegerse del phishing y realicen capacitaciones periódicas para reducir los riesgos.

Si necesita ayuda o más información, busque ayuda de organizaciones como Anti-Phishing Working Group Inc o aproveche iniciativas gubernamentales como OnGuardOnline.gov. Ofrecen recursos detallados y orientación sobre cómo detectar, prevenir y reportar ataques de phishing.

Tipos de phishing

Los métodos de phishing mejoran constantemente y los ciberdelincuentes utilizan soluciones avanzadas en sus esquemas. En general, el phishing se divide en tipos según el propósito y la dirección del ataque. Echemos un vistazo más de cerca.

Clonar phishing

El atacante toma un correo electrónico genuino enviado previamente, lo copia y pega un enlace a un sitio malicioso. El estafador puede hacerse pasar por el remitente oficial y afirmar que el enlace ha sido actualizado o reemplazado porque el anterior tenía un error o caducó.

Phishing de lanza

Este tipo de ataque tiene como objetivo una persona u organización. El Spear phishing se considera más sofisticado porque implica que los atacantes precaractericen a la víctima. Primero, aprenden información importante sobre ella (por ejemplo, los nombres de amigos o familiares) y luego usan estos datos para atraer a la víctima a un sitio malicioso o convencerla de que descargue un archivo.

Agricultura

Un atacante modifica una entrada del Sistema de nombres de dominio (DNS) para que los visitantes sean redirigidos a un sitio falso en lugar de uno legítimo. Este tipo de ataque se considera el más peligroso porque los usuarios no pueden controlar los registros DNS y, por tanto, protegerse.

Ballenero

Una forma de phishing dirigido a personas ricas e importantes, como ejecutivos corporativos y funcionarios gubernamentales.

Falsificación de direcciones de correo electrónico

Estos correos electrónicos de phishing imitan mensajes de empresas o personas reales. Al mismo tiempo, los atacantes envían enlaces a sitios maliciosos con páginas de autorización falsas; si ingresa sus credenciales en ellos, los estafadores las recibirán. Estas páginas pueden contener troyanos, registradores de pulsaciones de teclas y otros scripts maliciosos diseñados para robar información personal.

Redirección a sitios

En estos esquemas, cuando el usuario navega al sitio real, se le dirige a una URL diferente. El atacante utiliza vulnerabilidades en el código para redirigir a la víctima o instalar malware en su computadora.

Tipos en cuclillas

Typesquatting dirige el tráfico a sitios falsos que deliberadamente cometen errores comunes en sus nombres, reemplazan letras con un diseño extraño y utilizan variaciones sutiles de mayúsculas y minúsculas. Los atacantes utilizan dominios para imitar sitios web oficiales y engañar a los usuarios para que escriban o malinterpreten las URL.

Anuncios pagados falsos

Los anuncios pagados son otro tipo de phishing. Los atacantes crean dominios falsos que se parecen a los oficiales y pagan para promocionarlos en los resultados de búsqueda. Como resultado, el sitio fraudulento puede incluso aparecer en la parte superior de los resultados de búsqueda de Google.

Ataques al abrevadero

Durante un ataque de abrevadero, los estafadores analizan a los usuarios e identifican los sitios visitados con frecuencia. Luego comprueban dichos sitios en busca de vulnerabilidades e intentan inyectarles scripts maliciosos para dañar a los visitantes.

Suplantación de identidad y engaños falsos

A veces, los estafadores se hacen pasar por personas influyentes en las redes sociales. Por ejemplo, se presentan como ejecutivos de la empresa y los convencen para que realicen alguna acción, como registrarse en un sorteo. Estos esquemas utilizan un enfoque individual con ingeniería social y buscan usuarios crédulos. Los estafadores pueden incluso piratear cuentas verificadas y cambiar nombres de usuario para hacerse pasar por una identidad real verificada.

Recientemente, los estafadores han estado utilizando activamente plataformas como Discord, X y Telegram para este propósito.

Aplicaciones maliciosas

Los estafadores pueden utilizar aplicaciones maliciosas que rastrean las actividades de los usuarios y roban su información confidencial. Podrían ser rastreadores de precios, billeteras y otras herramientas relacionadas con las criptomonedas. Al mismo tiempo, los atacantes se dirigen a usuarios interesados ​​en el espacio criptográfico.

Phishing por teléfono

Los estafadores pueden llamar, enviar mensajes de texto o mensajes de voz para convencer a las víctimas de que compartan información personal.

Phishing y pharming

Algunos consideran que el pharming es un tipo de phishing, pero sus principios difieren. La principal diferencia es que la víctima del phishing debe cometer un error. Y al realizar pharming, el usuario simplemente va al sitio web oficial y no sospecha que los atacantes han cambiado el registro DNS en el dominio.

Phishing en el campo de blockchain y criptomonedas

Aunque blockchain proporciona una sólida seguridad de los datos debido a la descentralización, los usuarios deben tener cuidado con la ingeniería social y el phishing. A menudo, los ciberdelincuentes se aprovechan de la credulidad de otros para obtener acceso a claves o credenciales privadas. En la mayoría de los casos, los estafadores dependen del factor humano.

También pueden engañar a los usuarios para que revelen una frase inicial o transfieran fondos a una dirección falsa. Tenga cuidado y siga las precauciones de seguridad.

En conclusión

Para proteger su información personal y financiera, debe comprender los principios del phishing y mantenerse al día con los avances en la tecnología del fraude. Utilice medidas de seguridad confiables, estudie las técnicas de los atacantes y siga las noticias. ¡Proteja sus activos con SAFU y otras soluciones!

Lectura recomendada

• 5 consejos para proteger las criptomonedas

• Cinco formas de aumentar la seguridad de su cuenta Binance

• Garantizar la seguridad en el comercio entre pares (P2P)

Descargo de responsabilidad: Los siguientes materiales se proporcionan "tal cual" sin garantía de ningún tipo para referencia general y fines educativos únicamente. Esta información no debe considerarse asesoramiento financiero, asesoramiento legal ni recomendación para comprar ningún producto o servicio específico. Debe buscar su propio consejo en asesores profesionales adecuados. Dado que este artículo fue escrito por un autor externo, tenga en cuenta que las opiniones expresadas son las del autor externo y no reflejan necesariamente los puntos de vista de Binance Academy. Para obtener información más detallada, siga el enlace. El valor de los activos digitales puede ser volátil. El valor de los fondos invertidos puede subir y bajar. Es posible que no recupere los fondos invertidos. Usted es el único responsable de sus decisiones de inversión. Binance Academy no se hace responsable de sus posibles pérdidas. Esta información no constituye asesoramiento financiero, legal o profesional. Para obtener más información, lea nuestros Términos de uso y Divulgación de riesgos.