Platzi
Platzi

Suscríbete a Expert y aprende de tecnología al mejor precio anual.

Antes:$249
$209
Currency
Antes:$249
Ahorras:$40
COMIENZA AHORA
68

Qué es el phishing y cómo te puedes proteger

4310Puntos

hace 3 meses

Curso de Introducción a la Ingeniería Social: Técnicas, Ataques y Pretexting
Curso de Introducción a la Ingeniería Social: Técnicas, Ataques y Pretexting

Curso de Introducción a la Ingeniería Social: Técnicas, Ataques y Pretexting

Las personas somos el eslabón más débil en cuanto a seguridad informática se refiere, ya sea como individuos u organizaciones, lo que nos convierte en objetivos de ataques de Ingeniería Social. Esta es la práctica de manipular personas para obtener información confidencial sin que el objetivo se percate. Por este motivo debes conocer no solamente cuáles son los métodos de ataque, su funcionamiento y ejecución, sino también pensar cómo un atacante y además adoptar una cultura de seguridad. En este curso irás un paso adelante tomando las medidas de precaución e incluso apoyarte de herramientas de Inteligencia Artificial para diseñar estrategias de ataque como de prevención para evitar caer en los mismos.

El phishing puede entenderse como una táctica de ingeniería social que consiste en engañar a un usuario haciéndole creer que está ingresando a un sitio seguro que ya conoce, para llevarle a otra dirección con la misma apariencia, con el afán de que el usuario entregue sus credenciales y exponga su información a los perpetradores.

Aparentemente se originó en los 90s cuando un grupo de hackers “warez Community” robaban datos de cuentas de AOL haciéndose pasar como empleados de la compañía. Así consiguieron “los correos electrónicos como ‘anzuelos’ para atrapar sus ‘peces’ del ‘mar’ de usuarios de Internet”.

Las víctimas terminan, tras ser engañados, revelando información confidencial sobre sí mismas, otra persona o alguna entidad a la que tienen acceso. Dicha información puede incluir contraseñas, información de cuentas bancarias, números de tarjetas de crédito y otros.

Este tipo de ataque busca persuadir al usuario a seguir rutas a web fraudulentas, abrir archivos adjuntos o responder a mensajes. Todo esto en general para extraer información sensible.

Es una de las amenazas cibernéticas más efectivas, que presenta riesgos para el gobierno, la industria y todo tipo de usuarios. Millones de violaciones de datos han resultado de la acción del phishing y cada año se pierden miles de millones de dólares.

Untitled (3).png

El phishing en la actualidad

La situación actual con el coronavirus nos ha llevado a trabajar desde casa y seguramente muchas empresas se quedarán como remote first. (Por qué el trabajo remoto híbrido flexible es la peor opción, y qué hacer). Esta nueva realidad nos hace más propensos a caer en campañas de phishing y estafadores, pues estando en casa es más complejo hacer una llamada (a un compañero de la oficina, al banco u otro según el caso) para verificar que la información que hemos recibido es real. Sobre todo cuando los atacantes van más allá de los correos electrónicos, ya que también están haciendo un uso considerable de las redes sociales.

Más allá de la extracción de información, también se puede instalar malware (como ransomware) a través de estos ataques. El atacante puede solicitar transferencias de dinero o iniciar transacciones financieras no autorizadas. También puede dar lugar a una colaboración involuntaria por parte del destinatario para cometer una estafa dentro de una empresa (quizás el medio de entrada más simple).

El phishing puede ser bastante económico. Las estafas suelen durar unos días. Su infraestructura está libre de costos “impuestos por muchos sistemas de confianza de comercio electrónico”. Las personas malintencionadas pueden adquirir fácilmente los kits de phishing necesarios en sitios clandestinos en la Dark Web. Decenas de miles de esos kits desarrollados mezclando HTML y PHP están disponibles en la actualidad, y viven aproximadamente 36 horas antes de ser detectados y eliminados.

Además, los phishers pueden ser difíciles de detectar, ya que logran ocultar la ubicación de sus servidores. También han comenzado a crear redes de atacantes, cada uno haciendo parte del ataque. A veces, incluso uno de ellos simplemente crea las herramientas y termina reclutando phishers sin experiencia para recopilar toda la información, ser etiquetado como culpable y no obtener beneficios. De esa forma, el phisher real podría pasar desapercibido.

Técnicas de ingeniería social de las que serás víctima_1 (1).png

Tipos de phishing (que debes conocer y evitar)

“Spear phishing” o ataque personalizado

El atacante recopila información (en perfiles de redes sociales y blogs, por ejemplo) y la utiliza sobre una víctima potencial en particular. Si bien puede ser un usuario, también puede ser un grupo de empleados de determinadas áreas de una organización.

Voice phishing o vishing

Si el engaño viene en una llamada telefónica se le conoce como Voice phishing o vishing, como la del blog Llamada falsa de tu banco ¿Habrías caído en esta estafa telefónica?(https://platzi.com/blog/estafa-de-la-llamada-del-banco/)

Información generalizada

Otra forma de phishing es trabajar con información generalizada. En este caso, la red de ataque es mucho más amplia, esperando que entre tantos, al menos algunos destinatarios caigan en la trampa.

Caza de ballenas

En este caso, se apunta a individuos ricos y poderosos. A veces, al contrario de atacarlos directamente, su identidad y autoridad se utiliza para extraer información financiera o fondos de la organización a la que pertenecen. Alternativamente, el uso de las identidades de otras personas también puede involucrar a las de personas de confianza, como miembros de la familia, colegas o amigos.

Los mensajes de los phishers pueden tener una fuerza narrativa significativa y conectarse con el lector a través de la sorpresa. Cuando el mensaje es muy largo, el receptor puede terminar prestando más atención a las características del diseño. A veces, los phishers utilizan imágenes de un hipervínculo legítimo para dirigirnos a un sitio corrupto diferente. Otras veces utilizan ventanas de navegador fraudulentas junto a las legítimas o por encima de ellas.

Cómo te proteges ante el phishing

1. Reconoce cuando una URL es legítima

Muchas veces entramos a links que nos parecen reales solo porque tienen el nombre de la empresa en la URL (ej, www.security-paypal-center.com) o pueden ser engañados por typos o sustituciones de caracteres como piatzi.com o platz1.com en lugar del original platzi.com

2. Busca el candado 🔒 en la URL

Que es el indicador de seguridad en los navegadores web, este candado indica que el sitio web en el que estamos fue entregado de forma segura por SSL (Secure Sockets Layer). Protocolo criptográfico “utilizado para proporcionar autenticación y comunicaciones seguras a través de Internet”.

3. Evalúa el contenido del sitio 👀

Los sitios oficiales tienen gráficos nítidos, la ortografía y la gramática serán precisas y toda la experiencia se sentirá pulida. Si estás en un sitio web de phishing, a pesar de la similitud de la marca, toda la experiencia se sentirá por debajo del estándar y puede indicar que te has desviado hacia un sitio falso.

4. Revisa quién es el dueño 💻

Todos los dominios deberán registrar su dirección web, por lo que vale la pena realizar una búsqueda de WHOIS para ver quién es el propietario del sitio web. Este es un servicio gratuito y te permitirá verificar quién es el propietario del sitio web, cuando se creó y proporcionará los datos de contacto del propietario del sitio.

Ten en cuenta:

  • Si el sitio web ha estado activo durante menos de un año o si cree que está en el sitio web de una marca líder, pero la dirección web está registrada a nombre de una persona en otro país, es una web falsa
  • Es posible usar servicios como WhoisGuard para mantener tu información de dominio privada, pero un atacante no se tomará tantas molestias

5. Desconfía del dinero fácil 💵

Y la más importante de todas es activar tu sentido común, el dinero fácil nunca es bueno y tú no eres tan suertudo para ser el visitante número 1.000.0000. Adicional una organización nunca te va a pedir que bajes archivos adjuntos en un mail o que verifiques tus credenciales a través de un link en tu correo.

Unsuccessful HTTP response

Si quieres aprender más sobre este tipo de ataques recuerda que dentro de la escuela de seguridad informática tenemos un curso de Introducción a la Ingeniería Social: Técnicas, Ataques y Pretexting.

Curso de Introducción a la Ingeniería Social: Técnicas, Ataques y Pretexting
Curso de Introducción a la Ingeniería Social: Técnicas, Ataques y Pretexting

Curso de Introducción a la Ingeniería Social: Técnicas, Ataques y Pretexting

Las personas somos el eslabón más débil en cuanto a seguridad informática se refiere, ya sea como individuos u organizaciones, lo que nos convierte en objetivos de ataques de Ingeniería Social. Esta es la práctica de manipular personas para obtener información confidencial sin que el objetivo se percate. Por este motivo debes conocer no solamente cuáles son los métodos de ataque, su funcionamiento y ejecución, sino también pensar cómo un atacante y además adoptar una cultura de seguridad. En este curso irás un paso adelante tomando las medidas de precaución e incluso apoyarte de herramientas de Inteligencia Artificial para diseñar estrategias de ataque como de prevención para evitar caer en los mismos.
Paula
Paula
pauveelez

4310Puntos

hace 3 meses

Todas sus entradas
Escribe tu comentario
+ 2
Ordenar por:
21
17302Puntos

Muy buen post.
Aporto con un testeo adicional.
A veces los links suelen estar camuflados. O sea, quizá digan https://platzi.com pero realmente el link es otro.

<a href="https://www.sitiofalso.com">htttps://platzi.com</a>

Como verificarlo? Fácil.
Colocas el mouse por encima del enlace, y SIN DARLE CLICK, verificas el enlace que te aparecerá abajo a la izquierda si estas en un navegador, o al lado del puntero del mouse si estas en un correo electrónico

5
4310Puntos
3 meses

Mouse over que te salva

18
57720Puntos

Me gustaría rescatar del articulo que el sentido común es lo más importante para nosotros como usuarios y desarrollares de tecnología.
.
Recuerdo que una vez le recomendé a una amiga que no instará un antivirus en su computador, le dije que era innecesario, que era mucho mejor que se cuidara de lo que descaraba y donde se metía y ella me dijo: Si Miguel, para ti como te dedicas a esto de la computación es fácil decirlo.
.
Y si, tenía razón. Aunque no tengamos un doctorado en computación, la practica, la experiencia de nuestro día a día navegando en internet o incluso de la vez que tuvimos que mandar a restaurar nuestro computador porque nos cayo un troyano y un gusano cuando teníamos 13 años, jejeje. Todo eso nos da mucha lógica a priori de cómo sobrellevar y actuar en caso de que tengamos un ataque.
.
Reitero, para la mayoría que somos estudiantes de Platzi y/o desarrolladores, lo mejor siempre será el sentido común.

2
4310Puntos
3 meses

Total sentido comun el mejor super poder

2
3 meses

Concuerdo con tus palabras , para lo que estamos en el sector de tecnología, tenemos un +plus, estamos a ala defensiva ante este tipo de ataques, pero conozco a muchos profesionales que están bien desentendidos de estos temas y son victimas fáciles…

11
15463Puntos

Tal vez a lo que somos más vulnerables en esos casos es cuando se comunican con nosotros para decirnos que un ser querido está en riesgo (o se hacen pasar por tu familiar) y que necesitan información de nosotros o que nos reunamos en algún lugar. Mucho cuidado con eso.

Excelente post, esta información debería ser del saber común.

8
35057Puntos

Este es el blog que todos deberíamos leer. 💚

2
4310Puntos
3 meses

Para la vida y para las tias

6
12006Puntos

Si tienes duda de alguna URL puedes analizarla con VirusTotal, Es una herramienta muy buena!!! no solo es para URLs, si no también para archivos, IPs, Dominios, etc.

5

Hola
Agregaría en la actualidad este tipo de mensajes van a llegar por diferentes medios digitales como el correo electrónico, un enlace de una web, un SMS de texto, por DM en Instagram, Telegram, WhatsApp etc. Cualquier canal digital de comunicación es un vector para este tipo de ataques, y esto elevada su complejidad para poder detectarlos a simple vista.

Saludos.

2
670Puntos

Que buena información

2
2403Puntos

Muy buen artículo, les recomiendo que hagan este test https://phishingquiz.withgoogle.com/ para ver realmente que tan vulnerables son, y presten la misma atención en su vida diaria que con ese quiz, es importante estar alerta.
También se lo pueden pasar a sus familiares o amigos.