¿Qué es el phishing? – Definición, ejemplos y conciencia

Publicado el 19 noviembre, 2020 por Rodrigo Ricardo

Definición

Si tiene una cuenta de correo electrónico, probablemente haya recibido un correo electrónico de alguien que no conocía. En el mejor de los casos, simplemente estaba mal dirigido. En el peor de los casos, es posible que haya sido víctima de suplantación de identidad ( phishing) , que es el intento de obtener de forma engañosa información personal y segura a través de Internet, con el propósito de explotación y beneficio económico.

La información que suele ser objeto de los esquemas de phishing incluye contraseñas, nombres de usuario, información de cuentas bancarias y números de seguridad social. El término “phishing” es un juego de “pesca”: los piratas informáticos utilizan varias formas de “cebo” para atrapar a una víctima.

Tipos de phishing

El objetivo de los esquemas de phishing es atraer a las víctimas para que revelen información sensible a través de Internet. Esto se logra de diversas formas.

La forma más general de phishing implica un correo electrónico o un mensaje instantáneo que parece provenir de una fuente legítima, como un banco o una compañía de tarjetas de crédito. La comunicación solicita que el destinatario proporcione información como números de cuentas bancarias o contraseñas para cuentas de Internet. Un correo electrónico puede alentar a la víctima a completar un formulario con su información de inicio de sesión bancaria por “fines de seguridad”.

Esta forma de phishing logra el éxito al parecer que proviene de una entidad o persona confiable. Por ejemplo, el correo electrónico de phishing puede provenir de una dirección de correo electrónico real, o puede llevar la insignia o el logotipo de una institución bancaria real, con el fin de engañar al usuario para que crea que el remitente tiene una razón legítima para solicitar la información confidencial. Este esquema en particular se conoce como suplantación de identidad de correo electrónico . Como verá, la suplantación de correo electrónico ocupa un lugar destacado en la mayoría de los esquemas de phishing.

Muchas veces, es posible que un pirata informático ya tenga acceso a cierta información sobre una víctima que se puede utilizar para mejorar la probabilidad de éxito. En este escenario, el nombre y la dirección de la víctima pueden aparecer en la comunicación, dando crédito a la noción de que la comunicación se ha realizado con un propósito legítimo. El spear phishing , como se le conoce, es una forma selectiva de suplantación de identidad de correo electrónico y es la táctica de phishing más popular en uso en la actualidad.

Otra forma común implica el uso de sitios web y direcciones web falsos (conocidos como URL). En este tipo de esquema, la víctima es dirigida a un sitio web a través de un enlace incrustado en el correo electrónico inicial. Por ejemplo, la URL puede leer algo como www.realbank.com/account. Si bien la URL del correo electrónico puede parecer genuina, redirigirá a la víctima desconocida a un sitio web falso que se utiliza para recopilar información privada. Esta táctica se conoce como suplantación de sitios web y, a menudo, se utiliza junto con campañas de spear-phishing.

Medidas anti-phishing

Se han creado medidas anti-phishing para combatir el reciente aumento de ataques. Algunos se enfocan en el engaño tecnológico involucrado con los esquemas de phishing, a través del desarrollo e implementación de software anti-phishing. Este enfoque se ha convertido en un componente esencial de la infraestructura de seguridad digital de innumerables grandes corporaciones.

Los protocolos de inicio de sesión y registro en sitios web bancarios y comerciales también han evolucionado para proteger a los usuarios del phishing. Las nuevas medidas de contraseña, como exigir al usuario que responda preguntas preestablecidas específicas o seleccionar una imagen única para las credenciales de inicio de sesión, brindan una capa adicional de seguridad digital.

La mayoría de los navegadores de Internet vienen equipados con medidas anti-phishing integradas. Por ejemplo, navegadores como Firefox e Internet Explorer alertarán al usuario si visita un sitio web que ha sido marcado como un sitio de phishing. Además, los filtros de spam en las cuentas de correo electrónico pondrán automáticamente en cuarentena los correos electrónicos enviados desde fuentes cuestionables.

Desde 2004, la Comisión Federal de Comercio ha iniciado investigaciones y enjuiciamientos contra presuntos phishers que obtuvieron fraudulentamente información bancaria y de tarjetas de crédito de las víctimas. Empresas como Microsoft han demandado a los phishers por acceder ilegalmente a información de usuarios de bases de datos corporativas.

Además de las respuestas tecnológicas y legales, la conciencia de los usuarios se ha movido a la vanguardia del movimiento anti-phishing. Las empresas y entidades públicas (como las universidades) están haciendo mayores esfuerzos para educar a los empleados y estudiantes sobre los peligros de los esquemas de phishing y alertarlos sobre las señales de un mensaje o correo electrónico ilegítimo.

Resumen de la lección

El phishing es una forma de engaño que se utiliza para extraer información confidencial de personas a través del correo electrónico y otras formas de comunicación en línea. El objetivo de un esquema de phishing es atraer a un usuario de Internet que no lo sabe para que revele información como números de cuentas bancarias o contraseñas, haciéndose pasar por una entidad legítima, como un banco. Las respuestas a la epidemia de phishing van desde soluciones tecnológicas (como seguridad del navegador y filtros de spam) hasta conciencia social general a través de la educación del usuario.

Articulos relacionados