La suplantación de identidad en línea busca robar la información confidencial de un individuo mediante correos electrónicos o páginas web falsas, y se ha convertido en una plaga que afecta especialmente a los franceses. Conviene conocer bien esta táctica para protegerse de ella, sobre todo porque los ciberdelincuentes renuevan constantemente sus métodos de ataque. Estos son los puntos esenciales para entender y evitar el phishing en línea.

¿Qué es el phishing?

Ilustración de phishing en línea
El phishing, o suplantación de identidad en francés, es una técnica de ingeniería social que estafadores o hackers utilizan para robar información personal: contraseñas, datos bancarios y otros datos confidenciales de un individuo.

Suele presentarse como un correo electrónico que aparenta provenir de una entidad conocida por la víctima (banco, seguridad social, impuestos, operador telefónico, PayPal, etc.), invitándola a responder o a hacer clic en un enlace por algún motivo. Ese enlace puede redirigir a una página donde se solicita información personal, o bien permitir que un programa malicioso se instale directamente en el ordenador.

Con esos datos en su poder, los delincuentes pueden usarlos para robar la identidad de la víctima, acceder a sus cuentas u otros fines, o simplemente venderlos a terceros.
Se trata, en efecto, de una suplantación de identidad: el ciberdelincuente se hace pasar por otra persona para ganarse la confianza de la víctima y engañarla.

Para que la víctima caiga con mayor facilidad, el mensaje suele generar una sensación de urgencia o estrés, por ejemplo amenazando al destinatario con una multa o un arresto si no regulariza un pago.

¿Cuáles son los principales tipos de phishing en línea?

El phishing Spray and pray consiste en enviar el mismo correo electrónico a un gran número de direcciones con el objetivo de generar en los destinatarios una sensación de urgencia que los lleve a reaccionar sin pensar. El mensaje suele invitar a responder directamente con información personal o a hacer clic en un enlace malicioso.

El spear phishing, o harponeo, funciona de forma parecida al «spray and pray» pero de manera más elaborada: se dirige esta vez a un público específico con mensajes personalizados, imitando a menudo una organización conocida por el destinatario para robarle su información.

El whale phishingwhale» significa «ballena» en inglés) apunta a los altos responsables de una organización: directores, CEO, altos ejecutivos. Antes de actuar, los estafadores estudian cuidadosamente a su objetivo para elaborar un mensaje bien dirigido, haciéndose pasar por una persona de confianza. Después piden al responsable una suma de dinero o información confidencial, presentando la solicitud como algo justificado.

El pharming es uno de los ataques más peligrosos, porque explota las vulnerabilidades de los servicios DNS. El estafador envía correos electrónicos fraudulentos que aparentan provenir de fuentes confiables, instando a los destinatarios a realizar rápidamente una acción, como cambiar una contraseña. La víctima termina redirigida a una página falsa idéntica a la original, y en el momento en que introduce su información, el estafador puede recuperarla.

¿Cómo detectar y evitar un intento de phishing?

Conviene leer con calma, y más de una vez, cualquier correo electrónico de una organización (incluso conocida) o de un remitente desconocido. Revisa la redacción, la ortografía y, sobre todo, la URL de la página y la dirección completa del remitente. Para verla completa, basta pasar el cursor sobre el enlace sin hacer clic, y compararla después con la del sitio real, abierto previamente en el buscador, para detectar posibles diferencias.

Las entidades de confianza (bancos, gobierno, etc.) nunca piden a sus usuarios que envíen información confidencial por correo electrónico, y conviene tenerlo siempre presente.

Si un mensaje genera una fuerte sensación de urgencia o incluye amenazas, es momento de revisar bien los elementos mencionados antes. Ocurre lo mismo con los correos que anuncian una gran suma de dinero ganada de la nada.

Para terminar, usar una VPN añade una capa extra de protección a tus actividades en línea.

Nicolas
Author

Aporto mi experiencia en marketing digital a través de mis artículos. Mi objetivo es ayudar a los profesionales a mejorar su estrategia de marketing en línea compartiendo trucos prácticos y consejos relevantes. Mis artículos están redactados de manera clara, precisa y fácil de seguir, tanto si eres principiante como experto en la materia.