Cómo evitar los ataques de phishing o suplantación de identidad

En su camino hacia mejorar su seguridad digital, puede encontrarse con actores maliciosos intentando socavar sus objetivos de seguridad. Llamamos a estos actores adversarios, o atacantes. Cuando un atacante envía un correo electrónico o enlace que parece inocente, pero en realidad es malicioso, se llama phishing.

Un ataque de phishing suele venir en forma de un mensaje destinado a convencerlo a:

• hacer click en un enlace;
• abrir documentos;
• instalar software en tu dispositivo; o
• ingresar su nombre de usuario y contraseña en un sitio web que luce legítimo.

Los ataques de phishing pueden engañarle para que revele sus contraseñas o para que instale malware en su dispositivo. Los atacantes pueden usar malware para controlar remotamente su dispositivo, robar información o espiarlo.

Esta guía le ayudará a identificar ataques de phishing cuando los vea y describirá algunas maneras prácticas de ayudar a defenderse contra ellos.

Tipos de ataques de phishing anchor link

Phishing de contraseñas (también conocido como cosecha de credenciales) anchor link

Los Phishers pueden engañarlo para que les de sus contraseñas enviándoles un enlace fraudulento. Las direcciones Web de un mensaje pueden parecer tener un destino, pero llevarlo a otro. En su computadora, verá, generalmente, la URL de destino deslizando el ratón sobre el enlace. Sin embargo, los vínculos pueden disfrazarse con letras similares o mediante nombres de dominio que están a un caracter de los nombres de dominio legítimos y pueden dirigirlo a una página web que parezca ir a un servicio que utilice, como Gmail o Dropbox. Estas falsas pantallas de inicio de sesión de réplica a menudo parecen tan legítimas que es tentador escribir su nombre de usuario y contraseña. Si lo hace, enviará sus credenciales de inicio de sesión a los atacantes.

Así que antes de ingresar contraseñas, mire la barra de direcciones de su navegador web . Se mostrará el nombre de dominio real de la página. Si no coincide con el sitio en el que piensa conectarse, ¡no continúe! Recuerde que un logotipo corporativo en la página no confirma que este sea real. Cualquiera puede copiar un logotipo o diseño en su propia página para tratar de engañarlo.

Algunos phishers usan sitios que parecen direcciones Web populares para engañarle: https://wwwpaypal.com/ es diferente de https://www.paypal.com/. Del mismo modo https://www.paypaI.com/ (con mayúscula "i" en lugar de una minúscula "L") es diferente de https://www.paypal.com/. Muchas personas usan los abreviadores de URL para hacer que las URL largas sean más fáciles de leer o escribir, pero éstas pueden usarse para ocultar destinos maliciosos. Si recibe una URL abreviada como un enlace t.co de Twitter, pruebe a publicarla en https://www.checkshorturl.com/ para ver a dónde va realmente.

Recuerde, es fácil falcificar correos electrónicos para que muestren una falsa dirección de respuesta. Esto significa que comprobar la aparente dirección de correo electrónico del remitente no es suficiente para confirmar que un correo electrónico realmente fue enviado por la persona que aparenta ser.

Spearphishing anchor link

La mayoría de los ataques de phishing usan una red amplia. Un atacante podría enviar correos electrónicos a cientos o miles de personas afirmando tener un video emocionante, un documento importante o una disputa de facturación.

Pero a veces los ataques de phishing están dirigidos en función de algo que el atacante ya sabe sobre un individuo. Esto se llama "spearphishing". Imagina que recibes un correo electrónico de tu tío Boris que dice que contiene imágenes de sus hijos. Puesto que Boris en realidad tiene hijos y parece que el correo viene de su dirección, lo abre. Al abrir el correo electrónico, hay un documento PDF adjunto a él. Al abrir el PDF, puede -incluso- mostrar imágenes de los niños de Boris, pero también instalará silenciosamente el malware en su dispositivo y puede ser utilizado para espiarlo. Tío Boris no envió ese correo electrónico, pero alguien que sabe que tiene un tío Boris (y que este tiene hijos) lo hizo. El documento PDF en el que hizo clic inició su lector de PDF, pero aprovechó un error en ese software para ejecutar su propio código. Además de mostrarle un PDF, también descargó un malware en su computadora. Ese malware podría copiar sus contactos y registrar lo que ve y oye la cámara y el micrófono de tu dispositivo.

La mejor manera de protegerse de los ataques de phishing es no hacer clic en ningún enlace o no abrir ningún archivo adjunto. Pero este consejo es poco realista para la mayoría de la gente. A continuación se presentan algunas formas prácticas de defenderse contra el phishing.

Cómo defenderse de un ataque de «Phishing» anchor link

Mantenga actualizado su software anchor link

Los ataques de phishing que utilizan malware a menudo se basan en vulnerabilidades en el software para instalar el malware en su máquina. Por lo general, una vez que un error se conoce, un fabricante de software lanzará una actualización para solucionarlo. Esto significa que el software más antiguo tiene más bugs conocidos públicamente que podrían ser utilizados para facilitar la instalación del malware. Mantener el software actualizado reduce los riesgos de malware.

Utilice un administrador de contraseñas con relleno automático anchor link

Los administradores de contraseñas que rellenan automáticamente las contraseñas mantienen un registro de los sitios a los que pertenecen esas contraseñas. Mientras que es fácil para un humano ser engañado por páginas de ingreso fraudulentas, los administradores de contraseñas no son engañados de la misma manera. Si utiliza un administrador de contraseñas (incluido el gestor de contraseñas incorporado en su navegador) y se niega a rellenar automáticamente una contraseña, debe dudar y revisar el sitio en el que se encuentra. Mejor aún, use contraseñas generadas al azar para que se vea obligado a confiar en el auto-relleno y sea menos probable que escriba su contraseña en una página de inicio de sesión falsa.

Verifique las direcciones de correo con los remitentes anchor link

Una forma de determinar si un correo electrónico es un ataque de phishing es verificar con la persona que lo envió a través de un canal diferente. Si el correo electrónico fue supuestamente enviado desde su banco, no haga clic en los enlaces en el correo electrónico. En su lugar, llame a su banco o abra su navegador y escriba la URL del sitio web de su banco. Del mismo modo, si su Boris envía un archivo adjunto por correo electrónico, llámelo por teléfono y pregúntele si envió fotos de sus hijos antes de abrirlas.

Abra documentos sospechosos en Google Drive anchor link

Algunas personas suelen recibir archivos adjuntos de personas desconocidas. Por ejemplo, los periodistas suelen recibir documentos de fuentes. Sin embargo, puede ser difícil verificar que un documento de Word, una hoja de cálculo de Excel o un archivo PDF no sea malicioso.

En estos casos, no haga doble clic en el archivo descargado. En su lugar, carguelo en Google Drive u otro lector de documentos en línea. Esto convertirá el documento en una imagen o en HTML, lo que casi con seguridad le impedirá instalar software malicioso en su dispositivo. Si está cómodo con el aprendizaje de nuevos programas y está dispuesto a dedicar tiempo a crear un nuevo entorno para la lectura de documentos de correo o extranjeros, existen sistemas operativos diseñados a limitar el efecto del malware. TAILS es un sistema operativo basado en Linux que se borra después de usarlo. Qubes es otro sistema basado en Linux que separa cuidadosamente las aplicaciones para que no puedan interferir entre sí, limitando el efecto de cualquier malware. Ambos están diseñados para trabajar en computadoras portátiles o de escritorio.

También puede enviar enlaces y archivos no confiables a VirusTotal, un servicio en línea que comprueba archivos y vínculos contra varios motores antivirus diferentes e informa de los resultados. Esto no es infalible -los antivirus a menudo no detectan nuevos programas maliciosos o ataques dirigidos - pero es mejor que nada.

Cualquier archivo o vínculo que suba a un sitio web público, como VirusTotal o Google Drive, puede ser visto por cualquier persona que trabaje para esa empresa, o posiblemente cualquier persona con acceso a ese sitio web. Si la información contenida en el archivo es una comunicación confidencial o confidencial, es posible que desee considerar una alternativa.

Usar una llave de Segundo Factor Universal (U2F) en el inicio de sesión anchor link

Algunos sitios le permiten utilizar un Token de harware especial con capacidades avanzadas para evitar intentos de phishing. Estos tokens (o "llaves") se comunican con su navegador para establecer credenciales por sitio para iniciar sesión. A esto se le llama el Segundo Factor Universal o "U2F", porque es un estándar

Es una forma de requerir un segundo método de autenticación, además de su frase de contraseña, al iniciar sesión. Simplemente inicie sesión normalmente y (cuando se le solicite) conecte la llave a su computadora o teléfono inteligente y pulse un botón para iniciar sesión. Si se encuentra en un sitio con riesgo de phishing, el navegador sabrá que no debe iniciar sesión con las credenciales establecidas en el sitio legítimo. Esto significa que incluso si un phisher le engaña y roba su frase de contraseña, no comprometerá su cuenta. Yubico (uno de los fabricantes de estas llaves) proporciona más información sobre el U2F.

Esto no debe confundirse con la autenticación de dos factores en general, que puede o no proporcionar protección contra el phishing.

Tenga cuidado con las instrucciones enviadas por correo electrónico anchor link

Algunos correos electrónicos de phishing afirman pertenecer a un departamento de soporte informático o empresa de tecnología y le piden que responda con su contraseña, o que permita a un usuario de reparación de computadoras un acceso remoto a su computadora o deshabilite alguna función de seguridad en su dispositivo. El correo electrónico podría dar una explicación de por qué esto es necesario, alegando, por ejemplo, que su buzón de correo electrónico está lleno o que su computadora ha sido hackeada. Desafortunadamente, obedecer estas instrucciones fraudulentas puede ser malo para su seguridad. Tenga mucho cuidado antes de darle a nadie datos técnicos o seguir instrucciones técnicas a menos que pueda estar absolutamente seguro de que el origen de la solicitud es genuino.

Si sospecha de un correo electrónico o enlace que alguien le ha enviado, no lo abra ni haga clic en él hasta que haya mitigado la situación con los consejos anteriores y pueda estar seguro de que no es malintencionado.