¿Qué es el phishing, ciberestafa con la que te engañan a través de mensajes y correos?

El 55% de los consumidores en México fueron víctimas de al menos un ataque de phishing, de acuerdo con el estudio Retail Report de 2024 de Ayden, mientras que Kaspersky registró 43 millones de ataques tan sólo en 2023.

Por esta razón, expertos de la propia empresa de ciberseguridad explican de qué se trata esta ciberestafa, así como las recomendaciones de protección para no sufrir robos de datos o dinero.

[TE RECOMENDAMOS: ¡No lo abras por nada! Alertan de fraude por falso mensaje de Pensión Mujeres con Bienestar en WhatsApp]

¿Qué es el phishing?

En los ataques de phishing, los cibercriminales convencen a sus víctimas para que realicen alguna acción que le permitirá al estafador acceder a sus dispositivos, cuentas o información personal, según Kaspersky.

¿Cómo lo hacen? Haciéndose pasar, a través de correos electrónicos o mensajes de texto, por una persona u organización en la que el usuario confía para infectar un dispositivo con malware o robar los datos de una tarjeta de crédito con mayor facilidad.

Se trata de estrategias de ingeniería social que “seducen” a las víctimas para que confíen y brinden información valiosa. “Podría ser cualquier dato, desde tu nombre de usuario en una red social hasta tu identidad completa a través de tu número de seguridad social“, alertan los especialistas.

Es posible que estas estrategias insistan para que el usuario abra un archivo adjunto, haga clic en un vínculo, complete un formulario o responda y brinde su información personal.

Tipos de phishing

Kaspersky detalló múltiples ejemplos de ataques de phishing que se han presentado a lo largo de los años para alertar a los usuarios y enseñarles a identificarlos para no caer, entre ellos:

• Correos electrónicos de phishing que aparecen en la bandeja de entrada de tu correo electrónico. Suele ser una solicitud para hacer clic en un vínculo, enviar un pago, responder y brindar información privada o abrir un archivo adjunto. El correo electrónico del remitente podría estar modificado para parecerse a uno real e incluir información que te suene personal.
• La suplantación de dominio es una forma conocida en la que un estafador puede imitar las direcciones de correo electrónico. En estas estafas se toma el dominio real de una empresa (por ejemplo, @bancomexico.com) y se modifica. Podrías abrir un correo electrónico de una dirección como “@bancmexico.com” y convertirte en una víctima.
• Los estafadores de phishing por voz (vishing) te llaman y se hacen pasar por una persona o empresa real para engañarte. Pueden redirigir tu llamada de un mensaje automático y enmascarar su número telefónico. Estos estafadores intentarán que permanezcas en la llamada e insistirán para que realices alguna acción.
• El phishing por mensaje de texto (smishing) se parece al vishing. En una estafa de este tipo se imita a una organización real a través de un mensaje de texto breve urgente para engañarte. Habitualmente, el mensaje incluye un vínculo o un número telefónico que el estafador desea que utilices. Los servicios de mensajería móvil también están en riesgo.
• El phishing de redes sociales involucra a delincuentes que intentan que caigas en la trampa a través de publicaciones o mensajes directos. Algunas estafas son evidentes, como los obsequios o las páginas de organizaciones “oficiales” sospechosas que tienen una solicitud urgente. Otros estafadores podrían hacerse pasar por amistades o forjar una relación a largo plazo antes de “atacarte” para concretar el plan.
• El phishing de clonación consiste en duplicar un mensaje real enviado previamente, en el que se sustituyen los archivos adjuntos y vínculos legítimos por otros maliciosos. Podría aparecer en correos electrónicos, pero también en cuentas de redes sociales y mensajes de texto falsos.

En otros casos, los expertos señalan que los cibercriminales pueden hacerse de sitios web legítimos que podrían manipularse o imitarse mediante las siguientes tácticas:

• El phishing de abrevadero se dirige a sitios web populares que muchas personas visitan. Un ataque de este tipo podría intentar aprovechar las vulnerabilidades del sitio para realizar diversos ataques de phishing. En estas estafas, se suele enviar malware, redireccionar vínculos y aplicar otras estrategias.
• El pharming (envenenamiento de caché de DNS) usa malware o vulnerabilidades del sitio en línea para redirigir el tráfico de sitios web seguros a sitios de phishing. Escribir la dirección URL de forma manual continuará redirigiendo a los visitantes al sitio malicioso si este es víctima de pharming.
• El typosquatting (secuestro de URL) intenta atrapar a personas que escriben incorrectamente la dirección URL de un sitio web. Por ejemplo, podría crearse un sitio web en el que solo difiere en una letra del real. Escribir “wallmart” en lugar de “walmart” podría redirigirte a un sitio malicioso.
• El clickjacking aprovecha las vulnerabilidades de un sitio web para incrustar cajas de captura ocultas. Estas obtienen las credenciales de inicio de sesión de los usuarios y cualquier otro dato que puedas ingresar en el sitio aparentemente seguro.
• El tabnabbing se produce cuando una página fraudulenta desatendida se recarga imitando el inicio de sesión de un sitio válido. Cuando vuelvas a visitarla, podrías creer que es real y entregar el acceso a tu cuenta sin saberlo.
• El phishing HTTPS da a un sitio web malicioso la ilusión de seguridad con el clásico indicador del “candado junto a la barra de URL”. A pesar de que este signo de cifrado solía ser exclusivo de los sitios verificados como seguros, ahora cualquier sitio puede obtenerlo. De esta forma, la conexión y la información que envíes podría bloquearse a personas externas, pero seguirías manteniendo la conexión con el delincuente.

En último lugar, Kaspersky precisa algunos tipos de phishing adicionales a los que los usuarios tendrían que estar alerta:

• El phishing de resultados de motores de búsqueda utiliza métodos para conseguir que una página web fraudulenta aparezca antes que una legítima en los resultados de búsqueda. También se conoce como phishing SEO o phishing SEM. Si no prestas atención, podrías hacer clic en una página maliciosa en lugar de en la real.
• En un ataque de phishing Angler, un atacante finge ser un representante del Servicio al cliente de una empresa real para que reveles información. En redes sociales, una cuenta de ayuda falsa descubre tus menciones de una empresa para responderte con un mensaje de asistencia falso.
• Los ataques BEC (de vulneración del correo electrónico empresarial) recurren a varias formas para infiltrarse en el círculo de comunicaciones de una empresa y obtener información valiosa. Esto puede incluir hacerse pasar por una persona en un puesto directivo o un proveedor con una factura falsa para iniciar transacciones como transferencias bancarias.
• El phishing de criptomonedas se dirige a quienes tienen billeteras de criptomonedas. En lugar de usar planes a largo plazo para minar criptomonedas, estos delincuentes intentan robarles a quienes ya tienen estos fondos.

¡Tú podrías ser víctima! Estas son las consecuencias de estos ataques

El phishing puede afectar a cualquier persona, sin importar la edad, en su vida personal o laboral. “Cualquier persona que use Internet o un teléfono puede ser objetivo de las estafas de phishing”, señala Kaspersky.

En caso de que una persona sea víctima de este tipo de ciberdelitos, las consecuencias podría ser alguna de las siguientes:

• Infectar tu dispositivo con malware.
• Robar tus credenciales privadas para obtener tu dinero o tu identidad.
• Obtener el control de tus cuentas en línea.
• Convencerte para que envíes dinero o información valiosa de forma voluntaria.

Cabe destacar que, si el hacker accede al correo electrónico, lista de contactos o cuenta de redes sociales de cualquier persona, puede enviar correos no deseados a las personas que conoce con mensajes de phishing haciéndose pasar por la víctima.

“La confianza y la urgencia es lo que hace que el phishing sea tan traicionero y peligroso. Si un delincuente logra que confíes y actúes antes de pensar, eres un objetivo fácil”, dice la empresa de ciberseguridad.

Aprende a identificar un ataque de phishing

Además, Kaspersky reafirmó cómo suelen manifestarse los ataques de phishing de cualquier tipo conocido:

• Abres un correo electrónico y de repente aparece una alerta de tu banco en la bandeja de entrada. Cuando haces clic en el vínculo que aparece en el correo electrónico, se te dirige a una página web que presenta un aspecto parecido al de tu banco.
• Pero aquí está el truco: el sitio en realidad se diseñó para robarte información. La alerta indicará que hay un problema con tu cuenta y te solicitará que confirmes tu nombre de usuario y contraseña.
• Después de ingresar tus credenciales en la página que aparece, se te dirige normalmente a la institución real para vuelvas a ingresar tu información. Al redirigirte a la institución verdadera, no te das cuenta inmediatamente de que te acaban de robar información.

Es pertinente mencionar que estas amenazas pueden llegar a ser muy elaboradas y aparecen en todo tipo de comunicaciones, incluso llamadas. El peligro del phishing es que puede engañar a cualquier persona que no dude de los más mínimos detalles.

Ejemplos de este tipo de vulneraciones

• Estafas de phishing de ciberataque de Irán: utilizan un correo electrónico ilegítimo de Microsoft y solicitan que inicies sesión para restaurar tus datos en un intento por robar tus credenciales de Microsoft. Los estafadores aprovechan tu miedo a quedarte sin Windows y la relevancia de una noticia actual para que parezca creíble.
• Alertas de eliminación de Office 365 son otra estafa relacionada con Microsoft que se utiliza para obtener tus credenciales. Esta estafa por correo electrónico asegura que se eliminaron muchos archivos de tu cuenta y te envían un vínculo para que inicies sesión, lo que por supuesto provoca que tu cuenta se ponga en riesgo.
• Aviso del banco. Esta estafa te engaña mediante una notificación falsa sobre tu cuenta. En general, en estos correos electrónicos encontrarás un conveniente vínculo que te redirige a un formulario web en el que debes brindar tus datos bancarios para “verificarlos”. No brindes tus datos. En su lugar, llama a tu banco, ya que de seguro querrán actuar frente a estos correos electrónicos maliciosos.
• Correo electrónico de una “amistad”. Esta estafa parece provenir de una amistad conocida que está en el exterior y necesita tu ayuda. Esta “ayuda” suele implicar el envío de dinero. Entonces, antes de enviarle dinero a “tu amistad”, llama y verifica que realmente sea verdad.
• Correo electrónico de premio de concurso o herencia. No te emociones si ganas algo inesperadamente o recibes una herencia de un familiar que nunca conociste. Porque la mayoría de las veces estos correos electrónicos son estafas que requieren que hagas clic en un vínculo para ingresar tu información para el envío del premio o la verificación de la “herencia”.
• Reembolso impositivo. Esta es una estafa de phishing muy común, ya que muchas personas pagan impuestos anuales. Por lo general, en estos mensajes de phishing te informan que puedes ser elegible para recibir un reembolso por tus impuestos o debes someterte a una auditoría. Luego te piden que envíes una solicitud de reembolso impositivo o un formulario fiscal (en el que debes brindar todos tus datos), que los estafadores usarán luego para robar tu dinero o vender tus datos.

¿Cómo protegerte de un ataque de este tipo?

Lo primero que se puede hacer para estar protegido ante ataques de phishing es usar el sentido común antes de compartir información confidencial en internet, según Kaspersky.

Por otro lado, si un usuario recibe una alerta del banco u otra institución importante, nunca se debe hacer clic en el enlace en el correo electrónico. En su lugar, es pertinente abrir una ventana del navegador y escribir la dirección directamente en el campo de la dirección URL para asegurarte de que el sitio web sea real.

Otro indicador importante de un sitio de phishing es si el mensaje tiene errores ortográficos y si el sitio presenta un aspecto poco profesional. Los hackers a menudo crean los sitios de phishing muy deprisa, por lo que pueden resultar significativamente diferentes a los de la empresa original.

Te recomendamos:

NASA comparte divertido video de un cohete encendiendo una chimenea de Navidad

¿A qué se debe el frío intenso que se vive en México? Esto dice la UNAM

Video

Astronautas celebran el Día de Acción de Gracias en gravedad cero desde el espacio

YouTube destaca el papel de Claro Sports para elevar a los Juegos Olímpicos en México