¿Qué es el phishing?
El objetivo de los ataques de phishing es robar o dañar datos confidenciales engañando a los usuarios para que desvelen su información personal, como contraseñas y números de tarjetas de crédito.
Diferentes tipos de ataques de phishing
Los ataques de phishing provienen de estafadores que se hacen pasar por fuentes de confianza y pueden facilitar el acceso a todo tipo de datos confidenciales. A medida que evolucionan las tecnologías, también lo hacen los ciberataques. Obtén información sobre los tipos de phishing más generalizados.
Phishing de correo
Este tipo de ataque, que es la forma más habitual de phishing, utiliza tácticas como hipervínculos falsos para atraer a los destinatarios de correos y hacer que compartan su información personal. Los atacantes suelen hacerse pasar por un gran proveedor de cuentas como Microsoft o Google, o incluso por un compañero de trabajo.
Phishing de malware
Este tipo de ataque de phishing frecuente implanta malware camuflado como un archivo adjunto de confianza (como un currículum vítae o un extracto bancario) en un correo. En algunos casos, abrir un archivo adjunto con malware puede paralizar los sistemas de TI por completo.
Phishing de objetivo definido
Mientras que los ataques de phishing abarcan un radio amplio, el phishing de objetivo definido tiene como objetivo personas específicas y se aprovecha de la información recopilada al investigar sus trabajos y sus vidas sociales. El nivel de personalización de estos ataques es muy alto, por lo que sortean con eficacia la ciberseguridad básica.
Phishing de altos cargos
Cuando los usuarios malintencionados tienen como objetivo un "pez gordo", como el directivo de una empresa o una persona famosa, el ataque se denomina phishing de altos cargos. Estos estafadores suelen investigar en profundidad a sus objetivos con el propósito de encontrar el momento oportuno para robar sus credenciales de inicio de sesión u otra información confidencial. Si tú tienes mucho que perder, los atacantes de phishing de altos cargos tienen mucho que ganar.
Phishing por SMS (smishing)
El phishing por SMS o smishing (una combinación de las palabras "SMS" y "phishing") hace referencia al envío de mensajes de texto que se hacen pasar por comunicaciones de confianza de empresas como Amazon o FedEx. Las personas son especialmente vulnerables a las estafas por SMS, ya que los mensajes de texto se reciben en texto sin formato y se entienden como algo más personal.
Phishing por voz (vishing)
En las campañas de phishing por voz, los atacantes, desde centros de llamadas fraudulentos, intentan engañar a los usuarios para que proporcionen información confidencial por teléfono. En muchos casos, estas estafas utilizan ingeniería social para engañar a las víctimas y hacer que instalen malware en sus dispositivos en forma de aplicación.
Tácticas habituales de phishing
Comunicación engañosa
Los atacantes saben cómo manipular a sus víctimas y hacer que cedan datos confidenciales mediante el camuflaje de mensajes y archivos adjuntos malintencionados en lugares donde los usuarios no utilizan demasiado la perspicacia (por ejemplo, en la bandeja de entrada de correo). Es fácil suponer que los mensajes que llegan a tu bandeja de entrada son legítimos, pero ten cuidado: los correos de phishing suelen parecer seguros y discretos. Para evitar que te engañen, tómate tu tiempo y analiza los hipervínculos y las direcciones de correo de los remitentes antes de hacer clic.
Sensación de necesidad
Los usuarios son víctimas de phishing porque piensan que deben actuar. Por ejemplo, las víctimas pueden descargar malware camuflado como un currículum vítae porque necesitan contratar a alguien con urgencia o introducen sus credenciales bancarias en un sitio web sospechoso para recuperar una cuenta que creen que va a expirar pronto. Crear una falsa sensación de necesidad es un engaño habitual porque funciona. Para mantener tus datos protegidos, supervisa tus acciones de manera exhaustiva o instala tecnología de protección de correo que haga el esfuerzo por ti.
Falsa confianza
Los usuarios malintencionados engañan a los demás creando un falso clima de confianza: incluso los usuarios más perspicaces son víctimas de sus estafas. Haciéndose pasar por fuentes de confianza como Google, Wells Fargo o UPS, los usuarios que utilizan ataques de phishing pueden en engañarte y hacer que actúes antes de que te des cuenta de que te estafaron. Muchos mensajes de phishing pasan desapercibidos si no se aplican medidas de ciberseguridad avanzadas. Protege tu información privada con tecnología de seguridad de correo diseñada para identificar contenido sospechoso y deshacerse de él antes de que llegue a tu bandeja de entrada.
Manipulación emocional
Los usuarios malintencionados utilizan tácticas psicológicas para convencer a sus objetivos y hacer que actúen sin pensar. Después de crear un clima de confianza haciéndose pasar por una fuente familiar y generar una falsa sensación de urgencia, los atacantes se aprovechan de las emociones, como el miedo y la ansiedad, para conseguir lo que quieren. Los usuarios suelen tomar decisiones precipitadas cuando se les dice que van a perder dinero, que tendrán problemas legales o que ya no podrán tener acceso a un recurso muy necesario. Actúa con prudencia ante cualquier mensaje que te inste a "actuar ahora mismo", ya que puede ser fraudulento.
Los peligros de los correos de phishing
Un ataque de phishing exitoso puede tener consecuencias graves: robos de dinero, cargos fraudulentos en tarjetas de crédito, pérdida del acceso a fotos, videos y archivos, o incluso que los ciberdelincuentes se hagan pasar por ti y pongan a los demás en peligro.
En el ámbito laboral, entre los riesgos para la empresa se incluyen la pérdida de fondos corporativos, la exposición de la información personal de clientes y compañeros de trabajo, y el robo o la pérdida de acceso a archivos confidenciales, así como el deterioro de la reputación de la empresa. En muchos casos, el daño puede ser irreparable.
Por suerte, existen muchas soluciones para protegerse ante el phishing, tanto en casa como en el trabajo.
Sugerencias rápidas para evitar el phishing
Desconfía de los nombres para mostrar
Comprueba la dirección de correo del remitente antes de abrir el mensaje: el nombre para mostrar puede ser falso.
Revisa el texto en busca de erratas
Los correos de phishing suelen contener errores ortográficos y gramaticales. Si encuentras algo fuera de lugar, ponlo de relieve.
Mira antes de hacer clic
Desplaza el puntero sobre los hipervínculos del contenido que aparenta ser legítimo para examinar la dirección del vínculo.
Lee la forma de saludo
Si el correo se dirige a "Apreciado cliente" en vez de a ti, ten cuidado. Es probable que sea fraudulento.
Revisa la firma
Busca la información de contacto en el pie de página del correo. Los remitentes legítimos siempre la incluyen.
Ten cuidado con las amenazas
Las frases que infunden miedo como "Se suspendió tu cuenta" suelen aparecer en los correos de phishing.
Protégete contra los ciberataques
Las estafas de phishing y otras ciberamenazas están en constante evolución, pero hay muchas acciones que puedes llevar a cabo para protegerte.
Defiende los principios de la Confianza cero
Los principios de la Confianza cero, como la autenticación multifactor, el acceso suficiente y el cifrado de un extremo a otro, te protegen frente a las ciberamenazas en constante evolución.
Protege tus aplicaciones y dispositivos
Responde ante el phishing y otros ciberataques, además de evitarlos y detectarlos, con Microsoft Defender para Office 365.
Protege el acceso
Protege a los usuarios de ataques sofisticados mientras proteges tu organización de amenazas basadas en la identidad.
Preguntas más frecuentes
-
El principal objetivo de las estafas de phishing es robar credenciales e información confidencial. Desconfía de cualquier mensaje (por teléfono, correo o mensaje de texto) que te solicite datos confidenciales o que verifiques tu identidad.
Los atacantes se esfuerzan en imitar entidades de confianza y utilizarán los mismos logotipos, diseños e interfaces que las marcas o personas con las que ya estás familiarizado. Mantente alerta y no hagas clic en un vínculo ni abras un archivo adjunto a menos que estés seguro de que el mensaje es legítimo.
Estas son algunas sugerencias para reconocer un correo de phishing:
- Llamamientos a actuar o amenazas apremiantes (por ejemplo, "Abrir inmediatamente").
- Remitentes nuevos o poco habituales (cualquiera que te envíe un correo por primera vez).
- Errores de ortografía y gramaticales (normalmente como resultado de traducciones extranjeras de dudosa calidad).
- Vínculos o archivos adjuntos sospechosos (texto con hipervínculo que muestra vínculos de una dirección IP o un dominio diferente).
Faltas de ortografía sutiles (por ejemplo, "micros0ft.com" o "rnicrosoft.com").
-
- Anota todos los detalles del ataque que puedas recordar. Apunta cualquier información que puedas haber compartido, como nombres de usuario, números de cuenta o contraseñas.
- Cambia de inmediato las contraseñas en las cuentas afectadas y en cualquier lugar donde hayas podido usar la misma contraseña.
- Confirma el uso de la autenticación multifactor (o en dos pasos) en todas las cuentas que utilices.
- Informa a todas las partes interesadas de que tu información se puso en peligro.
- Si perdiste dinero o fuiste víctima de un robo de identidad, notifícalo a las autoridades locales correspondientes y a la Comisión Federal de Comercio (FTC). Facilita los detalles recopilados en el paso 1.
Si crees que fuiste víctima de un ataque de phishing de forma involuntaria, hay algunas cosas que deberías hacer:
Ten en cuenta que, al enviar tu información a un atacante, es probable que se revele con rapidez a otros usuarios malintencionados. Cuenta con que recibirás nuevas llamadas telefónicas, mensajes de texto y correos de phishing.
-
Si recibes un mensaje sospechoso en tu bandeja de entrada de Microsoft Outlook, elige Informar sobre el mensaje en la cinta de opciones y, después, selecciona Phishing. Esta es la manera más rápida de eliminar un mensaje de tu bandeja de entrada. En Outlook.com, selecciona la casilla situada junto al mensaje sospechoso en la bandeja de entrada, después la flecha situada junto a Desplazar al correo no deseado y, finalmente, Phishing.
Si perdiste dinero o fuiste víctima de un robo de identidad, notifícalo a las autoridades locales correspondientes y ponte en contacto con la Comisión Federal de Comercio (FTC). Tienen un sitio web dedicado por completo a resolver problemas de este tipo.
-
No. Aunque el phishing es más habitual por correo, los usuarios que utilizan ataques de phishing también se valen de llamadas telefónicas, mensajes de texto e incluso búsquedas web para obtener información confidencial.
-
Los correos de spam son mensajes no deseados con contenido comercial o irrelevante. Pueden anunciar argucias para conseguir dinero rápido, ofertas ilegales o descuentos falsos.
El phishing es un intento más selectivo (y normalmente mejor camuflado) de obtener datos confidenciales engañando a las víctimas para que cedan información de la cuenta y credenciales de forma voluntaria.
Seguir a Seguridad de Microsoft