Tutoriales

Qué es el phishing y cómo detectarlo

Miguel Ángel Navas2 junio, 2018
7 minutos de lectura aproximada.

¿Qué es el phishing? Es la pregunta más común cuando te suplantan la identidad en la red. Y es que con el entusiasmo y el caos de las compras en línea durante todo el año, los compradores se vuelven vulnerables a diversos fraudes en línea. Uno de los golpes que más aumenta es el golpe por medio del correo electrónico de suplantación de identidad.

El phishing es un truco online muy popular, que se utiliza para robar las credenciales y la información de pago, normalmente por medio de sitios web falsos hechos para parecer casi idénticos a los originales, dificultando a los usuarios poder identificarlos.

Los «phishers» están interesados en las credenciales para acceder a los sitios web que usan los compradores en línea, comprometiendo información de identificación personal (PII) que puede conducir al robo de datos.

En 2014, los compradores online fueron el blanco de la «Operación Huyao», un esquema de phishing que operaba fuera del radar y solía dejar a sus víctimas navegando por el contenido del sitio original. Pero después, las potenciales víctimas eran llevadas a una página de phishing y la información de pago era robada cuando iban a hacer el check-out y comprar el producto. Cuando el comprador terminaba la transacción, recibía un mensaje de confirmación de una transacción exitosa para que pareciera legítima.

Después de que los datos de carácter personal están comprometidos, el agresor puede vender la información, robar la identidad o secuestrar a otros contactos para ser futuros objetivos de suplantación de identidad.

Conociendo qué es el phishing

El término phishing proviene de otra palabra del idioma inglés («fishing»), cuyo significado en español es «pescar». Y el funcionamiento de este malware está directamente relacionado con este deporte tranquilo, ya que lo que predomina en esta actividad ilícita es la paciencia.

Los hackers hacen nada más que una expedición de pesca, lanzando cientos de señuelos por internet para después esperar por esa «mordida» o, en términos más técnicos, que alguien haga clic en ese enlace malicioso.

Estos anzuelos vienen en varios formatos diferentes, como las páginas falsas de internet, el correo electrónico de bancos e instituciones financieras, promociones (muchas veces absurdas) o mensajes personales, como «las fotos de la fiesta del sábado», por ejemplo.

Todo vale cuando se trata de lanzar señuelos, esperar a que algún usuario desprevenido muerda la trampa y obtener los datos personales de esa persona.

Tipos de phishing

El phishing sucede de forma tan frecuente en internet que ya existen hasta tipos diferentes que permiten una valoración del ataque. Los dos más comunes son:

  1. Blind Phishing: es el tipo más conocido, el que es arrojado en masa por medio de spam y correo electrónico, con la esperanza de que alguien caiga en la trampa;
  2. Spear Phishing: como su nombre indica («pesca con arpón», en español), este tipo de ataque es más específico y busca alcanzar objetivos puntuales y previamente estudiados. Además, se presenta de forma más convincente que el anterior.

Cómo identificar y evitar las estafas online

¿Quién no ha recibido esos mensajes del tipo «actualiza tus datos bancarios» o «felicitaciones, eres un nuevo millonario», y otros mensajes similares que son muy llamativos.

Este tipo de correo se ha convertido en rutina en nuestras casillas de correo electrónico y configura un golpe muy común en internet: el phishing.

Comprueba estos pasos para no caer en la trampa del phishing:

  • Marca tus sitios de compras favoritos. Evita el uso de motores de búsqueda para encontrar buenos negocios. Limitar tu búsqueda a sitios web de compras de confianza puede reducir las posibilidades de ingresar y comprar en un sitio web falso;
  • Siempre revisa los hipervínculos. Para comprobar la legitimidad de una URL, pasa el puntero del ratón sobre el enlace incorporado antes de hacer click en este. Los enlaces falsos pueden ser engañosos, ya que los estafadores pueden usar las URL con los términos relevantes de la URL original;
  • Mantente alejado de los mensajes de correo electrónico o sitios web que requieren una acción urgente. Algunos mensajes incluirán pedidos desesperados para hacer click en algunos enlaces o divulgar tu información personal.
  • Siempre revisa los extractos de la tarjeta de crédito. Presta atención a las transacciones no autorizadas.
  • Si descubres que has caído en una estafa de phishing, cambia inmediatamente las contraseñas y PINs de todas tus cuentas. Notifica a la entidad emisora de tu tarjeta si sospechas de alguna actividad fraudulenta en tu cuenta.
  • Las direcciones de e-mail falsas normalmente utilizan los nombres de empresas reales combinados con dominios gratuitos de internet, como Yahoo, Gmail, Hotmail, entre otros. Comprueba la dirección completa del remitente.
  • Los bancos y las empresas tratan a sus clientes por el nombre y apellido, nunca como un cliente especial ni utilizando apodos. Ten cuidado con los elogios y el lenguaje cotidiano. Estos e-mails deben ser formales y profesionales.
  • Echa un vistazo a la ortografía y las reglas gramaticales del mensaje. Los e-mails falsos muchas veces vienen con errores de esta naturaleza.
  • Si haces click en un enlace dentro de un e-mail falso, prueba una contraseña que no sea la tuya. Los sitios web falsos normalmente aceptarán la información que proporciones. Abandona este sitio web en caso de que esto suceda.
  • Baja resolución de las imágenes. La mala calidad de logotipos y elementos gráficos en los sitios web pueden ser un indicativo de que el sitio web es falso.

Ten cuidado en las redes sociales. Un informe de seguridad semestral producido por Microsoft identificó un crecimiento exponencial de la suplantación de identidad en las redes sociales. Esto demuestra que, además de acercar a las personas, este tipo de redes también se presenta como un nuevo canal de actuación para los usuarios malintencionados. A pesar de que algunos de estos sitios dan la sensación de ser un lugar limpio y seguro, la verdad es que hay muchos riesgos presentes. Por eso, es importante tomar algunas precauciones, como no agregar a personas desconocidas como amigos, además de «cerrar» la información de carácter más personal, teléfonos y direcciones de correo electrónico, por ejemplo.

Software para evitar el phishing

El internet es una de las mejores herramientas conocidas por la humanidad para hacer básicamente lo que quieras. Pero Facebook, Twitter, Gmail, Dropbox, Paypal, eBay, portales bancarios, y tantos otros sitios tienen gemelos que en realidad son phish.

Un «phish» es un término para un sitio web estafador que intenta parecerse a un sitio seguro que podrías visitar con frecuencia. El acto de todos estos sitios que intentan robar la información de tu cuenta se llama phishing. Aunque es muy fácil ver algunos sitios como un phish, otros no son tan fáciles de detectar.

Aquí hay cuatro métodos diferentes de antiphishing que puedes utilizar para no ser víctima de este tipo de fraude.

Utiliza un servicio de DNS personalizado

Necesitas un servicio de resolución de DNS para poder acceder a todos los sitios a los que vayas. El equipo no sabe automáticamente dónde está Facebook (en cuanto a su dirección de internet o dirección IP), por lo que necesita solicitar un servicio de resolución DNS para esa dirección IP. Lo bueno es que todos los internautas tienen este servicio, gracias a su proveedor de internet. La mala noticia es que eso es todo lo que hacen.

Aparte de la resolución del nombre, los servidores DNS en los ISPs no hacen nada más. Sin embargo, hay algunas compañías de DNS personalizadas e independientes que hacen algo más que la simple resolución de nombres.

También pueden filtrar sitios basados en el contenido y los problemas de malware / phishing. Hay muchos servicios que pueden hacer esto, pero el más popular es OpenDNS.

Utiliza la lista de phishing de tu navegador

¿Sabías que los navegadores modernos ofrecen una lista de phishing? Los navegadores verifican el sitio que estás visitando con esta lista para ver si es posiblemente un sitio de phishing. Si lo es, tu navegador comenzará avisarte de los riesgos mostrándote una gran página con colores rojos.

Usa sitios para revisar enlaces

En caso de que se te presente un enlace pero no estés seguro de hacer click en este, puedes copiarlo y comprobarlo en una serie de sitios diferentes. Estos pueden decirte si hay algo malo en estos sitios, incluyendo malware y phishing. Algunos de estos sitios son los siguientes:

  • AVG Threatlabs
  • Kaspersky VirusDesk
  • ScanURL
  • PhishTank
  • Google Transparency Report

Usa tus propias habilidades y conocimientos

Esto puede sonar como un consejo inútil, pero usar tus propias habilidades para detectar sitios de phishing también puede ser muy útil. Hay algunas cosas que deberías buscar para ver si estás a punto de ser estafado:

  1. Busca una conexión segura. Esto se identifica generalmente por una zona verde en la barra de direcciones, junto con https en la URL.
  2. Mira el dominio de la URL. Si no sabes cuál es el dominio de una URL, aquí hay un ejemplo: El dominio de Profesional Review es profesionalreview.com, mientras que el dominio de PayPal es paypal.com, y así sucesivamente. Chequea que el dominio sea como debe ser, y no algo extraño.
  3. Mira el sitio en sí mismo. Si no se parece exactamente al sitio al que estás acostumbrado, podría ser un sitio fraudulento. Puedes realizar una doble comprobación abriendo una nueva pestaña y visitando la página principal del sitio en el que crees que se encuentra (si es posible). Si son bastante diferentes, es más que probable que se trate de un sitio de phishing.

Palabras finales y conclusión

Además de seguir los consejos de seguridad anterior, debes mantener tus sistemas operativos y software de seguridad actualizados.

En el mundo virtual, la amenaza criminal puede venir de cualquier parte del planeta. Ahora la amenaza es global, y se necesita estar seguro de que se está haciendo lo correcto para proteger tu seguridad en línea.

[irp]

Con estas herramientas y consejos anti-phishing, estarás bien equipado para detectar intentos de phishing y evitarlos. Por lo tanto, estarás mucho más seguro y la información de tu cuenta seguirá siendo privada. Con estos consejos y los programas adecuados, difícilmente puedas caer en algún tipo de estafa en internet.

Miguel Ángel Navas2 junio, 2018
7 minutos de lectura aproximada.
Photo of Miguel Ángel Navas

Miguel Ángel Navas

Amante de la informática, los smartphones y la tecnología en general. Técnico superior en Administración de sistemas informáticos y redes, y un reviewer sin pelos en la lengua. Cualquier duda o cuestión aquí me tenéis.
Los datos de carácter personal que nos facilite mediante este formulario quedarán registrados en un fichero de Miguel Ángel Navas Carrera, con la finalidad de gestionar los comentarios que realizas en este blog. La legitimación se realiza a través del consentimiento del interesado. Si no se acepta no podrás comentar en este blog. Puedes consultar Política de privacidad. Puede ejercitar los derechos de acceso, rectificación, cancelación y oposición en [email protected]
Botón volver arriba