¿Cómo protegerse de un ataque de phishing?

El phishing es una de las estafas más comunes que utilizan los hackers para disuadir a sus víctimas y lograr sus objetivos maliciosos (que pueden incluir el acceso a dispositivos y datos sensibles, y la obtención de incentivos financieros). El año pasado, se informó que alrededor del 83 % delas organizaciones en todo el mundo fueron víctimas de un ataque, lo que deja bastante claro que estas estafas pueden afectar a cualquier persona, en cualquier momento, e incluso a aquellas entidades e individuos que creen estar completamente protegidos contra este tipo de ataques (Irwin, 2022).

Dado que el phishing se ha convertido en uno de los mayores riesgos de seguridad entre personas y organizaciones, la sensibilización sobre cómo detectar y responder rápidamente ante un posible ataque se ha convertido en uno de los principales recursos para evitar estas estafas y mitigar sus posibles impactos.

Antes de darte algunos consejos sobre cómo detectar un ataque de phishing, repasemos los conceptos básicos de esta modalidad de ataque cibernético.

¿Qué es una estafa de phishing?

El phishing es una forma de ataque en el que los ciberdelincuentes afirman ser alguien que no son para aprovecharse de sus víctimas y disuadirlas de compartir información sensible o datos de sus cuentas personales. Una vez la víctima entrega esta información, el atacante puede instalar un código malicioso en su dispositivo para robar la información o cambiar las credenciales de la cuenta. Estos ataques de phishing pueden tomar diferentes formas, pero las más comunes se realizan a través de correos electrónicos (SecurityMetrics, 2022).

¿Cómo identificar un correo electrónico de phishing?

Hay muchas señales que podemos usar para identificar si un correo electrónico sospechoso es legítimo o no. Sin embargo, los indicadores más comunes de una estafa de phishing incluyen los siguientes:

1. Correos electrónicos de "empresas" que solicitan información personal a la víctima: aquellos correos electrónicos no solicitados de instituciones formales que incluyen archivos adjuntos o enlaces, y piden compartir información confidencial, tienden a ser una estafa. Las organizaciones reales nunca te pedirán que proporciones nombres de usuario, contraseñas o información financiera por correo electrónico, por razones de seguridad.

2. El correo electrónico se envía desde un dominio público: siempre verifique el dominio de quien envía el correo electrónico. Si el correo electrónico que recibió es de una empresa legítima y la dirección del remitente contiene un dominio público como "@gmail.com", "@outlook.com", etc. el correo electrónico podría ser una estafa. Tenga en cuenta que la mayoría de las empresas, por más pequeñas que sean, tienden a tener su propio dominio de correo electrónico. Además, si el nombre del correo electrónico no se relaciona con el remitente que aparenta ser, o si su nombre de dominio está mal escrito, lo más probable es que se trate de una estafa.

3. El mensaje está mal escrito: otra manera fácil de detectar una estafa de phishing es si el mensaje contenido en el correo recibido contiene errores ortográficos y/o gramaticales. Una organización “real” siempre se asegurará de enviar correos electrónicos bien escritos, por lo que uno de estos errores podría delatar a un atacante malicioso.

4. El correo te obliga a hacer clic en un sitio web o en un archivo adjunto: en muchos casos, los hackers codificarán su estafa de phishing a través de un hipervínculo o archivo adjunto. Es importante no hacer clic en ninguna de estas opciones, ya que podrías estar insertando rápidamente un malware en tu propio dispositivo. Si una organización está legítimamente interesada en que leas un documento o archivo, lo más probable es que te pidan que visites su página web para encontrar dicha información.

Los hackers buscan continuamente nuevas formas de hacer que sus ataques de phishing sean mucho más sofisticados para estafar a sus víctimas y obtener su información personal. Para evitar que ocurran tales ataques, es importante que te mantengas actualizado sobre cómo funcionan estas estafas de phishing y que pongas en práctica algunos de estos consejos, cada vez que un correo electrónico nuevo y sospechoso termine en tu bandeja de entrada.

Fuentes:

SecurityMetrics. “7 Ways to Recognize aPhishing Email: Email Phishing Examples.” SecurityMetrics, 2022,https://www.securitymetrics.com/blog/7-ways-recognize-phishing-email.

Irwin, Luke. “5 Ways to Detect a PhishingEmail: With Examples.” IT Governance UK Blog, 12 Sept. 2022,https://www.itgovernance.co.uk/blog/5-ways-to-detect-a-phishing-email.

‍