10 maneras de detectar y evitar el Phishing
A menudo se dice que los humanos son el eslabón más débil cuando se trata de ciberseguridad. Esa vulnerabilidad es aprovechada por los ciberdelincuentes para manipular psicológicamente a sus víctimas y obtener información valiosa. Estos delincuentes de la ingeniería social atacan a los humanos, en lugar de a la tecnología, y así recopilar información útil para sus fines.
El phishing es la técnica de ataque de ingeniería social más utilizada, debido a que los delincuentes pueden llegar directamente a sus víctimas, haciéndose pasar por una persona, empresa o servicio de confianza (suplantación de identidad), para manipularla y que realice acciones que no debería cometer.
Mediante el uso de correo electrónico, llamada telefónica o mensaje de texto, pueden convencerle de facilitar información confidencial o hacer clic en un enlace que contiene un malware (programa malicioso) para extraer la información confidencial o privada, contenida en los equipos y sistemas que emplea la víctima.
Este tipo de ataques son especialmente difíciles de contrarrestar porque están específicamente diseñados para aprovechar la curiosidad, ofertas convenientes, el respeto por la autoridad y el deseo de ayudar a un amigo.
A continuación, se describen algunos recursos empleados por estos ciberdelincuentes y cómo identificarlas para no ser víctimas del phishing:
- No abra mensajes o correos electrónicos que no haya solicitado (spam) o de contactos desconocidos. Elimínelos inmediatamente. No conteste en ningún caso a estos mensajes o correos. Si por algún motivo decide leerlo, tenga cuidado de no hacer clic en los enlaces o descargar archivos adjuntos.
- Cuando dude si el mensaje es de un remitente de confianza, ¡Deténgase!, analice primero la dirección de correo del remitente, debido a que los correos de tipo phishing en ocasiones contienen remitentes que no coinciden con la organización a la que supuestamente representan.Los ciberdelincuentes emplean la técnica de suplantación de email llamada spoofing, que consiste en falsear o modificar el remitente, agregando números o letras que visualmente no se perciben, haciendo que su procedencia parezca de una entidad legítima, cuando en realidad no es así.
- Los correos electrónicos o mensajes de entidades legítimas suelen referirse a su destinatario utilizando nombre y apellidos. Por el contrario, los ciberdelincuentes no suelen conocer estos datos personales, por lo que las comunicaciones son impersonales o generalizados.
- Las entidades cuentan con personas cualificadas dedicadas a elaborar los comunicados que se envían a los clientes, de manera que un mensaje de correo electrónico con faltas evidentes de ortografía, probablemente sea fraudulento. Una auténtica comunicación de cualquier entidad no contendrá errores tipográficos, gramaticales o información incorrecta, ya que la comunicación con sus clientes es un aspecto muy cuidado.
- Los ciberdelincuentes quieren que usted actúe rápidamente, sin pensar. Es por eso que envían correos electrónicos o mensajes de texto pidiéndole que haga clic inmediatamente en un enlace, que realice una descarga o envíe información confidencial como la dirección de correo electrónico, nombre de usuario, contraseña, datos bancarios, de su tarjeta o PIN. Todo con el pretexto de evitar que suspendan su cuenta o sean sancionados por no acceder en tiempo y forma. Nunca responda apresuradamente a una solicitud de emergencia. Las solicitudes de acción urgente, suelen ser estafas de phishing.
- Tenga precaución al dar clic en enlaces, aunque sean de contactos conocidos. Los enlaces suelen aparentar que corresponden al contacto o entidad legítima. Para comprobar si el enlace lo dirige a donde realmente debe, puede situar el puntero del ratón encima, y sin hacer clic, verá el cuadro que se muestra en la pantalla con la verdadera dirección. No presione sobre vínculos o haga clic en enlaces acortados, o que apuntan a un sitio de terceros no relacionado con el remitente del correo electrónico.
- Recuerde que las entidades, por seguridad, no realizan llamadas telefónicas, mensajes de chats o correos electrónicos para actualizar sus datos. La entidad siempre le formularán preguntas de seguridad antes de permitirle efectuar cambios en su cuenta. De no ser así, la posibilidad de que se trate de un correo electrónico, llamada o mensaje fraudulento, es evidente.
- A menudo se menciona que se pueden verificar si los sitios o páginas web son fiables yendo a la barra de direcciones y revisando si se muestra el candado y el certificado de seguridad “HTTPS”. ¡Piénselo dos veces! ya que si estos certificados provienen de empresas como “Let’s Encrypt”, que pueden ser obtenidos gratuitamente, son utilizados activamente por los ciberdelincuentes para phishing. Algunos sitios web son construidos por estos delincuentes haciéndolos parecer familiares, pero si observa bien, contienen incoherencias o cosas que sospechosamente no están del todo bien.
- No comparta información personal o confidencial, como fotos de usted o de sus familiares, nombre de su mascota, apodos, números de cuenta, lugares que frecuenta o donde trabaja, ya sea en redes sociales o sitios públicos, ya que toda esta información es utilizada por los ciberdelincuentes para preparar sus ataques.
- Mantenga hábitos de seguridad en sus equipos y dispositivos móviles, como:
- Actualizar el sistema operativo, software, navegadores y aplicaciones instalados.
- Instale el software de seguridad como antivirus/antimalware de pago, para detectar, evitar y en algunos casos remediar ataques.
- Habilite el uso de contraseñas para acceder a sus dispositivos móviles y computadoras. No reutilice una sola contraseña para varias cuentas.
- Habilite el doble factor de autenticación en todas sus cuentas de correo como Google, Hotmail, Yahoo, etc., y en sus redes sociales.
Usted podrá realizar prácticas de phishing que Google ha dispuesto de manera segura para que las personas conozcan cómo identificarlas y puedan prevenirlas dando clic aquí.