Es una táctica de ingeniería social que consiste en engañar a un usuario para que entregue sus credenciales y exponga su información.
Un correo puede parecer legítimo, pero aún así no se está del todo seguro.
Phishing es una táctica de ingeniería social que consiste en engañar a un usuario haciéndole creer que está ingresando a un sitio seguro que ya conoce, para llevarle a otra dirección con la misma apariencia, con la idea de lograr que el usuario entregue sus credenciales y exponga su información.
Una encuesta sobre phishing realizada por ESET, compañía especializada en detección proactiva de amenazas, presentó a los participantes cuatro imágenes de phishing junto con mensajes reales y poco más de 60% no pudo identificarlas a todas correctamente.
El cuestionario gratuito, llamado ESET Phishing Derby, fue organizado por el equipo de ESET en los Estados Unidos y está diseñado para evaluar cuán competentes son las personas para distinguir mensajes falsos de los reales.
Curiosamente, los resultados muestran una marcada diferencia en la forma en que los participantes más jóvenes, de entre 18 y 24 años, identificaron las muestras correctamente: 47%, en comparación con solo 28% de los mayores de 65 años. Las personas de entre 25 y 44 años alcanzaron 45% y las personas de 45 a 64 años estaban en 6%.
Un resultado similar se presentó cuando ESET Canadá realizó la misma encuesta a fines de 2020, con 68% de los participantes que no logró identificar las cuatro muestras correctamente.
“Se podría pensar que con las continuas campañas de concientización sobre temas de seguridad informática que llevan adelante entidades financieras, compañías de ciberseguridad, Gobiernos y similares organizaciones este número debería ser menor, mucho menor, y podría estar de acuerdo. Sin embargo, algunos correos electrónicos de phishing que aterrizan en las bandejas de entrada están muy bien diseñados y se ven y se sienten legítimos, lo que hace que sea mucho más difícil identificarlos como falsos. Este desafío solo se volverá más difícil a medida que los ciberdelincuentes perfeccionen su arte”, mencionó Tony Anscombe, Evangelizador de Seguridad Informática de ESET.
Se identificó un correo electrónico que supuestamente era de American Express. El mensaje era una notificación que indicaba que un intento de transacción sospechosa había sido bloqueado y solicitaba que se revisaran las transacciones recientes. A primera vista, el correo electrónico parecía legítimo; estaba bien escrito y tenía buenos gráficos. Sin embargo, algunas señales permiten determinar que el correo era falso.
Para empezar, el hecho de que quién recibió el correo no contaba con una tarjeta American Express Business Platinum. Sin embargo, de tener una cuenta, es comprensible el porqué este mensaje logró el engaño y se dio el siguiente paso: abrir el mensaje y posiblemente hacer clic en el enlace que incluye.
El correo electrónico está diseñado para crear una reacción emocional, 'oh no, hay fraude en mi cuenta, necesito arreglarlo inmediatamente, haré clic'. Además, otro indicador de que este correo es falso es que el mensaje no es personalizado ya que comienza diciendo ‘Estimado usuario de la tarjeta’ y luego de la ‘Cuenta que comienza con 37**’.
American Express sabe quiénes son sus clientes y no se refiere a ellos genéricamente en las comunicaciones, sino que incluyen el nombre. Por otra parte, las compañías de tarjetas de crédito normalmente usan los dígitos finales que son más específicos de cada número de cuenta y no los números con los que comienza la cuenta. Las tarjetas emitidas por American Express comienzan con un número '3' y luego un ‘4’ o ‘7’, por lo que el número utilizado en el correo electrónico es genérico y válido para muchos titulares de tarjetas. Lo que muestra el amplio enfoque que emplean los ciberdelincuentes para atrapar a una víctima.
Consejos clave
ESET comparte algunos consejos sobre cómo identificar un correo electrónico de phishing, cómo prestar especial atención cuando el correo electrónico no está dirigido a usted personalmente, pese a que la empresa que supuestamente es quien envía el correo sabe quién es usted y, por lo general, enviaría correos electrónicos que incluyan su nombre y no de forma genérica.
Si bien actualmente hay muchos correos de phishing que están perfectamente escritos, todavía es común que muchas campañas con mensajes un tanto descuidados y con errores. Por lo tanto, considerando que los correos electrónicos de phishing están cada vez mejor diseñados, asegúrese de leerlos dos veces, ya que los errores pueden ser más difíciles de detectar.
También, cuando el correo electrónico no es solicitado; es decir que se trata de una empresa con la que nunca se ha comunicado.
Una llamada para que tome una decisión con urgencia; por ejemplo, que haga clic en un enlace e inicie sesión para revisar transacciones o similares.
Fíjese en la dirección de correo del remitente. Pase el mouse sobre la dirección de correo electrónico y observe cuál es la dirección real del remitente y el dominio desde el que se envió.
Correos electrónicos con archivos adjuntos, por ejemplo, que afirman ser una factura o notificación de algún tipo.
Siempre será mejor contar con una solución de seguridad instalada y actualizada en todos sus dispositivos, tanto de escritorio como móviles.
“En los casos en que persiste la incertidumbre sobre si un correo electrónico es real o falso, mi recomendación es visitar el sitio web del supuesto remitente a través de un navegador, iniciar sesión en su cuenta y una vez adentro ver cualquier mensaje o notificación. Cualquier cosa importante estará en las notificaciones de la cuenta. De ser necesario, comuníquese con la empresa por otro canal oficial y valide la solicitud.”, concluye Anscombe de ESET.
Novedades
Eventos
Publicaciones
Talento
Podcast
Convocatorias