El phishing es un tipo de malware bastante peligroso porque tiene como objetivo la suplantación de identidad.
Los ciberdelincuentes que ponen en circulación el phishing, utilizan la ingeniería social para intentar obtener nuestra información privada. Captan nuestra atención con alguna excusa con el fin de redirigirnos a páginas web fraudulentas que simulan ser las legítimas de un determinado servicio o empresa.
Cualquier sistema que permita el envío de mensajes puede ser usado como medio para intentar robar nuestra información personal. En algunos casos pueden llegar intentos de robo de nuestra información personal a través de emails, mensajes SMS o MMS (smishing), de la misma manera que por cualquier herramienta de mensajería instantánea (WhatsApp, LINE, etc.) o red social.
El Instituto Nacional de Ciberseguridad, en su guía de privacidad nos indica una serie de consejos para no ser víctima de un ataque de Phishing:
* Consejo 1: Sé precavido ante los correos que aparentan ser entidades bancarias o servicios conocidos con mensajes del tipo:
* Consejo 2: Sospecha si hay errores gramaticales en el texto.
* Consejo 3: Si recibes comunicaciones anónimas dirigidas a "Estimado cliente", "Notificación a usuario" o "Querido amigo", es un indicio que te debe poner en alerta.
* Consejo 4: Si el mensaje te obliga a tomar una decisión en unas pocas horas, es mala señal.
Contrasta directamente si la urgencia es real o no con el servicio a través de otros canales.
* Consejo 5: Revisa que el texto del enlace coincide con la dirección a la que apunta.
* Consejo 6: Un servicio con cierto prestigio utilizará sus propios dominios para las direcciones de email corporativas. Si recibes la comunicación desde un buzón de correo tipo @gmail.com o @hotmail.com, no es buena señal.
Las empresas también pueden ser objeto de ataques por medio de phishing, por lo que es recomendable seguir una serie de pautas. Es recomendable, dado que los equipos los utilizan diferentes usuarios, que se imponga el uso del email administrativo.
En un entorno corporativo, las amenazas generadas por el phishing pueden traer pérdidas de difícil recuperación, por lo que la prevención debe hacerse de dos formas primordiales:
En caso de haber sido víctima de un ataque de phishing, recopila toda la información que te sea posible: correos, capturas de conversaciones mediante mensajería electrónica, documentación enviada, etc. Puedes apoyarte en testigos online para la recopilación de evidencias.
Para los casos de phishing bancario, contacta con tu oficina bancaria para informarles de lo sucedido con tu cuenta online. Adicionalmente, modifica la contraseña de todos aquellos servicios en los que utilizases la misma clave de acceso que para el servicio de banca online. Recuerda: no uses la misma contraseña en varios servicios, es muy importante gestionar de forma segura las contraseñas para evitar problemas.
Se pueden identificar 4 tipos diferentes de phishing, en función del mensaje o el público al que infecta: