El phishing existe desde hace mucho tiempo y siempre ha sido una forma eficaz de estafar dinero y robar información personal. Sin embargo, a medida que el panorama tecnológico ha evolucionado, las estafas de phishing que vemos son cada vez más avanzadas y engañosas.
Los atacantes han perfeccionado sus habilidades y han adaptado sus estafas para estafar a tantas personas como puedan a través de una serie de plataformas diferentes. Kaspersky Lab observó un aumento del 59% en los ataques de phishing en 2017, y se espera que esta cifra solo aumente. La sencilla razón es que el phishing funciona.
Su bajo coste y el alto rendimiento de la inversión lo han convertido en una forma muy lucrativa de estafar a la gente. A pesar de un mayor conocimiento general sobre el phishing, millones de personas siguen cayendo en estafas de phishing a diario.
La mejor manera de evitar caer en una estafa de phishing es saber qué aspecto tienen y qué métodos se utilizan para captar a las víctimas. A continuación se muestran algunas de las estafas de phishing más utilizadas para dirigirse a los usuarios de todo el mundo:
Las principales estafas de phishing
1. Phishing engañoso
El phishing engañoso es el tipo de estafa más frecuente. El objetivo de cada ataque de phishing es engañar a la víctima para que revele información confidencial y suele llevarse a cabo haciéndose pasar por una empresa legítima o una fuente de confianza. Estos correos electrónicos de phishing suelen crear una sensación de urgencia, por lo que el usuario se siente obligado a responder al correo electrónico lo antes posible.
En los últimos años, las estafas de phishing se han vuelto cada vez más sofisticadas y difíciles de detectar. Las faltas de ortografía y los errores gramaticales suelen alertar a los usuarios de la presencia de una estafa de phishing, pero los correos electrónicos de phishing actuales están bien elaborados y a menudo son difíciles de distinguir de los auténticos.
Los correos electrónicos de phishing engañosos adoptan muchas formas diferentes, pero la mayoría intentan engañar a un usuario para que resuelva un problema de la cuenta, como actualizar la información de pago o evitar el cierre de una cuenta haciendo clic en un enlace. En cuanto la víctima hace clic en un enlace, suele ser dirigida a un sitio falso casi idéntico que robará su información personal y financiera.
Los ataques de phishing engañoso suelen imitar a empresas de grandes marcas como PayPal, Netflix, Apple y Amazon, ya que así hay más posibilidades de que un mayor número de personas caiga en la estafa. Los usuarios deben desconfiar siempre de los correos electrónicos con un saludo genérico, un lenguaje urgente y amenazante, faltas de ortografía, una URL errónea o solicitudes de información personal.
2. Suplantación de identidad (Spear Phishing)
Algunos de los mayores ciberataques de los últimos años han comenzado con un único correo electrónico de spear phishing. El spear phishing es un intento más selectivo de robar información sensible y suele centrarse en una persona u organización específica. Los estafadores intentan averiguar toda la información posible sobre la víctima para que los correos electrónicos parezcan lo más legítimos y convincentes posible.
A menudo recurren a los sitios web de las empresas y a las redes sociales para investigar a sus víctimas y, una vez que conocen mejor a su objetivo, comienzan a enviar correos electrónicos personalizados diseñados para engañar a su víctima y conseguir que divulgue información sensible.
Los ataques de Spear Phishing pueden adoptar muchas formas diferentes. Algunos intentan que la víctima haga clic en un enlace que descargue malware, otros pueden solicitar los datos de acceso, o pueden ser dirigidos a un sitio que contenga publicidad o software de registro de teclas.
Las medidas de seguridad tradicionales pueden resultar totalmente ineficaces para detectar los correos electrónicos de spear phishing, por lo que es vital que los usuarios permanezcan atentos a este método de ataque y comprueben dos veces la validez de cualquier correo electrónico que consideren sospechoso.
3. Suplantación de identidad en las redes sociales
Se ha producido un fuerte aumento del número de estafas de phishing realizadas en las redes sociales. Un informe reciente de RiskIQ reveló un aumento del 100% en los ataques de phishing que tienen lugar en las plataformas de las redes sociales. La suplantación de identidad en las redes sociales se produce cuando los atacantes utilizan las redes sociales, como Facebook, LinkedIn o Twitter, para engañar a los usuarios y hacer que hagan clic en enlaces maliciosos o revelen información personal.
Los sitios de redes sociales están demostrando ser un terreno de caza lucrativo para los atacantes, ya que pueden encontrar una gran cantidad de información sobre las víctimas potenciales antes de lanzar un ataque dirigido. Los usuarios también tienden a ser más confiados y menos sospechosos sobre los enlaces dentro de los mensajes en las redes sociales, dejándolos más vulnerables a los ataques.
Dado que los consumidores interactúan cada vez más con las marcas a través de sus canales en las redes sociales, los estafadores se han apresurado a aprovechar esta relación en línea para lanzar cuentas falsas que suplantan a las grandes marcas. La investigación indica que el 19% de las cuentas de redes sociales que parecían representar a las principales marcas eran falsas.
Para aumentar la protección contra las estafas de phishing en las redes sociales, los usuarios deben utilizar siempre una configuración de privacidad mejorada, no hacer clic en enlaces sospechosos, no aceptar nunca solicitudes de amistad de alguien que no conozcas y tener cuidado al compartir demasiada información personal.
Imagen: Enlace falso de Facebook
Fuente: TrendMicro
4. Phishing basado en malware
Los ciberdelincuentes utilizan una serie de ataques de phishing para robar información personal y financiera, y el phishing basado en malware ha demostrado ser una forma extremadamente eficaz de dirigirse a las víctimas y lanzar ciberataques a gran escala.
El phishing basado enmalware es cuando un atacante envía un archivo adjunto a un correo electrónico o un archivo descargable que, una vez hecho clic, infectará un ordenador con un virus, un ransomware u otros programas maliciosos. Esto es exactamente lo que ocurrió en el infame ataque WannaCry que afectó a más de 200.000 víctimas en 150 países después de que sus ordenadores fueran infectados con software malicioso.
5. Estafas de intercambio de archivos
Los servicios de intercambio de archivos, como Google Docs y Dropbox, se han convertido en una forma muy eficaz de atacar a los usuarios con estafas de phishing. Los sitios son utilizados con frecuencia por las empresas, por lo que tienden a no ser bloqueados y a su vez son utilizados como cebo en los ataques de phishing.
En 2017, alrededor de un millón de usuarios de Google Docs se vieron afectados por una estafa de phishing que robó sus datos personales después de hacer clic en un enlace de phishing. Las víctimas recibieron un correo electrónico que decía: "xxx ha compartido un documento en Google Docs con usted", esto, a su vez, llevó a los usuarios a una página de inicio de sesión de Google falsa. La estafa parecía totalmente legítima, ya que estaba alojada en los servidores de Google, pero en cuanto los usuarios introducían su contraseña, eran redirigidos a un sitio malicioso de terceros.
Nunca se insistirá lo suficiente en que los usuarios deben estar siempre muy atentos a la hora de hacer clic en enlaces y descargar archivos adjuntos de fuentes desconocidas. La autenticación de dos factores también puede utilizarse para proporcionar una capa adicional de defensa en la protección de la seguridad de las cuentas en línea.
Artículos relacionados:
Cómo denunciar una estafa de phishing
5 métodos efectivos para detectar un sitio de phishing
Qué hacer si hace clic en un enlace de phishing
A pesar de la creciente sofisticación de las estafas de phishing, hay varias maneras de protegerse en línea. MetaPhish ha sido diseñado específicamente para proteger a las empresas de los ataques de phishing y ransomware y proporciona la primera línea de defensa en la lucha contra la ciberdelincuencia. Póngase en contacto con nosotros para obtener más información sobre cómo podemos ayudar a su empresa.
