Phishing: Descubre qué es y como evitarlo
By hubadmin
miércoles, Jun 10
[read_meter]

El phishing es un tipo de ataques informático que viene desde los 90’s y con el tiempo ha tomado más cantidad de víctimas. Sin embargo, es uno de los más fáciles de identificar. En este artículo te contamos qué es el phishing, cómo evitar ser engañado y qué hacer si eres víctima de phishing o si tu sitio ha sido clonado. Aquí te compartimos las técnicas recomendadas por Mardoqueo Carranza, especialista en comercio electrónico y banca en línea, quién se enfrenta a esto de forma frecuente.

Por facilidad de lectura, te incluimos aquí el temario general:

¿Qué es phishing y cómo funciona?

Phishing es el término dado a un modelo de estafa digital orientada a capturar datos sensibles como números de tarjeta de crédito o credenciales bancarias. El nombre viene como una derivación de «fishing» (pescar, en idioma inglés), donde el ciberdelincuente lanza un anzuelo esperando que varios peces caigan. El «anzuelo» más comúnmente utilizado es una página web que se mira muy parecida a otra de confianza (tu banco, Amazon, Netflix, etc).

Conoce más acerca del origen del phishing: Suplantación de identidad (phishing)

¿Cómo funciona el phishing?

Aquí te mostramos una infografía con el flujo de «trabajo» que los ciberdelincuentes siguen. Luego te explicamos paso a paso.

infografia: Como funciona el phishing

Si tu empresa maneja datos de muchas personas (alto volumen) o datos sensibles en general (alta calidad) es probable que seas un objetivo de Phishing. Esto sucedería de la siguiente manera:

  • Tu sitio web sería clonado. Copiar un sitio web no es complicado, haciendo que se vea muy parecido, incluso idéntico, al original.
  • El sitio clonado es colocado en Internet bajo un dominio confusamente parecido al tuyo. Por ejemplo, omitiendo una letra del nombre o remplazando una letra «l» por un número «1». Para el ejemplo de la infografía, el sitio original es mibanco.com y el sitio de copia es mibnco.com (omitiendo la letra»a»). Esta práctica es conocida como Typosquatting. Debes notar que el sitio copiado no tendrá un certificado de seguridad válido y por tanto no verás el candado SSL.

  • Los cibercriminales inician una campaña por correo electrónico masiva a tus clientes, enviando notificación que hay una transacción pendiente, o que le cerrarás la cuenta, etc. El correo tiene un link que lleva al sitio clonado. En algunos casos lo pueden enviar el link por WhatsApp.
    Puedes ver un ejemplo de email phishing de Paypal.

  • Tus clientes, si caen en la trampa, dan click al link y llegan al sitio clonado. Una vez en el sitio web clonado, llenan datos de acceso (usuario/contraseña) o «verificación de datos» incluyendo tarjetas de crédito. Luego de ingresar la información, esta es capturada y, para evitar sospechas, los usuarios son dirigidos al sitio legítimo- como si fuera un error de conexión. Aquí se consuma el phishing.

¿Cómo evitar caer en phishing como usuario?

1. Identifica correos electrónicos

Los delincuentes normalmente envían correos masivos urgiendo a cambiar entrar al sitio web que han suplantado. Normalmente utilizan titulares diseñados para que te muevas rápido. Estas son algunas de las técnicas que utilizan:

  • Utilizan el nombre de una empresa o personal de dicha empresa que te genera confianza – esto es muy fácil de disfrazar.
  • Incluyen links/URLs que visualmente son igual al original, pero la dirección final es diferente.
  • Como anzuelo o gancho utilizan regalos o amenazas, incluso, que te bloquearan tu cuenta si no procedes a proporcionarles la información que te piden.

2. Nunca ingreses a la página web de tu banco por medio de correos electrónicos

Nunca ingreses a hipervínculos o links por medio de los correos electrónicos, porque seguramente los ciberdelincuestes suplantan la identidad de esa página web, te dirigen a una web fraudulenta.

Recomendación: ingresa a la página web directamente desde tu navegador, digita personalmente la dirección de tu banco y verifica que su certificado de seguridad esté activo.

3. Seguridad en tu ordenador

La prevención es clave. Recuerda mantener tu equipo con un buen antivirus de manera que te alarmen o bloqueen este tipo de ataques.

Recomendación: mantén un buen antivirus actualizado, así como también, actualiza tu sistema operativo. Puedes utilizar la versión gratis de Avast o nuestro afiliado Panda Security.

4. Introduce datos confidenciales solo en webs seguras

Tus datos estarán seguros de acuerdo a la web en que los ingreses, si contienen un certificados SSL, puedes saber si una web es segura de acuerdo si comienza con ‘https://’ . Si quieres saber más de certificados SSL, ingresa al articulo descubre porqué un certificado de seguridad SSL es importante.

Recomendación: siempre que ingreses datos confidenciales verifica que el sitio comience con : ‘https://’ .

5. Evita descargar archivos adjuntos

Nunca descargues archivos adjuntos en tu equipo a menos que ya hayas seguido las indicaciones anteriores para estar seguros del usuario remitente. Estar seguros de la identidad del usuario o empresa es importante, de acuerdo a eso es que podrás o no descargar archivos adjuntos.

6. Incrementa tus conocimientos de ciberseguridad

Hay mucho contenido que aprender e implementar en el tema de ciberseguridad. Te invitamos a que te informes sobre ciberseguridad de fuentes oficiales y de nuestros artículos sobre ciberseguridad. Brindando soluciones a este tipo de problemas que actualmente incrementan el número de víctimas.

Puedes descargar gratis la Guía Esencial de Seguridad Informática, de Web Informática.

¿Qué hacer si tu, como persona, eres víctima de phishing y tus datos son robados?

  • Cambia datos confidenciales: los ciberdelincuentes pueden realizar muchas acciones con la información que has proporcionado, para evitar actualiza y cambia tu información.
  • Informa a tus compañeros y amigos: Si los delincuentes han ganado acceso a tu correo, whatsapp o redes sociales, pueden buscar engañar a tu red de contactos. Por otro lado, es usual que el phishing inicie con una campaña de email hacia varias personas de tu organización, así que te recomendamos que les informes a tus compañeros y al responsable de informática de tu empresa.
  • Denuncia: notifica del caso a tu banco proveedor y denuncia.
evitar caer en phishing

¿Qué hacer si tu sitio web o tienda en línea ha sido clonada para phishing?

Como vimos, la mayor parte de acciones de Phishing suceden fuera de tu control, pero aquí están las técnicas que recomendamos e implementamos con nuestros clientes:

Prevención de Phishing

  • Asegura que tu sitio tenga SSL activo y visible. Esto será una señal de alerta a tus clientes si entran a tu sitio y no ven el candado de seguridad.
  • Capacita a tus clientes. Repite en tus correos que nunca solicitarás información de ingreso por email ni por teléfono.
  • Reserva los nombres de dominio que son confusamente parecidos al tuyo. Algunos bancos con los que trabajamos mantienen un listado de cerca de cien dominios diferentes que podrían ser utilizados para phishing. Si necesitas apoyo con esto, puedes contactarnos o puedes buscar nombres de dominio baratos aquí.

Reacción ante Phishing detectado

Si tu sitio ha sido clonado y tus clientes te están notificando de esto, toma las siguientes medidas a la brevedad:

Las empresas deberían de tomar en cuenta la ciberseguridad con su equipo de trabajo para no caer y no ser víctima de phishing. Si tienes dudas adicionales sobre el tema puedes dejarlo en los comentarios y si conoces alguna recomendación adicional, compártela.

Business Category (Spanish)300x250

FitBit – Sponsored