Cómo proteger el dinero y los datos personales en Internet

2024 Autor: Malcolm Clapton | [email protected]. Última modificación: 2023-12-17 03:53

Cuanto mejor informado esté, más difícil será engañarlo. Aquí encontrará todo lo que necesita saber sobre el phishing con Microsoft.

Encuentre aún más consejos sobre cómo protegerse de las amenazas digitales.

¿Qué es el phishing y qué tan peligroso es?

El phishing es un tipo común de fraude cibernético, cuyo propósito es comprometer y secuestrar cuentas, robar información de tarjetas de crédito o cualquier otra información confidencial.

La mayoría de las veces, los ciberdelincuentes utilizan el correo electrónico: por ejemplo, envían cartas en nombre de una empresa conocida, atrayendo a los usuarios a su sitio web falso con el pretexto de una promoción rentable. La víctima no reconoce la falsificación, ingresa el nombre de usuario y la contraseña de su cuenta y, por lo tanto, el propio usuario transfiere los datos a los estafadores.

Cualquiera puede sufrir. Los correos electrónicos de phishing automatizados suelen estar dirigidos a una amplia audiencia (cientos de miles o incluso millones de direcciones), pero también hay ataques dirigidos a un objetivo específico. La mayoría de las veces, estos objetivos son los altos directivos u otros empleados que tienen acceso privilegiado a los datos corporativos. Esta estrategia personalizada de phishing se llama caza de ballenas, que se traduce como "atrapar ballenas".

Las consecuencias de los ataques de phishing pueden ser devastadoras. Los estafadores pueden leer su correspondencia personal, enviar mensajes de phishing a su círculo de contactos, retirar dinero de cuentas bancarias y, en general, actuar en su nombre en un sentido amplio. Si tiene un negocio, el riesgo es aún mayor. Los phishers son capaces de robar secretos corporativos, destruir archivos confidenciales o filtrar los datos de sus clientes, dañando la reputación de la empresa.

Según el Informe de tendencias de actividad de phishing del Grupo de trabajo Anti-Phishing, solo en el último trimestre de 2019, los expertos en ciberseguridad descubrieron más de 162,000 sitios web fraudulentos y 132,000 campañas de correo electrónico. Durante este tiempo, cerca de mil empresas de todo el mundo se han convertido en víctimas del phishing. Queda por ver cuántos ataques no se detectaron.

Evolución y tipos de phishing

El término "phishing" proviene de la palabra inglesa "fishing". Este tipo de estafa realmente se parece a la pesca: el atacante lanza el anzuelo en forma de un mensaje o enlace falso y espera a que los usuarios muerdan.

Pero en inglés, el phishing se escribe de manera un poco diferente: phishing. Se utiliza el dígrafo ph en lugar de la letra f. Según una versión, esta es una referencia a la palabra falso ("engañador", "estafador"). Por otro lado, a la subcultura de los primeros piratas informáticos, que fueron llamados phreakers ("phreakers").

Se cree que el término phishing se utilizó por primera vez públicamente a mediados de la década de 1990 en los grupos de noticias de Usenet. En ese momento, los estafadores lanzaron los primeros ataques de phishing dirigidos a los clientes del proveedor estadounidense de Internet AOL. Los atacantes enviaron mensajes pidiendo confirmar sus credenciales, haciéndose pasar por empleados de la empresa.

Con el desarrollo de Internet, han aparecido nuevos tipos de ataques de phishing. Los estafadores comenzaron a falsificar sitios web completos y dominaron diferentes canales y servicios de comunicación. Hoy en día, se pueden distinguir estos tipos de phishing.

• Phishing por correo electrónico. Los estafadores registran una dirección postal similar a la dirección de una empresa conocida o un conocido de la víctima seleccionada y envían cartas desde ella. Al mismo tiempo, por el nombre del remitente, el diseño y el contenido, una carta falsa puede ser casi idéntica a la original. Solo en el interior hay un enlace a un sitio falso, archivos adjuntos infectados o una solicitud directa para enviar datos confidenciales.
• Phishing por SMS (smishing). Este esquema es similar al anterior, pero se usa SMS en lugar del correo electrónico. El suscriptor recibe un mensaje de un número desconocido (generalmente corto) con una solicitud de datos confidenciales o con un enlace a un sitio falso. Por ejemplo, un atacante puede presentarse como un banco y solicitar el código de verificación que recibió anteriormente. De hecho, los estafadores necesitan el código para hackear su cuenta bancaria.
• Phishing en redes sociales. Con la proliferación de mensajería instantánea y redes sociales, los ataques de phishing también han inundado estos canales. Los atacantes pueden contactarlo a través de cuentas falsas o comprometidas de organizaciones conocidas o sus amigos. De lo contrario, el principio del ataque no difiere de los anteriores.
• Phishing telefónico (vishing). Los estafadores no se limitan a los mensajes de texto y pueden llamarlo. Muy a menudo, la telefonía por Internet (VoIP) se utiliza para este propósito. La persona que llama puede hacerse pasar, por ejemplo, a un empleado del servicio de soporte de su sistema de pago y solicitar datos para acceder a la billetera, supuestamente para verificación.
• Buscar phishing. Puede encontrar suplantación de identidad directamente en los resultados de búsqueda. Basta con hacer clic en el enlace que lleva al sitio falso y dejar datos personales en él.
• Phishing emergente. Los atacantes suelen utilizar ventanas emergentes. Al visitar un recurso dudoso, es posible que vea un banner que promete algún beneficio, por ejemplo, descuentos o productos gratuitos, en nombre de una empresa conocida. Al hacer clic en este enlace, se lo dirigirá a un sitio controlado por ciberdelincuentes.
• Agricultura. No está directamente relacionado con el phishing, pero la agricultura también es un ataque muy común. En este caso, el atacante falsifica los datos de DNS redirigiendo automáticamente al usuario en lugar de a los sitios originales a los falsos. La víctima no ve ningún mensaje sospechoso ni pancartas, lo que aumenta la efectividad del ataque.

El phishing sigue evolucionando. Microsoft habló sobre las nuevas técnicas que descubrió su servicio antiphishing Microsoft 365 Advanced Threat Protection en 2019. Por ejemplo, los estafadores han aprendido a disfrazar mejor los materiales maliciosos en los resultados de búsqueda: los enlaces legítimos se muestran en la parte superior, lo que lleva al usuario a sitios de phishing a través de múltiples redireccionamientos.

Además, los ciberdelincuentes comenzaron a generar automáticamente enlaces de phishing y copias exactas de correos electrónicos a un nivel cualitativamente nuevo, lo que les permite engañar a los usuarios de manera más efectiva y eludir las medidas de seguridad.

A su vez, Microsoft ha aprendido a identificar y bloquear nuevas amenazas. La empresa ha utilizado todo su conocimiento sobre ciberseguridad para crear el paquete Microsoft 365. Proporciona las soluciones que necesita para su negocio, al tiempo que garantiza que su información esté protegida de forma eficaz, incluso contra el phishing. Microsoft 365 Advanced Threat Protection bloquea los archivos adjuntos maliciosos y los enlaces potencialmente dañinos en los correos electrónicos, detecta ransomware y otras amenazas.

Cómo protegerse del phishing

Mejore su conocimiento técnico. Como dice el refrán, el que está advertido está armado. Estudie la seguridad de la información por su cuenta o consulte a expertos para obtener asesoramiento. Incluso tener un conocimiento sólido de los conceptos básicos de la higiene digital puede ahorrarle muchos problemas.

Ten cuidado. No siga los enlaces ni abra archivos adjuntos en cartas de interlocutores desconocidos. Compruebe cuidadosamente los datos de contacto de los remitentes y las direcciones de los sitios que visita. No responda a las solicitudes de información personal, incluso cuando el mensaje parezca creíble. Si un representante de la empresa le pide información, es mejor llamar a su centro de llamadas e informar de la situación. No haga clic en las ventanas emergentes.

Utilice las contraseñas con prudencia. Utilice una contraseña única y segura para cada cuenta. Suscríbase a servicios que advierten a los usuarios si las contraseñas de sus cuentas aparecen en la Web y cambie inmediatamente el código de acceso si resulta que está comprometido.

Configure la autenticación multifactor. Esta función protege adicionalmente la cuenta, por ejemplo, utilizando contraseñas de un solo uso. En este caso, cada vez que inicie sesión en su cuenta desde un nuevo dispositivo, además de la contraseña, deberá ingresar un código de cuatro o seis caracteres que se le envía por SMS o que se genera en una aplicación especial. Puede que no parezca muy conveniente, pero este enfoque lo protegerá del 99% de los ataques comunes. Después de todo, si los estafadores roban la contraseña, aún no podrán ingresar sin un código de verificación.

Utilice las funciones de inicio de sesión sin contraseña. En esos servicios, siempre que sea posible, debe abandonar por completo el uso de contraseñas, reemplazándolas con claves de seguridad de hardware o autenticación a través de una aplicación en un teléfono inteligente.

Utilice software antivirus. Los antivirus actualizados ayudarán en parte a proteger su computadora del malware que redirige a sitios de phishing o roba inicios de sesión y contraseñas. Pero recuerde que su principal protección sigue siendo el cumplimiento de las reglas de higiene digital y el cumplimiento de las recomendaciones de ciberseguridad.

Si tienes un negocio

Los siguientes consejos también serán útiles para los dueños de negocios y ejecutivos de empresas.

Capacite a los empleados. Explique a los subordinados qué mensajes evitar y qué información no se debe enviar por correo electrónico y otros canales de comunicación. Prohibir que los empleados utilicen el correo corporativo para fines personales. Enséñeles cómo trabajar con contraseñas. También vale la pena considerar una política de retención de mensajes: por ejemplo, por motivos de seguridad, puede eliminar mensajes con una antigüedad superior a un cierto período.

Realice entrenamiento de ataques de phishing. Si desea probar la reacción de sus empleados al phishing, intente simular un ataque. Por ejemplo, registre una dirección postal similar a la suya y envíe cartas a sus subordinados pidiéndoles que le proporcionen datos confidenciales.

Elija un servicio postal confiable. Los proveedores de correo electrónico gratuitos son demasiado vulnerables a las comunicaciones comerciales. Las empresas deben elegir solo servicios corporativos seguros. Por ejemplo, los usuarios del servicio de correo Microsoft Exchange, que forma parte de la suite Microsoft 365, tienen una protección integral contra el phishing y otras amenazas. Para contrarrestar a los estafadores, Microsoft analiza cientos de miles de millones de correos electrónicos cada mes.

Contrata a un experto en ciberseguridad. Si su presupuesto lo permite, busque un profesional calificado que le brinde protección continua contra el phishing y otras amenazas cibernéticas.

Qué hacer si eres víctima de phishing

Si hay motivos para creer que sus datos han caído en manos equivocadas, actúe de inmediato. Revise sus dispositivos en busca de virus y cambie las contraseñas de las cuentas. Informe al personal del banco que es posible que le hayan robado sus datos de pago. Si es necesario, informe a los clientes sobre la posible fuga.

Para evitar que tales situaciones se repitan, elija servicios de colaboración confiables y modernos. Los productos con mecanismos de protección incorporados son los más adecuados: funcionará de la manera más conveniente posible y no tendrá que arriesgar la seguridad digital.

Por ejemplo, Microsoft 365 incluye una gama de funciones de seguridad inteligente, incluida la protección de cuentas e inicios de sesión contra el riesgo con un modelo de evaluación de riesgos integrado, autenticación sin contraseña o de múltiples factores que no requiere licencias adicionales.

Además, el servicio proporciona un control de acceso dinámico con evaluación de riesgos y teniendo en cuenta una amplia gama de condiciones. Además, Microsoft 365 contiene automatización y análisis de datos integrados, y también le permite controlar los dispositivos y proteger la información de fugas.