Con 12.700 millones de dólares en pérdidas en 2024 debido al fraude, ahora es más importante que nunca que usted conozca los distintos tipos de ciberdelitos y cómo podría ser víctima. ¿Uno de los más comunes y devastadoras? El phishing, pronunciado “fishing”, es la práctica de utilizar correos electrónicos, mensajes o sitios web engañosos para que personas desprevenidas compartan información personal con fines financieros.
Es un problema en rápido crecimiento que puede afectar a todos, desde personas comunes hasta pequeñas empresas y grandes corporaciones. Este artículo es su guía sobre el phishing: qué es, cómo funciona y los 10 tipos más frecuentes que debe conocer para mantenerse protegido.
Los ataques de phishing son un tipo de ciberdelito en el que los atacantes se hacen pasar por una entidad confiable (como un banco, una empresa o incluso un compañero de trabajo) para que las personas revelen información confidencial, incluidas contraseñas, números de tarjetas de crédito o credenciales de inicio de sesión. Estos ataques suelen ser complejos e implican una intensa investigación sobre el personal y la comunicación dentro de una organización.
Así es como funcionan:
Como un pescador que pone un cebo realista y atractivo en el anzuelo, los piratas informáticos le enviarán un mensaje que parece auténtico y que usted podría no detectar como fraudulento sin una revisión cuidadosa.
Phishing es un término general para este tipo de ataque, pero existen innumerables tipos de esquemas que debe tener en cuenta. A continuación, se muestran 10 ejemplos de phishing con los que se puede topar:
Este delito cibernético es una de las formas en que los piratas informáticos roban credenciales de inicio de sesión. En un informe de Barracuda que analizó 50 mil millones de correos electrónicos, los investigadores descubrieron que el phishing selectivo representaba menos del 0.1% de los correos electrónicos, pero condujo al 66% de infracciones exitosas. Este tipo de ataque de ingeniería social es es estratégico y está dirigido a individuos específicos que tienen acceso a los activos que desean los ciberdelincuentes.
La mayoría de las estafas de phishing funcionan estableciendo un objetivo, eligiendo un blanco, investigándolo y elaborando y enviando el mensaje de phishing. Por ejemplo, si un pirata informático supiera que quiere robar datos de clientes, se propondría robar las credenciales de inicio de sesión de su pequeña empresa. El mensaje que envían podría incluir un enlace malicioso a una página fraudulenta de “actualice su contraseña”, que envía a los ciberdelincuentes cualquier credencial que las víctimas ingresen.
El vishing, o phishing de voz, se refiere a llamadas telefónicas o mensajes de voz fraudulentos diseñados para engañarlo y que usted proporcione información confidencial para el beneficio económico del pirata informático. Sin embargo, a menudo no comienza con una llamada telefónica. Generalmente, las víctimas recibirán un correo electrónico o mensaje de texto sospechoso que les indicará que marquen un número urgentemente. Una vez que esta persona llama al número fradulento, los estafadores convencerán al objetivo de compartir detalles personales, como sus credenciales de inicio de sesión.
A menudo, los esquemas de vishing se dirigen a personas mayores, empleados nuevos y trabajadores que reciben llamadas externas como parte de su trabajo. Por ejemplo, un ciberdelincuente puede llamar a una mujer mayor y decir que es su nieto que necesita ayuda financiera urgente.
Recientemente se ha observado un aumento en las estafas con facturas, como mensajes de texto sobre peajes, autorizaciones de pago para compras y facturas falsas por servicios informáticos inexistentes.
Al igual que el vishing, el phishing por correo electrónico es una forma en que los ladrones digitales obtienen su información personal, pero únicamente por correo electrónico. Los ciberdelincuentes suelen atacar a empresas e individuos mediante correos electrónicos diseñados para parecer procedentes de un banco, una agencia gubernamental o una organización legítima.
Por ejemplo, puede recibir un correo electrónico de su tienda de ropa favorita indicando que ha ganado un descuento especial en su próxima compra: todo lo que tiene que hacer es ingresar la información de su tarjeta. Esto debería hacerle reflexionar y preguntarse si se trata de una oferta real, ya que este no es un método habitual para ninguna oferta legítima de una tienda.
La estafa de phishing HTTPS es un tipo de ciberataque en el que los piratas informáticos se hacen pasar por un sitio web confiable con protocolo HTTPS para engañarlo y hacer que proporcione información confidencial. Aunque este sitio parece y actúa como un sitio web normal, los datos que ingresa allí se envían directamente a los actores maliciosos.
Un ejemplo peligroso de esto es cuando los atacantes replican la página de inicio de sesión de un sitio web bancario, engañando a las personas para que ingresen sus credenciales, las cuales son capturadas y pueden utilizarse para su beneficio financiero.
Este tipo de fraude en línea implica el uso de códigos maliciosos para dirigir a las víctimas a sitios web falsificados con el fin de robar sus credenciales y datos. El pharming es un proceso de dos pasos que comienza cuando un atacante instala un código fraudulento en la computadora o servidor de una víctima. Ese código luego envía a esa persona a un sitio web falso donde se le pedirá que ingrese datos personales.
Por ejemplo, es posible que, sin darse cuenta, reciba malware malicioso o un virus a través de un correo electrónico o una descarga de software, que lo redirija a un sitio web falso creado por el pirata informático. Este sitio proporciona al ciberdelincuente acceso a toda la información personal y a las credenciales de inicio de sesión que usted ingrese.
Si bien algunas ventanas emergentes son útiles, otras son bastante dañinas y parecen provenir de organizaciones legítimas que le advierten sobre problemas de seguridad o de acceso a su cuenta. A menudo, este tipo de ventana emergente le informará que hay un problema con su computadora y le proporcionará un número de teléfono al que puede llamar y obtener ayuda. Al comunicarse con este número, el pirata informático generalmente le solicitará que pague dinero por soporte técnico u otros servicios con una tarjeta de regalo, una tarjeta de recarga de efectivo o una transferencia bancaria.
Un ataque de gemelo malicioso ocurre cuando un cibercriminal configura un punto de acceso Wi-Fi falso con la intención de que los usuarios se conecten a él en lugar de a uno legítimo. Al seleccionar esta red Wi-Fi falsa, un atacante puede acceder a todos los datos que usted comparte con la red. Un atacante puede crear un gemelo malicioso con cualquier dispositivo conectado a Internet y software disponible, lo que lo convierte en un tipo de ataque común, especialmente cuando las personas utilizan Wi-Fi público.
Por ejemplo, puede que usted esté en el supermercado de su barrio e intente conectarse al Wi-Fi de la empresa. Sin embargo, hace clic en un punto de acceso público no seguro creado por un atacante. Este atacante digital ahora puede acceder a cualquier información personal que tenga en su teléfono.
Como un grupo de animales que acuden a un mismo abrevadero, este tipo de ciberdelito ocurre cuando un atacante se dirige a un grupo específico infectando un sitio web que dicho grupo visita habitualmente. Si bien esta es una de las formas más raras de phishing, sigue teniendo altas tasas de éxito y brinda acceso a una gran cantidad de datos y detalles personales que las empresas almacenan en sus sistemas.
El whaling ocurre cuando un cibercriminal se hace pasar por un alto ejecutivo de una organización y dirige sus ataques a otros individuos importantes o de alto rango dentro de una empresa, con la intención de robar dinero o información confidencial. También conocido como fraude de CEO, este tipo de ataque de phishing suele utilizar correos electrónicos y suplantación de sitios web para instar a los altos mandos de la organización a realizar acciones específicas.
Por ejemplo, un atacante podría dirigirse a un ejecutivo de alto nivel con correos electrónicos que parezcan provenir de un director ejecutivo o un gerente financiero. Este falso CEO podría solicitar una gran transferencia de dinero o información sobre la nómina de sus empleados.
El phishing clonado es un tipo de ataque por correo electrónico en el que un atacante clona un mensaje de correo electrónico real, reemplazandolos archivos adjuntos por versiones falsas y maliciosas y luego lo reenvía haciéndose pasar por el remitente original. Estos archivos adjuntos pueden contener rootkits, ransomware u otro tipo de software diseñado para robar datos.
Por ejemplo, un atacante podría copiar un correo electrónico de bienvenida que usted envía a cada nuevo suscriptor del boletín informativo, que normalmente incluye archivos adjuntos a blogs o plantillas útiles. Sin embargo, cuando el destinatario recibe este correo electrónico falso, se enfrentará a un malware que le da al pirata informático acceso a su información personal y a sus credenciales de inicio de sesión.
En una época de tanta incertidumbre en lo que respecta a la tecnología y el fraude, vale la pena contar con una institución financiera confiable de su lado. Obtenga más información sobre las medidas de ciberseguridad y cómo abrir una cuenta con nosotros Conectándose con un miembro del equipo de Cathay Bank hoy.
Un ataque de phishing generalmente comienza con un correo electrónico, un mensaje de texto o un sitio web fraudulento que parece provenir de una fuente confiable. El atacante intenta engañar al destinatario para que haga clic en un enlace malicioso o proporcione información confidencial como contraseñas o números de tarjetas de crédito.
Un ejemplo de phishing es recibir un correo electrónico que parece provenir de su banco y que le pide verificar su cuenta haciendo clic en un enlace. Este enlace conduce a un sitio web falso que captura sus credenciales de inicio de sesión cuando intenta iniciar sesión.
Si bien cualquier tipo de esquema puede sucederle incluso a la persona más desprevenida, los tipos de tácticas de phishing más comunes son:
Es posible que note actividad inusual en sus cuentas, como cambios de contraseña inesperados, transacciones no autorizadas o alertas de inicio de sesión desde ubicaciones desconocidas. Si sospecha que se trata de un ataque de phishing, cambie sus contraseñas de inmediato e informe el incidente a su equipo de TI o de seguridad.
Este artículo no constituye un asesoramiento legal, contable ni profesional de otro tipo. Aunque la información contenida en el presente pretende se precisa, Cathay Bank no asume responsabilidad por pérdidas o daños y perjuicios ocasionados por confiar en dicha información.
