Lo primero, aclaremos el significado del término Phishing.
El termino Phishing se utiliza para referirse a uno de los métodos mas utilizados por delincuentes cibernéticos para estafar y obtener información confidencial de forma fraudulenta como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria de un usuario.
El Phishing en una suplantación de identidad, usado para poder obtener datos confidenciales. Normalmente, nos roban por el correo electrónico, ya que nos envían un mensaje que nos lleva a una página aparentemente buena cuando en realidad estamos accediendo a una página lista para robarnos. Y no no solo nos puede pasar por un correo electrónico, también con un WhatsApp o un SMS.
La verdad es que los ciberdelincuentes han declarado la guerra hace mucho ya a los servicios de identidad de las plataformas online. Es mucho más fácil engañar a una persona que a una máquina, de forma que se ataca por el eslabón más débil de la cadena, siendo más vulnerable el usuario que el firewall que lo protege, si es que existe.
Todos los usuarios del correo electrónico corremos el riesgo de ser víctimas de estos intentos de ataques. Cualquier dirección pública en Internet (que haya sido utilizada en foros, grupos de noticias o en algún sitio web) será más susceptible de ser víctima de un ataque debido a los spiders que rastrean la red en busca de direcciones válidas de correo electrónico. Éste es el motivo de que exista este tipo de malware. Es realmente barato el realizar un ataque de este tipo y los beneficios obtenidos son cuantiosos con tan sólo un pequeñísimo porcentaje de éxito.
¿Cómo protegerse de este tipo de ataques?
Como bien comenta Andrés Naranjo en su artículo, la mejor manera de protegerse del phishing es entender la manera de actuar de los proveedores de servicios financieros y otras entidades susceptibles de recibir este tipo de ataques. Mantenerse informados con las nuevas tendencias y tipos de ataques de phishing en nuestro Blog, Foro, Facebook o Twitter podría ayudar a prevenirles.
Siempre que ya estemos logueados en un servicio, un servicio de terceros que usa su autenticación, no debe pedírnosla de nuevo. En caso de duda, en este ejemplo, accedemos manualmente a https://steamcommunity.com/ en una pestaña nueva, y si ya estamos logueados (vemos nuestro nombre de usuario), estamos ante una trampa.
Y sobre todo, a pesar de esto, sigue siendo recomendable activar sistemas 2FA en nuestras cuentas más importantes, ya que significan un mayor nivel de esfuerzo para los atacantes.
Para tener una idea más detallada y profundizar un poco más sobre el Phishing recomendamos leer estas 3 publicaciones:
¿Qué es el Phishing?
Marcelo Rivero
Microsoft MVP Enterprise Security – Founder & CEO to ForoSpyware & InfoSpyware
Previene un ataque Phishing
Álvaro Catalinas
www.ciberseguridadpyme.es
La peligrosa evolución del Phishing tradicional
Andrés Naranjo
Analista de ciberinteligencia en ElevenPaths
Noviembre 2019
Jose María Serra / Dirección General en Pukkas Webs Design SL
