La suplantación de identidad en línea, que busca robar la información confidencial de un individuo a través de correos electrónicos o páginas web falsas, es una verdadera plaga que afecta especialmente a los franceses. Es una táctica común que es imperativo conocer para protegerse de ella, especialmente porque los ciberdelincuentes son cada vez más creativos en sus ataques. Aquí están los puntos esenciales para comprender mejor y evitar el phishing en línea.
¿Qué es el phishing?
El phishing, o suplantación de identidad en francés, es una técnica de ingeniería social utilizada por estafadores o hackers con el fin de robar la información personal de un individuo, como sus contraseñas, sus datos bancarios y otros datos confidenciales.
Generalmente se presenta en forma de un correo electrónico que supuestamente proviene de una entidad conocida por la víctima (banco, seguridad social, impuestos, operador telefónico, PayPal, etc.), que es invitada a responder o hacer clic en un enlace por alguna razón. Este último puede redirigir al individuo a una página donde se le pide que ingrese su información personal, o permitir que un programa malicioso ingrese directamente a su computadora.
Una vez hecho esto, los delincuentes disponen de esta información y pueden usarla (robar su identidad, acceder a sus cuentas, etc.) o venderla.
Claramente se trata de una suplantación de identidad, ya que el ciberdelincuente se hace pasar por otra persona para engañar la confianza de la víctima.
Para engañar más fácilmente a la víctima, el mensaje puede inducir una situación urgente o estresante, como presionar al destinatario amenazándolo con una multa o arresto si no regulariza un pago.
¿Cuáles son los principales tipos de phishing en línea?
El phishing Spray and pray consiste en enviar a un gran número de direcciones un correo electrónico cuyo objetivo es generar en los destinatarios un sentimiento de urgencia para que estos reaccionen sin realmente pensar. Generalmente invita a responder directamente proporcionando su información o hacer clic en un enlace malicioso.
El spear phishing, o harponeo, se asemeja al «spray and pray» pero en una versión más avanzada, ya que esta vez se dirige a un público objetivo con mensajes más personalizados, a menudo imitando una organización conocida por el destinatario para robarle su información.
El whale phishing («whale» que significa «ballena» en inglés) apunta a los altos responsables de organizaciones (directores, CEO, altos ejecutivos, etc.). Los estafadores, previamente, estudian cuidadosamente su objetivo para crear un mensaje perfectamente dirigido y elaborado, haciéndose pasar por una persona de confianza. Luego solicitan al responsable una suma de dinero o información confidencial, haciendo creer que esta solicitud está justificada.
El pharming es una de las ataques más peligrosas. Consiste en explotar las vulnerabilidades de los servicios DNS. El estafador enviará correos electrónicos fraudulentos que parecen provenir de fuentes confiables, instando a los destinatarios a realizar rápidamente una acción, como cambiar una contraseña. Estos serán redirigidos a una página falsa que se parece completamente a la verdadera. Una vez que se ingresa la información, el estafador puede recuperarla.
¿Cómo detectar y evitar un intento de phishing?
En primer lugar, es imprescindible leer varias veces un correo electrónico de una organización (incluso conocida) o de un remitente que no conoces. Verifica la redacción de las frases, la ortografía, pero especialmente la URL de la página y la dirección de correo completa del remitente. En cuanto a la URL, señálala con el ratón para verla completa y luego compárala con la del sitio real abierto previamente en tu motor de búsqueda para ver si hay diferencias.
Ten siempre en cuenta que las entidades de confianza (bancos, gobierno, etc.) nunca piden a los usuarios que transmitan su información confidencial por correo electrónico.
Otro detalle a tener en cuenta: si el mensaje genera un fuerte sentimiento de urgencia y te amenaza, verifica bien los elementos mencionados anteriormente. Lo mismo ocurre con los correos electrónicos que te anuncian la ganancia de una gran suma de dinero que parece surgir de la nada.
Por último, se recomienda utilizar una VPN para asegurar tus actividades en línea.
