Una estafa de phishing es un intento fraudulento de obtener información sensible, como nombres de usuario, contraseñas o datos de tarjetas de crédito, haciéndose pasar por una entidad o persona de confianza. La palabra «phishing» proviene del término «fishing», ya que la estafa suele consistir en el envío de mensajes que parecen proceder de una fuente de confianza en un esfuerzo por engañar al destinatario para que «oculte» información.
Las estafas de phishing son cada vez más sofisticadas y ahora se dirigen a un público mucho más allá de los ciberdelincuentes que inventaron la táctica. Hoy en día, los ataques de phishing pueden llegar por correo electrónico, SMS, WhatsApp, Facebook, Twitter y cualquier otro canal. Los atacantes se preocupan poco por ser detectados y, en cambio, tratan de mezclarse con su público objetivo. Existen varios tipos de estafas de phishing, por lo que es importante entender las diferencias entre ellas si se quiere evitar caer en ellas.
Ingeniería social
La ingeniería social es un tipo de estafa de phishing que consiste en conseguir que la víctima divulgue información confidencial, como las credenciales de acceso, engañándola para que haga clic en un enlace incrustado o abra un archivo adjunto. Los tipos más comunes de estafas de ingeniería social incluyen:
o Spearphishing: Una forma más específica de phishing que se dirige a personas u organizaciones concretas, normalmente a través de correos electrónicos personalizados.
o Whaling: Similar al spearphishing, pero dirigido a ejecutivos de alto nivel y que suele incluir archivos adjuntos en el correo electrónico con código malicioso.
o Recolección de credenciales: Un ataque que recoge nombres de usuario y contraseñas de usuarios desprevenidos.
o Compromiso del correo electrónico comercial (BEC): Esta estafa opera utilizando direcciones de correo electrónico falsas que parecen provenir de alguien dentro de la organización a la que se dirige. A menudo se utiliza para acceder a las bandejas de entrada de los empleados y luego robar datos confidenciales para obtener beneficios financieros o robo de propiedad intelectual.
Texto de suplantación de identidad
Una estafa de phishing textual es aquella que se dirige a las víctimas potenciales mediante el envío de un correo electrónico. Este tipo de estafa suele prometer una recompensa, dinero gratis y/u otros incentivos a cambio de información personal, normalmente un nombre de usuario y una contraseña.
Medidas antispam y falsos positivos
Las medidas antispam pueden dar lugar a falsos positivos.
Los proveedores de correo electrónico y de servicios de Internet (ISP) suelen aplicar algún tipo de medida antispam. Estas medidas suelen llamarse «filtros» y están diseñadas para evitar que los mensajes de correo electrónico no deseados lleguen a la bandeja de entrada del usuario. Un falso positivo es un problema que surge cuando el software confunde un correo electrónico válido, como uno de un banco, con spam y lo bloquea. Esto puede ocurrir cuando el software utiliza palabras clave para identificar los correos electrónicos no deseados. El problema de este método es que, a medida que la gente conoce estas palabras clave, los spammers empiezan a utilizarlas en sus propios mensajes para evitar ser detectados por los filtros. Para combatirlo, las nuevas medidas antispam utilizan el filtrado bayesiano o el análisis heurístico de los correos electrónicos para determinar si es o no spam; sin embargo, estos métodos también pueden producir falsos positivos.
Robo de identidad por transferencia electrónica de fondos (TEF)
El robo de identidad por transferencia electrónica de fondos o EFT se produce cuando un individuo adquiere la información de la cuenta bancaria y financiera de la víctima, normalmente a través de estafas de phishing. El pirata informático realiza entonces transacciones fraudulentas para retirar dinero de las cuentas de la víctima.
Un ejemplo de este tipo de estafa consiste en un correo electrónico falso que parece proceder de su banco. El correo electrónico puede contener un enlace a un sitio en el que se le pide que introduzca sus credenciales de acceso para «verificar» su cuenta. Si lo hace, es probable que el ciberdelincuente inicie la sesión y elimine cualquier evidencia del ataque antes de que usted pueda darse cuenta.
Sitios web y páginas de destino falsos
Un sitio web falso es un sitio que tiene la intención de robar su información personal. Estos sitios web suelen ser difíciles de distinguir de los legítimos por su diseño y se puede acceder a ellos a través de correos electrónicos de spam o disfrazados de sitios auténticos y de confianza. Los sitios web falsos suelen imitar el diseño de los sitios más conocidos para atraer a visitantes que no saben lo que hacen.
Algunos sitios web falsos le pedirán información confidencial (nombre de usuario, contraseña, número de tarjeta de crédito) en un intento de robar sus datos. Otras páginas de aterrizaje falsas le redirigirán a un sitio malicioso sin pedirle permiso primero.
Los sitios web falsos que le engañan para que revele su información personal también se conocen como «sitios de phishing», que a menudo atraen a las víctimas con mensajes que parecen fiables o urgentes. Cuando alguien visita un sitio de phishing, es posible que se le pida su nombre de usuario y contraseña antes de ser redirigido al sitio original.
Acceso remoto y estafas de phishing
Las estafas de phishing son intentos fraudulentos para obtener información sensible, como los nombres de usuario, contraseñas o información de tarjeta de crédito, por medio de una persona que se hace pasar por un ente confiable o persona. El término «phishing» viene del término «fishing», ya que la estafa generalmente involucra enviar mensajes que aparentan proceder de una fuente confiable con el fin de tratar de engañar a su destinatario para que revelen información sensible.
Los ataques phishing son cada vez más sofisticados y ahora se dirigen a un público mucho más amplio que los criminales cibernéticos que inventaron la táctica. Hoy en día, los ataques phishings pueden llegar vía correo electrónico, SMS, WhatsApp, Facebook o Twitter y cualquier canal. Los atacantes no se preocupan por ser detectados y en cambio tratan de mezclarse con el público objetivo. Existen varios tipos de estafas phishings, así es important
Resumen
Una estafa de phishing es un intento fraudulento de obtener información sensible, como nombres de usuario, contraseñas o información de tarjetas de crédito, haciéndose pasar por una entidad o persona de confianza. La palabra «phishing» procede del término «fishing», ya que la estafa suele consistir en el envío de mensajes que parecen proceder de una fuente de confianza en un esfuerzo por engañar al destinatario para que «oculte» información.
Las estafas de phishing son cada vez más sofisticadas y ahora se dirigen a un público mucho más allá de los ciberdelincuentes que inventaron la táctica. Hoy en día, los ataques de phishing pueden llegar por correo electrónico, SMS, WhatsApp, Facebook, Twitter y cualquier otro canal. Los atacantes se preocupan poco por ser detectados y en su lugar tratan de mezclarse con su público objetivo. Hay varios tipos de estafas de phishing, por lo que es importante entender las diferencias entre ellas si se quiere evitar caer en ellas.(IA)