Cada día llegan a nuestras bandejas de entrada docenas de correos electrónicos, pero ¿te ha pasado alguna vez que te llega un correo sospechoso?

Nuestros gestores de correo electrónico descartan algunos de ellos porque contienen publicidad no solicitada y comunicaciones fraudulentas, pero otros siguen llegando a nuestra bandeja de entrada.

En este, nos gustaría hablarte del fraude que se produce conocido como el phishing y los métodos de prevención.

¿Qué es el phishing?

El phishing es una técnica en la que los ciberdelincuentes envían correos electrónicos haciéndose pasar por otras organizaciones, como nuestro banco, una red social, una agencia gubernamental, una empresa conocida o un servicio que utilizamos.

¿Y cuál es su objetivo? Nada más y nada menos que obtener de nosotros toda la información personal y bancaria que puedan, incluidos nombres de usuario y contraseñas, direcciones o datos de tarjetas de crédito, con el fin de realizar una transacción financiera o infectar el dispositivo. Para ello, incluyen archivos maliciosos o enlaces a sitios web falsos.

Los ciberdelincuentes también utilizan llamadas telefónicas y mensajes SMS para llevar a cabo este tipo de asalto.

Tipos de ataques de phishing y algunos ejemplos

La mayoría de los correos electrónicos de phishing se envían de forma aleatoria a un gran número de destinatarios, y su eficacia depende del número (cuantos más correos se envíen, más probabilidades tendrán de encontrar una víctima que los abra).

A continuación, te mencionaremos los modelos más destacados de estafa, como pueden ser:

Phishing selectivo

Se refiere a una variedad de ataques dirigidos específicamente a determinadas empresas o personas. Estos correos electrónicos pueden incluir enlaces o archivos adjuntos dañinos, al igual que las acciones de phishing más generalizadas.

Phishing de imitación

El phishing de imitación es un tipo de asalto de phishing en el que un actor hostil envía un correo electrónico que parece proceder de una fuente fiable. A menudo se incluye en el correo electrónico un enlace a una copia del sitio web auténtico que el remitente está suplantando.

Además, se le pedirá al usuario que introduzca sus datos de acceso en este sitio web falso, que el atacante tomará a continuación.

Robo de CEO

El fraude del CEO es un tipo de engaño en el que un estafador se hace pasar por un CEO u otro ejecutivo de alto nivel para engañar a los miembros del personal o a otras personas para que entreguen información personal o dinero en efectivo.

Para parecer auténtico, el estafador puede utilizar diversas técnicas, como crear sitios web falsos, llamar a las víctimas o ponerse en contacto con ellas a través de las redes sociales.

BEC

Consiste en un modelo de ciberataque en el que los atacantes utilizan el correo electrónico para engañar a los empleados para que les envíen dinero o información privada de la empresa.

Para ganarse la confianza de las personas, los ataques BEC suelen utilizar la dirección de correo electrónico falsificada de un alto ejecutivo u otra persona de confianza dentro de una organización.

¿Qué estrategias utilizan?

Conocer las tácticas típicas que emplean los correos electrónicos de phishing es la forma más sencilla de evitar ser engañado. Entre los métodos más populares se encuentran:

  • Pedir información privada o confidencial: Los correos electrónicos de phishing suelen intentar engañarte para que reveles información privada. Pueden conseguirlo pidiéndote que confirmes las credenciales de tu cuenta u ofreciéndote un enlace «seguro» que te lleva a un sitio web falso.
  • Te hacen sentir apurado: Además, los correos electrónicos de phishing a menudo te hacen sentir apurado, diciéndote que tu cuenta se ha visto comprometida o que debes actuar de inmediato para evitar un mal resultado.
  • Utilización de direcciones de correo electrónico falsas: Los correos electrónicos de phishing, a veces utilizan direcciones de correo electrónico falsas que parecen proceder de una fuente fiable, como por ejemplo, tu banco. Para dar a sus mensajes una apariencia más respetable, también pueden utilizar logotipos y marcas de empresas auténticas.
  • Incluir enlaces o archivos adjuntos: Los correos electrónicos de phishing suelen contener enlaces o archivos adjuntos que llevan al destinatario a sitios web destinados a robar sus datos personales. Estos sitios web pueden tener exactamente la misma apariencia que el sitio web auténtico, pero tendrán una URL diferente.

Debes pensar muy bien tu respuesta si recibes un correo electrónico con alguno de estos componentes. Además, puedes consultar el sitio web del supuesto remitente del correo electrónico para ver si ha recibido alguna notificación sobre intentos de suplantación de identidad.

Por último, si tienes alguna duda sobre la validez del correo electrónico, siempre puedes ponerte en contacto directamente con la empresa.

Consejos para para protegerte de los ataques de phishing

Debes conocer algunos tips para salvaguardar tus datos más personales o los de tu empresa. Aquí te dejaremos algunos de los principales:

  • Aumenta la seguridad y cuida de los dispositivos manteniendo al día las actualizaciones del sistema operativo, el navegador y las aplicaciones. una combinación que puede reducir significativamente sus costes.
  • Un sitio web que hayas visto a través de un correo electrónico nunca debe pedirte información personal. Si lo hace, escribe la dirección en tu navegador para introducirla.
  • Para estar al tanto de los cambios realizados en tus cuentas, así como del saldo global, comprueba tus cuentas de vez en cuando. Ponte inmediatamente en contacto con el servicio de atención al cliente (o con tu equipo de gestión) si ves alguna operación que no reconoces para que la resuelvan.
  • Debes revisar detenidamente la URL del enlace que te han facilitado. Una letra alternativa, un punto o un guión, por ejemplo, pueden marcar la diferencia a la hora de evitar una trampa. Además, asegúrate de que la conexión empieza por «https», una marca de seguridad evidente.
  • Verifica que el remitente del correo electrónico es el remitente autorizado. Los ciberdelincuentes emplean con frecuencia métodos para aparentar que se trata de la empresa o entidad real, como insertar un carácter especial entre ellos o cambiar una letra por otra parecida.
  • Si el mensaje te asusta especialmente o te exige que tomes una decisión de inmediato, no sigas leyéndolo. En cualquiera de los dos casos, el banco, por ejemplo, se pone en contacto con su consumidor a través de un canal más seguro.
  • Incluso sin pasar por un antivirus, evita descargar archivos adjuntos de un correo electrónico, a menos que estés seguro de que proceden de una fuente de confianza.