Aunque parezca increíble, seguimos cayendo en la trampa de los engaños que emplean suplantación de identidad para robar información, dinero o tomar el control de los sistemas atacados. Los ataques de phishing pueden usar una amplia variedad de aplicaciones móviles, incluyendo SMS, redes sociales y aplicaciones de mensajería, además del correo electrónico más tradicional.
Durante la pandemia, los ciberdelincuentes nos han estado observando atentamente y se han aprovechado de nuestra distracción. Pero esta no es la única razón por la que han aumentado los casos de fraude de tipo phishing.
Es importante entender los principales tipos de phishing que existen:
| spear phishing | Es una estafa mediante correo electrónico que difiere del phishing por ser dirigida a personas, organizaciones o empresas específicas. Además de robar informaciones personales, los ciberdelincuentes pueden tratar de instalar malware* en la computadora de la víctima. Este tipo de phishing es utilizado, en la mayoría de los casos, por hackers empleados por el gobierno para que les revele datos confidenciales sobre ciertas empresas o compañías. |
| whaling | Es un tipo de phishing mucho más específico, es decir, que se dirige directamente al director ejecutivo (CEO), presidente o gerente de una cierta empresa (de ahí el nombre de “ballena”, o sea “el pez grande”). A menudo, un correo de whaling puede contener un aviso de que la empresa será demandada y que debe introducir informaciones como el número de identificación fiscal o de la cuenta bancaria. Las víctimas de whaling son principalmente personas que trabajan para instituciones financieras u organizaciones que se dedican a procesar pagos. |
| smishing | Es un ataque que involucra un mensaje de texto o servicio de mensajes cortos (SMS) para captar la atención de una víctima. Habitualmente, el mensaje que llega a su teléfono contiene un enlace en que la persona se ve obligada a hacer clic y especificar informaciones personales, y si no lo hace, se le comenzará a cobrar el uso de un servicio de forma diaria o mensual. Este tipo de fraude se dirige a cualquier tipo de personas, en contraste con el spear phishing o el whaling. |
| vishing | Este ataque se lleva a cabo a través de una llamada telefónica o mensajes de voz. Los atacantes se hacen pasar por una empresa o entidad confiable con la intención de engañar a la víctima y convencerla de que revele informaciones confidenciales. Entre las temáticas elegidas por los estafadores para hacer la llamada telefónica se encuentran problemas financieros, de seguridad de nuestro ordenador o del dispositivo móvil. |
*cualquier software diseñado intencionalmente para causar daños a una computadora, servidor, cliente o red de computadoras, como los virus informáticos, los troyanos, los gusanos, el spyware, el adware y el ransomware.
LOS ATAQUES MÁS POPULARES DE PHISHING DEL 2020
Las industrias más atacadas son la atención médica, servicios profesionales y servicios financieros y encabezan la lista por delante de la industria de la manufactura y los sectores gubernamentales.
El coronavirus
El confinamiento mundial por la pandemia del COVID-19 ha llevado a un mayor número de empleados a trabajar en casa y recurrir a sus teléfonos inteligentes y tabletas para mantenerse productivos, lo que llevó a una situación propensa a los ataques de fraude. Los ciberdelincuentes recurrieron a todo los tipos de fraude para obtener informaciones confidenciales sobre las personas.
El CDC (Centers for Disease Control and Prevention) ha advertido a los ciudadanos sobre una estafa de phishing que involucra a delincuentes que hacen llamadas que parecen provenir de los CDC. En estas llamadas pueden solicitar donaciones.
Otra estafa pretende enviar correos electrónicos de los CDC con enlaces adjuntos que afirman ser medidas de prevención de infecciones o información sobre una vacuna COVID-19. En realidad, estos correos electrónicos generalmente contienen enlaces que pueden causar estragos en las computadoras y abrir la puerta para que ingrese ransomware** y piratee el dispositivo.
Las estafas de phishing relacionadas con el coronavirus incluso han tenido lugar a través de mensajes de texto y parecen provenir del Departamento de Salud y Servicios Humanos de EE. UU. Los enlaces adjuntos al texto sirven para registrarse para la “prueba obligatoria de COVID-19”. Los mensajes de texto también pueden instar a los destinatarios a completar el formulario en línea para recibir un cheque de estímulo.
En realidad, estos enlaces descargan malware en el dispositivo, lo que puede exponerte al robo de identidad y al fraude.
**es un tipo de malware que amenaza con publicar los datos personales de la víctima o bloquear perpetuamente el acceso a ellos a menos que se pague un rescate.
Préstamo para pequeñas empresas
La Administración de Pequeñas Empresas de EE. UU. ha aconsejado a los propietarios de empresas que sean cautelosos al solicitar préstamos de ayuda para pequeñas empresas en virtud de la Ley CARES. Los delincuentes que se hacen pasar por trabajadores federales se han puesto en contacto con los dueños de negocios pidiendo información personal adicional para aprobar una solicitud de préstamos de ayuda.
Better Business Bureau también ha advertido a los ciudadanos sobre las estafas de phishing relacionadas con los cheques de estímulo. Los ciberdelincuentes se comunicarán con las personas pidiéndoles que proporcionen información personal adicional para poder enviar los pagos de beneficios.
Tenga en cuenta que cuando se trata de pagos relacionados con el gobierno, estas oficinas nunca te pedirán información personal por teléfono o por correo electrónico, especialmente si eso requiere que pagues dinero de inmediato para recibir algo de ellos o evitar una falta.
Elecciones presidenciales
Con respecto a las elecciones presidenciales del año 2020, los ciberdelincuentes se han aprovechado de la confusión que ha rodeado la votación para llevar a cabo estafas y ataques de phishing.
Los estafadores se han hecho pasar por voluntarios políticos que intentaron registrar votantes o solicitar donaciones por teléfono. En estas estafas, el “voluntario” pidió donaciones a un candidato/partido político con un número de tarjeta de crédito, o solicitó información personal como un número de seguro social para completar un formulario de registro de votantes.
En realidad, el registro de votantes por teléfono no está permitido en los EE. UU. ya que esto crea oportunidades para los ciberdelincuentes. Si recibe una llamada telefónica como esta, ¡asuma que es fraudulenta!
También te puede interesar El phishing – ¿Cómo protegerse de ataques de igeniería social? .
FUENTES:
