Cómo evitar los ataques de phishing o suplantación de identidad

El phishing se produce cuando un atacante envía un correo electrónico o un enlace que parece inocente pero que realmente es malicioso. Estos ataques son una forma común en la que los usuarios se infectan con malware (programas que se ocultan en tu ordenador y que pueden usarse para controlarlo remotamente, robar información o espiarte).

En un correo de este tipo, el atacante debe motivarte a abrir un enlace o un adjunto que pueda contener malware. Esto también puede ocurrir a través de un chat. Es importante revisar los enlaces que nos envían por correo electrónico o chat.

Las direcciones en los correos electrónicos pueden ser engañosas, en un correo pueden aparecer de una forma y decir una cosa pero si pasas el ratón por encima para ver a dónde realmente llevan, pueden mostrar otra.

Algunos de estos atacantes usan sitios que se parecen a páginas web populares para engañarte: ¡http://wwwcnn.com/ es diferente de http://www.cnn.com/! Mucha gente usa acortadores de direcciones para hacerlos más fáciles de leer o escribir: pero también se pueden usar para ocultar destinos maliciosos. Si se trata de una dirección acortada como un enlace t.co de Twitter, intenta ponerlo en http://www.checkshorturl.com/ para ver a dónde llevan realmente.

Otra forma de engañarte es enviarte un enlace que dice contener un archivo alojado en servicios como Google Docs o Dropbox. Si sigues el enlace verás lo que parece ser la pantalla de inicio de uno de esos servicios y serás animado a tipear tu nombre de usuario y contraseña. Pero el enlace puede haber llevado a un sitio falso con una réplica de la pantalla de inicio de sesión. Por lo tanto, si sigues el enlace, antes de escribir ninguna contraseña comprueba la dirección en tu navegador web, te mostrará la dirección real de donde procede la página. ¡Si no muestra el sitio web esperado, no continúes!

Recuerda que el hecho de ver el logo corporativo de la página web no es suficiente para confirmar que sea real, cualquiera puede copiar el logo o diseño en su propia página web para intentar engañarte.

¿Cómo funciona el «phishing»? Anchor link

Imagina que recibes un correo electrónico de tu tío Boris diciendo que contiene imágenes de sus hijos. Como Boris realmente tiene hijos y el correo parece venir de su cuenta, lo abres. Cuando lo haces, hay un documento en Word adjunto que al abrirlo, hace que una ventana extraña aparezca unos segundos para luego desaparecer. Ahora tu pantalla muestra un documento de texto con caracteres ilegibles ¡o incluso imágenes de los niños de Boris!

El tío Boris no mandó ese correo, pero alguien que sabe que tienes un tío Boris (y que tiene niños) sí. El documento en Word que has abierto ha abierto el programa Word, pero se aprovechó de una falla en el software para correr su propio código. Además de mostrarte el archivo de texto ha descargado malware a tu ordenador. Este malware podría hacer una copia de tus datos y registrar lo que ven y oyen los micrófonos y cámara de tu dispositivo.

Es fácil falsificar correos electrónicos para mostrar falsas direcciones. Esto significa que revisar la dirección de correo electrónico para confirmar que el correo ha sido realmente enviado por quien parece ser no es suficiente.

Otros ataques fraudulentos de este tipo son menos directos: alguien podría enviar un correo a cientos o miles de personas afirmando tener un vídeo viral, un importante documento, una disputa de dinero o ser del departamento de soporte de tu ordenador. A veces, en lugar de instalar un software en tu ordenador, esos correos electrónicos piden información personal, detalles financieros o contraseñas. Algunos de sus receptores serán engañados y pasarán la información sensible que pedía el mensaje.

Cómo ayudar a defenderse de un ataque de «Phishing» Anchor link

La mejor forma de protegerte de estos ataques es no abrir nunca ningún enlace o adjunto que sean enviados a tu correo: esto es imposible para la mayoría de la gente. Pero, ¿cómo diferenciamos entre los adjuntos y enlaces maliciosos y los que no lo son?

Verifica los correos de los remitentes

Una forma de determinar si un correo es un ataque fraudulento es precisamente comprobar si la persona te lo envió a través de otro medio. Si el correo supuestamente fue enviado desde tu banco, podrías llamar a tu banco o abrir tu navegador y escribir la URL de la página web de tu banco en lugar de abrir algún enlace del correo. Del mismo modo, en lugar de abrir los adjuntos de tu tío Boris, podrías llamarle por teléfono y preguntarle si realmente te envió las fotos de sus niños.

Pon archivos en tu página web o en un servicio para compartir archivos

Si envías archivos frecuentemente a alguien, como un compañero de trabajo, considera enviarlos por otros medios más fácilmente verificables que dentro de un adjunto de correo. Sube esos archivos a un servidor privado al que ambos tengan acceso como Google Drive, SpiderOak o Dropbox. Si normalmente compartes los archivos subiéndolos a tu página web o poniéndolos en el servidor de una compañía, un correo tuyo con un adjunto inmediatamente puede ser visto como sospechoso por el destinatario. Infiltrarse y cambiar la información de un servidor es (esperamos) más difícil que redactar un correo electrónico falso.

Abre los documentos sospechosos con un lector de documentos en línea

Hay quien espera recibir adjuntos de personas desconocidas. Especialmente, por ejemplo, si son periodistas esperando documentos de sus fuentes o al tratar con el público en una organización. En estos casos es difícil verificar qué el documento o enlace que vas a abrir no es malicioso.

Para documentos como éstos, prueba a abrirlos con Google Docs, Etherpad o algún otro lector de documentos en línea. Esto a menudo puede mitigar algunos de los ataques comunes que se adjuntan en documentos maliciosos.

Si estás a gusto aprendiendo a usar software nuevo y estás dispuesto a pasar mucho tiempo configurando un nuevo ambiente para leer correos o documentos extraños, hay sistemas operativos dedicados diseñados para limitar los efectos del malware. TAILS es un sistema operativo basado en Linux que se elimina después de usarlo. Qubes

es otro sistema operativo basado en Linux que cuidadosamente separa aplicaciones para que no puedan interferir entre sí, limitando el efecto de cualquier malware. Ambos están diseñados para trabajar con ordenadores portátiles y de escritorio.

También puedes enviar enlaces de los que desconfíes a VirusTotal, , un servicio en línea que verifica archivos y enlaces contra diferentes motores antivirus y reporta los resultados. Esto no es infalible (pues el antivirus a veces no detecta malware nuevo o ataques dirigidos) pero si todavía no usas un antivirus, es mejor que nada.

Cualquier archivo o enlace que hayas subido a una página web pública como VirusTotal o Google Docs, puede ser visto por cualquiera que trabaje para la compañía u posiblemente cualquiera con acceso a esa página web. Si la información que contiene es sensible o secreta, deberías considerar una alternativa.

Sé prudente con las instrucciones recibidas por correo

Algunos correos electrónicos fraudulentos dicen ser de un departamento de soporte de ordenadores o de una compañía tecnológica y piden que envíes tus contraseñas, o dar acceso remoto a un «técnico de reparación de ordenadores», desactivar alguna configuración de seguridad de tu dispositivo o instalar un programa nuevo. Te pueden dar una explicación detallada de por qué es necesario, por ejemplo afirmando que tu bandeja de correo está llena o tu ordenador está malogrado o ha sido hackeado. Desafortunadamente, las consecuencias de obedecer estas instrucciones fraudulentas pueden ser terribles para tu seguridad. Sé especialmente cauteloso antes de dar cualquier información técnica o al seguir instrucciones técnicas a no ser que estés totalmente seguro de que la fuente es real.

Usa autenticación del correo electrónico

Una técnica más complicada, pero efectiva para prevenir los correos fraudulentos es usar software que pueda ayudar a asegurar que un correo es de quien dice que es y no haya sido manipulado. Usar PGP para cifrar y firmar tus correos peude hacer eso. Si firmas un correo electrónico usando PGP le estás diciendo al destinatario que el contenido firmado sólo puede venir de alguien que tiene tu llave privada de PGP y que su contenido está, por tanto, lejos de ser malicioso por lo general. La desventaja de este método es que ambas partes deben tener PGP instalado y saber cómo usarlo.

Si crees que un correo o un enlace que te han enviado es sospechoso, no lo abras o cliquees en él hasta que hayas descartado la situación con los consejos de arriba y puedas tener la certeza de que no es malicioso.

Última actualización: 
2015-11-04
Esta página fue traducida desde el inglés. La versión en lengua inglesa puede estar más actualizada.
JavaScript license information