Tipos de phishing más comunes en el mundo digital
El phishing es una de las amenazas más comunes a la que nos enfrentamos en nuestro día a día. Hay muchos tipos de phishing, y la mayoría sabemos qué es y cómo funciona, sin embargo, seguimos cometiendo errores y nos acaban atrapando.
La estafa, que involucra a delincuentes que envían mensajes donde se hacen pasar por organizaciones legítimas, se dirige a cientos de millones de organizaciones cada día. Los mensajes pretenden dirigir a los usuarios a un sitio web falso que captura su información personal o que contiene un archivo adjunto malicioso.
Aunque el objetivo final de los ladrones es siempre el mismo, han encontrado muchas formas de lanzar sus ataques. Estas son algunas de las formas más utilizadas.
Ataques en emails: el primer ejemplo de los tipos de phishing
La mayoría de los ataques de phishing se envían por correo electrónico. El ladrón registrará un dominio falso que imita el de una organización y envía miles de miles de solicitudes genéricas.
Aunque muchos somos conscientes de los ciberataques, según el informe Cyber Signal publicado por Microsoft, el 78 % de las empresas que son clientes de los servicios Azure no usan medidas fuertes para la autenticación.
Un ejemplo de los más comunes es usar el nombre de la organización en la parte local de la dirección de correo electrónico (como paypal@domainregistrar.com) con la esperanza de que el nombre del remitente simplemente aparezca como «PayPal» en la bandeja de entrada del destinatario.
Hay muchas maneras de detectar un correo electrónico de phishing, pero como regla general, siempre debemos verificar la dirección de correo electrónico de un mensaje en donde se nos pide hacer clic en un enlace o descargar un archivo adjunto.
Tipos de phishing relacionados con el correo electrónico: Spear phishing
Aunque el phishing selectivo utiliza también el correo electrónico, requiere un enfoque más específico. Los ciberdelincuentes comienzan utilizando inteligencia de código abierto para recopilar información de fuentes publicadas o disponibles públicamente, como las redes sociales o el sitio web de una empresa.
Luego, se dirigen a individuos específicos dentro de una organización utilizando nombres reales, funciones laborales o números de teléfono de trabajo para que los destinatarios crean que el correo electrónico es de otra persona de dentro de la organización. En última instancia, debido a que el destinatario cree que se trata de una solicitud interna, la persona realiza la acción mencionada en el correo electrónico.
Una de las filtraciones de datos más famosas de la historia reciente fue el hackeo del Comité Nacional Demócrata en EEUU, y se realizó a través del spear phishing.
Smishing and vishing: los móviles reemplazan los correos electrónicos
Tanto en el smishing como en el vishing, los teléfonos reemplazan a los correos electrónicos como método de comunicación. El smishing implica que los delincuentes envíen mensajes de texto y el vishing implica una conversación telefónica.
Una estafa de vishing común involucra a un criminal que se hace pasar por un investigador de fraude (ya sea de una compañía de tarjetas o del banco) y le dice a la víctima que su cuenta ha sido violada.
Luego, el delincuente le pedirá a la víctima que proporcione los detalles de su tarjeta de pago para verificar su identidad o que transfiera dinero a una cuenta ‘segura’, que corresponde a la cuenta del delincuente.
En resumen
Las organizaciones pueden mitigar el riesgo de phishing con medidas tecnológicas, como los filtros de correo no deseado, aunque estos han demostrado ser poco seguros. La clave es conocer bien los ciberataques que se utilizan hoy en día y saber evitarlos de manera exitosa. Dicen que dudar es bueno, así que si tienes alguna sospecha sobre el mensaje recibido, lo mejor es ignorar el mensaje y borrarlo o, directamente colgar si se trata de una llamada.