Phishing: cómo evitar caer ante un correo engañoso
El phishing, una táctica utilizada por hackers que se hacen pasar por empresas reconocidas, es el ciberdelito más común y puede vaciar cuentas bancarias en segundos.
El phishing es un término bien conocido en el ámbito informático. Se trata de un método que busca engañar a los usuarios digitales para que compartan contraseñas, números de tarjetas de crédito u otra información confidencial.
La amenaza surge cuando los atacantes se hacen pasar por instituciones de confianza, a menudo empresas internacionales conocidas, y contactan a sus víctimas a través de diversos medios, siendo el correo electrónico el más utilizado recientemente.
Estas estafas no solo afectan a usuarios particulares, sino también a empresas. Recientemente, el Grupo Pepco informó que su filial húngara fue víctima de un sofisticado ataque de phishing, lo que los llevó a perder aproximadamente 15 millones de euros.
Asimismo, según un informe de la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA), el 84% de los empleados caen en la trampa de correos electrónicos fraudulentos, respondiendo con información sensible o haciendo clic en enlaces o archivos adjuntos falsos, usualmente PDFs.
Estos incidentes particulares y las estadísticas generales resaltan la creciente amenaza de este ciberdelito recurrente, subrayando la necesidad de reforzar las defensas de ciberseguridad tanto en empresas como en dispositivos móviles particulares.
Cómo funciona el Phishing
Los correos electrónicos fraudulentos a menudo imitan comunicaciones legítimas de fuentes confiables, como compañeros de trabajo, socios comerciales u organizaciones reconocidas. Para ello, utilizan tácticas como la suplantación de direcciones de envío o la replicación de la imagen corporativa.
“Envían un sitio web para que la persona entre e ingrese los datos que le solicitan. El sitio es falso y una vez ingresados los datos, el hacker ya tiene acceso a sus contraseñas y puede manipular sus cuentas o lo que haya conseguido con esta técnica”, explica Sergio Marin, CEO de PAIP, una marca especializada en soluciones de ciberseguridad basadas en software. Los recursos de última tecnología hacen que detectar y combatir estas amenazas sea un verdadero desafío.
Los remitentes fraudulentos también utilizan identidades de empresas reconocidas a nivel mundial. Según un reciente informe de Check Point Technologies, entre las cinco principales se encuentran Microsoft, Google, LinkedIn, Apple y DHL.
En Argentina, las marcas más imitadas son Mercado Libre y su billetera virtual, Mercado Pago, con el objetivo de engañar a las personas y robar información personal o credenciales de pago.
“El éxito de los ataques de phishing radica en la explotación de las vulnerabilidades humanas. Los ciberdelincuentes aprovechan técnicas de manipulación psicológica, obligando a las víctimas a actuar impulsivamente sin evaluar completamente la legitimidad del correo electrónico”, advirtió un reciente informe de Kaspersky, una empresa de seguridad informática a nivel mundial.
Según Marin, el problema del phishing radica en que las personas siguen utilizando un método antiguo y poco práctico para acceder a sus cuentas. El sistema de contraseñas aplicado a los correos electrónicos fue inventado en 1961 y todavía se sigue utilizando hoy, después de 63 años. “Se desarrollaron variantes y protecciones adicionales pero la base y la forma sigue siendo la misma”, señala.
PAIP está trabajando en el desarrollo de un sistema antiphishing de última generación que incluye un sistema de códigos de acceso, reconocimiento facial y reconocimiento biométrico, con un sistema de ingreso único y exclusivo denominado “catchack”. Mientras tanto, en el contexto actual de extrema vulnerabilidad informática, es más que recomendable mantener la cautela frente a todo tipo de mensajes.
Cómo evitar un ataque de Phishing
En principio, si un usuario recibe un correo electrónico que solicita información personal o financiera, se recomienda no responder. Las organizaciones serias no solicitan información por este medio. Tampoco lo hacen por teléfono ni a través de mensajes SMS. Una alternativa es acceder a la página oficial de la organización, escribiendo la dirección web correspondiente en el navegador.
En el caso de haber respondido o haber hecho clic en algún enlace, es importante no volver a interactuar con este y revisar inmediatamente los resúmenes bancarios y de tarjeta de crédito. Si el usuario detecta cargos u operaciones no autorizadas, deberá comunicarse de inmediato con la entidad emisora.
Es importante no acceder desde lugares públicos. En la medida de lo posible, se recomienda evitar ingresar al sitio web de una entidad financiera o de comercio electrónico desde un cibercafé, locutorio u otro lugar público.
También es importante verificar los indicadores de seguridad del correo. Si es necesario realizar un trámite o proveer información personal a una organización, se recomienda que el usuario escriba la dirección web por sí mismo en el navegador y busque los indicadores de seguridad del sitio. Para hacerlo, el usuario deberá notar que la dirección web comienza con https://, donde la s indica que la transmisión de información es segura.
Por último, es importante mantener actualizado el software de la PC. En este sentido, los expertos recomiendan instalar las actualizaciones de seguridad del sistema operativo y de todas las aplicaciones que se utilicen, especialmente las de antivirus, cliente web y de correo electrónico.
