Cómo: Evitar los ataques de phishing

En su camino hacia la mejora de su seguridad digital, puede encontrarse con malos actores que intenten socavar sus objetivos de seguridad. A estos malos actores los llamamos adversarios. Cuando un adversario envía un correo electrónico (o mensaje de texto o mensaje en una app) o un enlace que parece inocente, pero que en realidad es malicioso se llama "phishing".

Un ataque de phishing suele presentarse en forma de mensaje destinado a convencerle de:

• hacer clic en un enlace
• abrir un documento
• instalar software en su dispositivo
• introducir su nombre de usuario y contraseña en un sitio web que parece legítimo

Los ataques de phishing suelen estar diseñados para engañarle y conseguir que facilite sus contraseñas o que instale malware en su dispositivo. Los atacantes pueden entonces usar el malware para controlar remotamente su dispositivo, robar información o espiarte.

Esta guía le ayudará a identificar los ataques de phishing cuando los vea y le indicará algunas formas prácticas de defenderse contra ellos.

Aunque en esta guía hablamos principalmente del phishing por correo electrónico, estas técnicas no se limitan al correo electrónico; pueden funcionar por teléfono, por SMS o en aplicaciones con funciones de chat.

Tipos de ataques de phishing anchor link

Suplantación de contraseñas (también conocido como robo de credenciales) anchor link

Los phishers intentan engañarle para que facilite sus contraseñas enviándole un enlace engañoso. Las direcciones web de un mensaje pueden parecer tener un destino, pero llevar a otro. En su ordenador, normalmente puede ver la URL de destino pasando el ratón por encima del enlace. Pero los enlaces pueden disfrazarse aún más con "letras parecidas" o utilizando nombres de dominio que tienen una letra menos que los nombres de dominio legítimos y pueden dirigirle a una página web que parece ir a un servicio que usted utiliza, como Gmail o Dropbox. Estas réplicas falsas de pantallas de inicio de sesión suelen parecer tan legítimas que resulta tentador teclear el nombre de usuario y la contraseña. Si lo haces, enviarás tus credenciales de inicio de sesión a los atacantes.

Así que, antes de escribir ninguna contraseña, mira la barra de direcciones de tu navegador web . Allí aparecerá el nombre de dominio real de la página. Si no coincide con el sitio al que crees que estás accediendo, ¡no continúes! Ver un logotipo corporativo en la página no confirma que sea real. Cualquiera puede copiar un logotipo o un diseño en su propia página para intentar engañarte.

Algunos phishers utilizan sitios que parecen direcciones web populares para engañarle: https://wwwpaypal.com/ es diferente de https://www.paypal.com. Del mismo modo, https://www.paypaI.com (con una "i" mayúscula en lugar de una "L" minúscula) es diferente de https://www.paypal.com.  Mucha gente utiliza acortadores de URL para que las URL largas sean más fáciles de leer o escribir, pero pueden utilizarse para ocultar destinos maliciosos. Si recibes de Twitter una URL acortada, como un enlace a t.co, prueba a introducirla en https://www.checkshorturl.com/ para ver adónde va realmente.

Tampoco confie en el remitente del correo electrónico. Es fácil falsificar correos electrónicos para que muestren una dirección de remitente falsa. Esto significa que comprobar la aparente dirección de correo electrónico del remitente no basta para confirmar que un mensaje ha sido enviado realmente por la persona de la que parece proceder.

Spearphishing (phishing de voz, phishing de SMS, etc.) anchor link

La mayoría de los ataques de phishing tienen un amplio alcance. Un atacante puede enviar correos electrónicos a cientos o miles de personas diciendo que tiene un vídeo emocionante, un documento importante, una notificación de envío o una disputa de facturación.

Pero a veces los ataques de phishing se basan en algo que el atacante ya sabe sobre una persona. Esto se llama "spearphishing". Imagina que recibes un correo electrónico de tu tío Boris que dice contener fotos de sus hijos. Como Boris realmente tiene hijos y parece que viene de su dirección, lo abres. Al abrir el correo electrónico, hay un documento PDF adjunto. Cuando abres el PDF, puede que incluso muestre fotos de los hijos de Boris, pero también instala silenciosamente malware en tu dispositivo que puede utilizarse para espiarte. El tío Boris no envió ese correo electrónico, sino alguien que sabe que tienes un tío Boris (y que tiene hijos). El documento PDF sobre el que hiciste clic inició tu lector de PDF, pero se aprovechó de un error de ese software para ejecutar su propio código. Además de mostrarte un PDF, también descargaba malware en tu ordenador. Ese malware podía recuperar tus contactos y grabar lo que veían y oían la cámara y el micrófono de tu dispositivo.

Otra forma de spearphishing es el phishing de voz, en el que un atacante se hace pasar por un objetivo específico, llegando incluso a crear un clon de su voz con IA. Si la voz suena rara o te pide cosas inusuales, como dinero, pídele que verifique su identidad de otra forma (por ejemplo, diciéndote algo que solo sepáis vosotros dos o enviando un mensaje desde otra cuenta).

La mejor manera de protegerse de los ataques de phishing es no hacer nunca clic en ningún enlace ni abrir ningún archivo adjunto. Pero este consejo es poco realista para la mayoría de la gente. A continuación, se indican algunas formas prácticas de defenderse contra el phishing.

Cómo defenderse de un ataque de phishing anchor link

Mantenga actualizado su software anchor link

Los ataques de phishing que utilizan malware a menudo se basan en errores de software para introducir el malware en su máquina. Normalmente, cuando se conoce un error, el fabricante de software publica una actualización para corregirlo. Esto significa que el software más antiguo tiene más errores conocidos públicamente que podrían utilizarse para ayudar a instalar malware. Mantener el software actualizado reduce los riesgos de malware.

Utilice un gestor de contraseñas con autorrelleno anchor link

Los gestores de contraseñas que rellenan automáticamente las contraseñas hacen un seguimiento de los sitios a los que pertenecen esas contraseñas. Aunque es fácil engañar a un ser humano con páginas de inicio de sesión falsas, los gestores de contraseñas no se engañan de la misma manera. Si utilizas un gestor de contraseñas (incluido el integrado en tu navegador) y se niega a rellenar automáticamente una contraseña, deberías dudar y comprobar dos veces el sitio en el que estás. Mejor aún, utiliza contraseñas generadas aleatoriamente, de modo que te veas obligado a confiar en el autocompletado y sea menos probable que escribas tu contraseña en una página de inicio de sesión falsa. Sin embargo, ten en cuenta que los sitios web pueden cambiar (y de hecho lo hacen) sus páginas de inicio de sesión, y a veces esto puede interferir en el correcto funcionamiento del autorrelleno, incluso en sitios web legítimos. En caso de duda, dirígete directamente a la página de inicio de sesión de un sitio web desde tu navegador, no haciendo clic en un enlace de un mensaje.

Verificar correos electrónicos y mensajes de texto con remitentes anchor link

Una forma de determinar si un correo electrónico o un mensaje de texto es un ataque de phishing es comprobarlo a través de un canal diferente con la persona que supuestamente lo envió. Si el mensaje procede supuestamente de su banco, no haga clic en los enlaces. En su lugar, llame a su banco o abra el navegador y escriba la URL del sitio web de su banco. Del mismo modo, si tu tío Boris te envía un archivo adjunto de aspecto extraño, envíale un mensaje de texto y pregúntale si te ha enviado fotos de sus hijos antes de abrirlo.

Abrir documentos sospechosos en Google Drive anchor link

Algunas personas esperan recibir documentos adjuntos de personas desconocidas. Por ejemplo, los periodistas suelen recibir documentos de fuentes. Pero puede ser difícil verificar que un documento de Word, una hoja de cálculo de Excel o un archivo PDF no son maliciosos.

En estos casos, no haga doble clic en el archivo descargado. En su lugar, cárgalo en Google Drive o en otro lector de documentos en línea. Esto convertirá el documento en una imagen o HTML, lo que casi con toda seguridad evitará que instale malware en tu dispositivo.

Si se siente cómodo aprendiendo nuevo software, está dispuesto a dedicar tiempo a configurar un nuevo entorno para leer el correo o documentos ajenos, y recibe suficientes correos de este tipo como para justificar los requisitos de tiempo extra, considera la posibilidad de utilizar un sistema operativo dedicado diseñado para limitar el efecto del malware. Tails es un sistema operativo basado en Linux que se borra a sí mismo después de que lo utilices. Qubes es otro sistema basado en Linux que separa cuidadosamente las aplicaciones para que no puedan interferir entre sí, limitando el efecto de cualquier malware. Ambos están diseñados para funcionar en ordenadores portátiles o de sobremesa.

También puede enviar enlaces y archivos que no sean de confianza a VirusTotal, un servicio en línea que comprueba archivos y enlaces con varios motores antivirus e informa de los resultados. Esto no es infalible (los antivirus no suelen detectar nuevos programas maliciosos o ataques selectivos), pero es mejor que nada. Sin embargo, ten en cuenta que cualquier archivo o enlace que subas a un sitio web público, como VirusTotal o Google Drive, puede ser visto por cualquier persona que trabaje para esa empresa, o posiblemente cualquier persona con acceso a ese sitio web, como en el caso de VirusTotal. Si la información contenida en el archivo son comunicaciones sensibles o privilegiadas, es posible que desee considerar una alternativa.

Utilizar una clave de segundo factor universal (U2F) al iniciar sesión anchor link

Algunos sitios le permiten utilizar un token de hardware especial con funciones avanzadas para evitar intentos de phishing. Estos tokens (o "llaves") se comunican con tu navegador para establecer credenciales por sitio para iniciar sesión. Esto se denomina segundo factor universal o "U2F", porque es una forma estándar de requerir un segundo método de autenticación, además de la frase de contraseña, al iniciar sesión. Sólo tienes que iniciar sesión normalmente y (cuando se te pida) conectar la llave a tu ordenador o smartphone y pulsar un botón para iniciar sesión. Si estás en un sitio de phishing, el navegador sabrá que no debe iniciar sesión con las credenciales establecidas en el sitio legítimo. Esto significa que aunque un phisher te engañe y robe su frase de contraseña, no pondrá en peligro su cuenta. Yubico (uno de los fabricantes de este tipo de claves) ofrece más información sobre U2F.

Esto no debe confundirse con la autenticación de dos factores en general, que puede o no proporcionar protección contra el phishing. Las claves de acceso son una opción más reciente de inicio de sesión que puede proporcionar protección contra el phishing, y debería considerar utilizarla cuando se la ofrezcan. Con las claves de acceso, el navegador sabe exactamente qué sitio corresponde a cada clave y no se deja engañar por sitios web falsos.

Cuidado con las instrucciones por correo electrónico anchor link

Algunos correos electrónicos de phishing dicen proceder de un departamento de asistencia informática o de una empresa de tecnología y le piden que responda con sus contraseñas, que permita a un "reparador informático" acceder remotamente a su ordenador o que desactive alguna función de seguridad de su dispositivo. Estos correos suelen tener un tono insistente e intentan utilizar el miedo para engañarle.

Por ejemplo, un correo electrónico puede dar una supuesta explicación de por qué es necesario, alegando que su buzón de correo electrónico está lleno o que su ordenador ha sido pirateado. Por desgracia, seguir estas instrucciones fraudulentas puede ser perjudicial para su seguridad. Tenga especial cuidado antes de dar a nadie datos técnicos o seguir instrucciones técnicas a menos que pueda estar absolutamente seguro de que la fuente de la solicitud es genuina. La mayoría de las empresas no se pondrán en contacto contigo para solucionar el problema. Como mucho, pueden enviarte una notificación sobre un próximo cambio o un exceso de datos junto con un enlace a documentación pública.

Si alguien le envía un correo electrónico o un enlace sospechoso, no lo abra ni haga clic en él hasta que haya mitigado la situación con los consejos anteriores y pueda estar seguro de que no es malicioso.

Desactive las imágenes externas en su software de correo electrónico anchor link

Las imágenes dentro de un correo electrónico pueden utilizarse para rastrear quién lo ha abierto y cuándo. Es probable que hayas encontrado muchas de estas imágenes en correos electrónicos de marketing, pero también pueden ser útiles en el phishing. Así que, en lugar de permitir que todas las imágenes se carguen en cada correo electrónico todo el tiempo, lo mejor es configurar tu cliente de correo electrónico -ya sea una aplicación como Outlook o un servicio como Gmail- en "Preguntar antes de mostrar imágenes externas". Con esta opción configurada, tendrás que hacer clic en una opción en cada correo electrónico para cargar las imágenes. Algunas aplicaciones de correo electrónico también pueden ofrecer otras medidas de privacidad, como la aplicación Mail de Apple, que carga todas las imágenes de forma remota por defecto.