A pesar de existir desde mediados de los 90, el phishing sigue siendo una de las ciberamenazas más persistentes y exitosas. Con el objetivo de engañar a las personas para que compartan información confidencial o descarguen software dañino, el phishing permite a los ciberdelincuentes robar el dinero de las personas, acceder a sus cuentas o cometer fraude de identidad.

Con el tiempo, el phishing ha evolucionado en numerosas formas y se ha vuelto mucho más sofisticado, desafiando incluso a los usuarios de internet más experimentados. En este artículo, revelamos los cinco tipos principales de phishing que plagan internet hoy en día. Familiarícese con ellos y siga nuestros consejos para protegerse y no convertirse en víctima.

1. Phishing clásico por correo electrónico

Uno de los riesgos de ciberseguridad más antiguos y rentables es el phishing por correo electrónico. Se trata de mensajes fraudulentos diseñados para aparentar provenir de una fuente confiable, como un banco, un proveedor de servicios de internet o una agencia gubernamental. Los ciberdelincuentes... reproducir La apariencia de fuentes confiables, el estilo de redacción y los encabezados de correo electrónico hacen que el mensaje parezca auténtico y convincente.

Normalmente, los correos electrónicos de phishing alertan sobre un problema o ofrecen una oportunidad tentadora. Te instan a hacer clic en un enlace o ver un archivo adjunto inmediatamente.

Los archivos adjuntos suelen contener malware que puede dañar el dispositivo, desde registrar las pulsaciones de teclas hasta bloquearlo. Los enlaces te dirigen a un sitio web falso similar al original, donde cualquier credencial de inicio de sesión o información bancaria que introduzcas va directamente a manos de hackers.

2. Spear Phishing y sus derivaciones

El phishing tradicional por correo electrónico se basa en el envío de una gran cantidad de correos a destinatarios aleatorios con la esperanza de que alguien caiga en la trampa. En cambio, el phishing selectivo se dirige a individuos específicos, generalmente empleados de empresas, recopilando información personal y generando confianza.

El phishing regular puede apuntar a cualquiera Dentro de una empresa. Por ejemplo, los atacantes podrían usar la huella digital de un empleado de nivel medio (como su actividad en redes sociales o información pública) para personalizar correos electrónicos de phishing y hacerlos más relevantes y convincentes. En estos correos, los atacantes pueden solicitar datos de acceso o contactos internos, lo que facilita la infiltración y la vulneración de la empresa.

Las derivaciones del phishing selectivo, como el whaling, llevan estos ataques al nivel ejecutivo, centrándose en los altos ejecutivos. Si bien el enfoque es similar, los ataques de whaling pueden implicar meses de investigación y filtraciones de datos previas para crear mensajes convincentes y profesionales que podrían engañar incluso a los directores ejecutivos.

Otro tipo de phishing selectivo es el compromiso de correo electrónico empresarial (BEC). Este método de phishing consiste en que los ciberdelincuentes se hacen pasar por altos funcionarios, socios o proveedores para incitar a los empleados de menor rango a tomar medidas.

La ciudad de Saskatoon tenía Una muestra de BEC En 2019, un atacante, haciéndose pasar por el director financiero de una constructora, convenció a empleados municipales de transferir un millón de dólares a una nueva cuenta bancaria. Esta transacción se bloqueó a tiempo, pero la mayoría de las víctimas no tienen tanta suerte.

3. Phishing de pescadores

A diferencia de las amenazas tradicionales de ciberseguridad, el phishing de Angler se dirige a los usuarios de redes sociales. Los ciberdelincuentes monitorean las cuentas de empresas, centrándose en los usuarios que publican quejas o solicitan ayuda. Luego, crean perfiles falsos que simulan cuentas oficiales de atención al cliente y se comunican con estos usuarios, ofreciéndoles "asistencia" para resolver sus problemas.

Estas cuentas falsas suelen contactar a los usuarios mediante mensajes privados, generando confianza al mostrarse receptivas y serviciales. Los atacantes pueden solicitar detalles relacionados con el pedido de productos o servicios del usuario, como información de la cuenta, números de pedido o credenciales de inicio de sesión. Haciéndose pasar por soporte técnico, dirigen a los usuarios a enlaces maliciosos o solicitan información personal, que puede utilizarse para el robo de identidad, el hackeo de cuentas o el fraude.

4. Smishing y vishing

Algunos ataques de phishing se dirigen específicamente a usuarios móviles. El smishing, por ejemplo, utiliza mensajes de texto para hacerse pasar por empresas de confianza, prometiendo a los destinatarios atractivas oportunidades o soluciones a problemas si hacen clic en los enlaces adjuntos.

También existe el vishing, o phishing de voz, que consiste en llamadas telefónicas fraudulentas basadas en ingeniería social y manipulación emocional. Este tipo de phishing se está convirtiendo en una preocupación importante con la integración de la IA, que ahora posee una asombrosa capacidad para imitar voces.

En estos casos de phishing, los ciberdelincuentes maliciosos ahora emplean IA para imitar las voces de los objetivos. miembros de la familia, presionándolos para que tomen acciones inmediatas, como transferir dinero o revelar información personal para el robo de identidad.

5. Phishing en motores de búsqueda

El phishing en buscadores se aprovecha del funcionamiento de estos. Los ciberdelincuentes crean sitios web aparentemente legítimos y emplean prácticas SEO estándar para posicionarlos en los primeros resultados de búsqueda.

Con estas altas clasificaciones, sitios web falsos que replican bancos, empresas de tecnología o tiendas de comercio electrónico aparecen en la parte superior de los resultados de búsqueda, lo que lleva a los usuarios habituales a hacer clic en ellos y, sin saberlo, compartir su información con los ciberdelincuentes.

¿Cómo puedes evitar las estafas de phishing?

Si bien estar atento a los enlaces en los que hace clic y los archivos adjuntos que descarga es la mejor manera de evitar estafas de phishing, algunas herramientas de ciberseguridad pueden reducir aún más el riesgo.

Asegúrese de que sus cuentas estén seguras

Comience por mejorar la seguridad de su inicio de sesión, ya que una contraseña comprometida puede poner en riesgo varias cuentas si se reutiliza. Usar una administrador de contraseñas para MacLos dispositivos Windows o móviles pueden ayudar generando contraseñas seguras y únicas para cada cuenta y almacenándolas de forma segura en una bóveda cifrada. Muchos también ofrecen funciones como la autenticación de dos factores, que proporciona una capa adicional de protección en todos sus dispositivos.

Verificar fuentes

Tenga cuidado al introducir sus datos personales y siempre verifique los dominios de los sitios web o los enlaces de correo electrónico con fuentes oficiales. Si esto le parece demasiado tedioso, una VPN confiable puede ayudarle bloqueando el acceso a sitios maliciosos conocidos. Las VPN también son útiles en redes vulnerables como las redes wifi públicas, donde protegen su actividad y credenciales.

Mantener un perfil bajo

Limite la información personal disponible sobre usted en línea. Configure sus cuentas de redes sociales como privadas y utilice servicios de eliminación de datos para borrar su información personal de los intermediarios de datos. Esto reduce su visibilidad ante los ciberdelincuentes, lo que les dificulta crear estafas personalizadas. Si le preocupa el robo de identidad, pregúntese: "¿Cómo verifico si alguien está usando mi número de Seguro Social?" Comience por revisar sus informes crediticios, monitorear sus cuentas financieras y configurar alertas de fraude para proteger su identidad. También puede usar herramientas como Coincidir SSN y Apellido.

Tener en cuenta

Por último, en caso de duda, confía en tu instinto. Verifica los mensajes inesperados y desconfía de las solicitudes de información que un remitente legítimo no solicitaría normalmente.

Si bien es un problema importante en línea, no es probable que el phishing desaparezca pronto de internet. Manténgase informado sobre los diferentes tipos de estafas de phishing y proteja su privacidad para evitar ser víctima de ellas.