Cómo protegerse del phishing

La compañia Sophos, en su encuesta global Phishing Insights 2021, reveló que los ataques de phishing aumentaron considerablemente durante la pandemia, ya que millones de empleados que trabajaban desde casa se convirtieron en el principal objetivo de los ciberdelincuentes.

La suplantación de identidad o phishing es un tipo de robo de identidad en línea.  Esta acción fraudulenta se caracteriza por intentos de adquirir ilícitamente los datos personales de un usuario como contraseñas, información financiera o bancaria, números de tarjetas de crédito, entre otros.

El estafador utiliza el correo electrónico, aplicaciones y sitios web que están diseñados específicamente para robar datos personales, haciéndose pasar por una persona o empresa de confianza.  Al enviar un mensaje a un correo electrónico, aplicación u otras herramientas, el ciberdelincuente espera hasta que el destinatario reciba y abra el mensaje, una acción que en muchos casos es suficiente para que la víctima caiga en el fraude. En otros casos, es necesario que la víctima haga clic en un enlace determinado para que el delincuente tenga acceso a la información que desea.

“Hay más de una forma de hacer caer a una víctima y este tipo de delito se está volviendo cada vez más sofisticado. Los estafadores digitales se han vuelto expertos en hacer que los correos electrónicos fraudulentos se vean exactamente como los legítimos, a menudo de empresas o establecimientos con los que está familiarizado y en los que confía. Los correos electrónicos de phishing comúnmente se hacen pasar por empresas, pero las cuentas de redes sociales también son un objetivo en tendencia, ya que muchos usuarios son más descuidados a la hora de protegerlas”, afirma Dean Coclin, director senior de desarrollo empresarial de DigiCert.

Los phishers perseguirán a cualquiera, pero tienden a apuntar a CEO y CFO, firmas legales, recursos humanos e instituciones financieras. Además, en los últimos años las tiendas digitales y las redes sociales han visto un aumento de estos ataques. Estos grupos tienen datos de clientes e información confidencial que los atacantes buscan y necesitan estar en alerta máxima para protegerse de las estafas de phishing.

Si bien muchas personas creen que es lo mismo, el phishing es muy diferente al spam.  En la práctica, mientras que el spam solo se relaciona con una gran cantidad de correos electrónicos y mensajes sin ningún fin delictivo, el phishing tiene como objetivo dañar a la víctima, accediendo a datos e información personal.

El spam es bastante común en Internet. Todos los días, innumerables mensajes de sitios web, tiendas y aplicaciones llenan la bandeja de entrada de la mayoría de los usuarios.  Solo genera el inconveniente de la desorganización de la bandeja de entrada, pero no representa ningún riesgo para el destinatario.

Por otro lado, el phishing utiliza el envío de mensajes masivos para engañar al objetivo, induciéndolo a hacer clic en enlaces falsos y / o proporcionar información personal, siempre con el objetivo de dañar a la víctima.

Existe software anti-phishing en el mercado, con filtros anti-spam efectivos, que avisan de indicios de irregularidades en los correos electrónicos.  En cuanto a los sitios web, existen antivirus y firewalls que escanean y notifican irregularidades o bloquean el acceso cuando detectan alguna posibilidad de fraude.

Si sigue estos 10 consejos, estará en camino de convertirse en un experto en defensa contra estafas de phishing.

1. En lugar de hacer clic en un enlace en un correo electrónico, abra una nueva página del navegador y escriba la dirección / URL del sitio que desea visitar. A veces, un enlace fraudulento será muy similar a uno de confianza, simplemente cambiando algunas letras imperceptibles.
2. Actualice tanto su sistema operativo como el software del navegador. Las últimas versiones de la mayoría de los navegadores vienen equipadas con filtros anti-phishing. A medida que los atacantes idean nuevos ataques, las actualizaciones de software mejoran sus filtros.
3. Bloquee las ventanas emergentes cuando navega por Internet.
4. Nunca ingrese información personal en ventanas emergentes a menos que esté completamente seguro de que provienen del sitio deseado.
5. Para el uso diario de la computadora, utilice una cuenta de usuario estándar en lugar de una cuenta de administrador. Cambie a la cuenta de administrador solo cuando las funciones de administrador sean necesarias. Esto protege su computadora al reducir el acceso a funciones administrativas críticas.
6. Elimine y no abra los mensajes de correo electrónico sospechosos. Puede ser tentador; a veces, el asunto puede ser llamativo o tan genérico que desee obtener más información, pero evite la tentación y simplemente elimínelo.
7. Acepte solo certificados de confianza en páginas web. No ignore las advertencias del navegador. No descarte simplemente las advertencias que cree haber visto sin leerlas detenidamente y sin considerar las implicaciones.
8. No haga clic en enlaces que lo llevarán a un sitio o una dirección IP desconocidos.
9. Esté atento a las advertencias del navegador. Por ejemplo, Chrome muestra un triángulo de advertencia con «No seguro» en la barra de direcciones si un sitio no tiene habilitado el protocolo de seguridad HTTPS. Habilite la protección contra malware. Por lo general, esto puede detectar y disuadir la mayoría de las amenazas sin necesidad de hacer nada.
10. Si recibe un correo electrónico de phishing, no lo abra, no haga clic en ningún enlace o archivo adjunto y elimínelo de inmediato. Si sigue recibiendo correos electrónicos sospechosos, infórmelos al Grupo de trabajo Anti-Phishing (APWG).