Un ataque de phishing es cuando los hackers intentan engañarle para que comparta información sensible. Su objetivo es robar inicios de sesión, números de tarjetas de crédito e información corporativa confidencial. También podrían intentar infectar sus equipos con malware.
El phishing hace referencia al intento de robo mediante dispositivos conectados. La acción podría ser manual o se podría ejecutar mediante una herramienta que automatice el proceso. También puede ser una combinación que comienza con una herramienta generada por script que abre la puerta para que un hacker complete el ataque manualmente.
El primer uso del término «phishing» se remonta al año 1994, cuando algunos adolescentes se las ingeniaron para robar manualmente números de la tarjeta de crédito de usuarios desprevenidos en AOL. Hacia 1995 crearon un programa llamado AOHell que hacía esta labor automáticamente por ellos.
Desde entonces los hackers han seguido inventando nuevas formas de obtener información de personas que se conectan a internet. Estos agentes han creado un gran número de programas y tipos de softwares maliciosos que aún se siguen utilizando en la actualidad. Algunas de estas herramientas se crearon con el único objetivo de hacer pruebas de penetración, es decir, para «hackear con permiso». No obstante, una vez que se crea una herramienta, los atacantes se las ingenian para utilizarla de forma maliciosa.
Desde entonces, los hackers han creado software malicioso específicamente para aplicaciones de phishing. Un ejemplo es la herramienta PhishX, que está diseñada para robar información bancaria. Mediante el uso de PhishX, los atacantes crean un sitio web bancario falso que parece ser un banco real en donde es posible que tenga una cuenta. Personalizan la página con sus números de teléfono y direcciones de email. Al hacer clic en «Contáctenos», establece comunicación directa con los hackers.
Phishing Frenzy es otro ejemplo de herramienta de phishing por email originariamente creada para pruebas de penetración. Phishing Frenzy resulta fácil de utilizar y, como consecuencia, numerosos hackers lo han utilizado.
Otra herramienta de phishing es Swetabhsuman8, la cual permite que los hackers creen páginas de inicio de sesión falsas para hackear cuentas de Instagram. Cuando intenta iniciar sesión, el hacker recopila su ID de usuario y contraseña.
Además de los sitios web falsos, las herramienta de phishing por email y las páginas de inicio de sesión maliciosas para robar sus credenciales, los hackers crean centros de llamadas conectados a un número de teléfono que recibe mediante uno de sus emails, sitios web falsos o mensajes de texto.
Los agentes de ransomware actuales normalmente atacan empresas grandes para obtener el máximo beneficio posible. Tienden a pasar una gran cantidad de tiempo conquistando cada sección de la red de la víctima hasta que finalmente inician su ataque de ransomware. Este tipo de ataques de varias etapas a menudo se inician con un sencillo email de phishing.
A pesar de que hay un gran número de distintos ataques de phishing, el phishing por email destaca como el más reconocible y prevalente. Este método de ataque se ha sofisticado más con la llegada del spear phishing, whaling y ataques guiados por láser. Los ataques de phishing también se han propagado desde los programas de email hasta las plataformas de comunicación, incluidos los mensajes de texto y las redes sociales.
Los ataques de phishing incluyen:
Los hackers adoran aprovecharse de nuestro mundo online. Lo hacen creando páginas de inicio de sesión o sitios web falsos para recopilar datos sensibles. Además de obtener acceso a los números de tarjetas de crédito, cuentas bancarias y credenciales de redes sociales, los agentes de amenazas intentan atacar los canales de redes sociales de sus amigos o compañeros de trabajo. Esto ocurre cuando un delincuente obtiene acceso a su cuenta y envía ataques de phishing a sus seguidores, amigos y compañeros de trabajo a través de un mensaje directo. La gran popularidad de las redes sociales ha hecho que este método sea el más común en la última década.
Hay muchos métodos que puede utilizar para protegerse. Lo primero y lo más importante es actuar con precaución.
Lo segundo que tiene que hacer es proteger sus cuentas. Las contraseñas tienen que tener 20 o más caracteres. Su contraseña no tiene por qué contener las cuatro opciones (mayúscula, minúscula, número y símbolo). Dos o tres son suficientes, pero aumente la seguridad cuando cree nuevas contraseñas. Muchas personas tienen problemas para recordar las contraseñas. Cree una contraseña larga que vaya a recordar. Guarde todas en un administrador de contraseñas como LastPass o Password Safe.
Y, lo más importante, habilite la autenticación en dos fases (2FA) en todas sus cuentas. Si la única opción que le proporciona el sitio es utilizar su teléfono para recibir un mensaje de texto con una contraseña de un solo uso, será mejor que utilizar solo la contraseña para acceder.
El National Institute of Standards and Technology (NIST) ha dejado de respaldar las contraseñas por SMS de un solo uso. Una mejor solución sería crear una contraseña de un solo uso utilizando una herramienta como Google Authenticator, Microsoft Authenticator o LastPass Authenticator. Busque estas opciones en la «configuración» de sus cuentas.
Utilice herramientas de software que le ayuden a ver las cosas que a usted se le escapen. Utilice herramientas de firewall, antivirus, anti-malware y anti-phishing. Elija sus navegadores sabiamente. ¿El que utiliza actualmente le protege detectando intentos de phishing? ¿Es posible añadir un complemento? Si la respuesta es no, entonces elija otro buscador.
Además de las recomendaciones anteriores para el personal, las organizaciones también deberían hacer lo siguiente:
Artículos relacionados
Investigaciones relacionadas