¿por qué es tan eficaz el phishing?

El phishing es un ciberdelito eficaz y peligroso porque se basa en la confianza inherente de la gente en Internet. La idea de que los delincuentes sean capaces de engañarte para que entregues información privada es difícil de creer para la mayoría de la gente, lo que hace que incluso las personas bien intencionadas sean víctimas de un ataque de phishing.

Factores clave que hacen del phishing un ciberdelito eficaz y peligroso

El phishing es un ciberdelito común que puede cometerse fácilmente y ser difícil de detectar. Aunque el phishing existe desde hace décadas, sigue siendo una gran amenaza tanto para las empresas como para los particulares.

  • El phishing es un ciberdelito eficaz porque es muy sencillo. Se envía un correo electrónico, o se publica algo en las redes sociales, que parece provenir de una empresa o persona legítima. Te pide que entres en tu cuenta y cambies tu contraseña o introduzcas otra información, como números de tarjetas de crédito o contraseñas de otras cuentas que tengas.
  • La razón por la que el phishing es tan eficaz es que los autores pueden dirigirse a individuos o grupos de personas específicos. Además, disponen de una gran variedad de métodos que pueden utilizar para engañar a sus víctimas y hacer que entreguen su información. 

Por ejemplo, pueden enviar un correo electrónico que parece ser de una empresa legítima (como Google) pidiéndole que inicie sesión en su cuenta en su sitio web. Si caes en este truco, te roban el nombre de usuario y la contraseña.

  • Otra razón por la que el phishing es un delito tan eficaz es que todavía no existen leyes contra él: en este momento sólo se considera acoso o fraude en línea. Esto significa que las víctimas no tienen recursos legales cuando alguien roba su información personal a través de estafas de phishing como las mencionadas anteriormente.
  • Incluso en los últimos años no hay mucha concienciación sobre el phishing. La mayoría de los empleados de las empresas, los propietarios de dominios y los particulares sólo han escuchado fugazmente el término "phishing" sin entender bien cómo se ejecuta y qué pueden hacer para protegerse contra él.
  • Parte de la razón es que el phishing es muy fácil de ejecutar. Todo lo que se necesita es un ordenador y unos conocimientos básicos sobre su uso. Eso hace que los phishings sean baratos y fáciles de llevar a cabo, y por eso son tan peligrosos.
  • La otra parte es que los seres humanos son realmente buenos para ser engañados. Nuestros cerebros están hechos para creer lo que nos dicen nuestros ojos, y los phishers han aprendido a explotar esta tendencia para conseguir que la gente actúe en contra de sus propios intereses. 

Por eso, aunque sabemos que es mejor no abrir un correo electrónico de alguien que no conocemos o hacer clic en los enlaces de los correos electrónicos enviados por personas que no conocemos, a veces lo hacemos, porque nuestro cerebro quiere que creamos que esas cosas son seguras.

¿Cómo detectar los intentos de phishing?

Asegúrese de que el correo electrónico enviado es auténtico

Si no estás seguro de si es real o no, hay algunas cosas que puedes hacer para comprobarlo. En primer lugar, si la persona que lo ha enviado es alguien que conoces (como tu jefe), llámale y pregúntale si realmente lo ha enviado. Si te dice que sí, haz lo que te ha pedido. Pero si te dicen que no... ¡entonces puede que haya algo sospechoso!

En segundo lugar, fíjate en la dirección de correo electrónico: ¿parece una dirección oficial de la empresa? A menudo, este tipo de correos electrónicos se envían desde una dirección que termina en "mailinator" o algo similar, lo que significa que no es realmente de ellos.

Autenticar sus mensajes

Para evitar las conjeturas, puede considerar la posibilidad de autenticar sus mensajes de correo electrónico mediante protocolos fiables como SPF, DKIM y, sobre todo, DMARC, DMARC. La autenticación puede ayudar a los propietarios de dominios a prevenir una amplia gama de ciberataques, como la suplantación de identidad, el phishing, el ransomware y el BEC.

Busque signos reveladores

  1. Busca faltas de ortografía, mala gramática y otros errores en el correo electrónico. La mayoría de los correos electrónicos de phishing contienen al menos un error, ya que han sido creados por estafadores que no son hablantes nativos de inglés.
  2. Busque los enlaces en el correo electrónico. Si el enlace te dirige a un sitio web que no está asociado con tu banco o tienda online, probablemente no sea seguro hacer clic en él.
  3. Verifique los números de teléfono que aparecen en el correo electrónico utilizando una fuente de confianza como Google Voice o Skype antes de devolver la llamada, incluso si parecen legítimos. También puedes llamar a tu banco directamente sin compartir ninguna información sensible por teléfono si sospechas de una solicitud por correo electrónico."

Lea nuestra guía detallada sobre Indicadores comunes de un intento de phishing.

¿Cómo evitar el phishing?

Para evitar ser estafado, siga estos consejos:

  1. Nunca haga clic en enlaces de phishing en correos electrónicos o mensajes de texto a menos que sepas de dónde proceden (y si te piden información personal).
  2. Mira la dirección de correo electrónico del remitente y compárala con su dirección real (si la ha facilitado). Si no parece correcta o tiene faltas de ortografía u otros errores, no la abras.
  3. Haga cumplir su política DMARC a p=reject (tenga en cuenta que el cambio a aplicación de DMARC debe ser un proceso gradual, y siempre se recomienda empezar con p=none)
  4. Eduque a sus empleados sobre los vectores de ataque al correo electrónico y las mejores prácticas realizando un curso gratuito de formación sobre DMARC.

Palabras finales

Los ataques de phishing no sólo ponen a su red en riesgo de violación de datos e infecciones de malware, sino que también cuestan a las empresas millones de dólares en pérdidas de ingresos y daños a su reputación cada año (según IBM). La mejor manera de prevenir estos ataques es mediante la concienciación, la detección temprana y la prevención eficaz.