7 Consejos para evitar ataques phishing

Actualmente la técnica más usada para efectuar fraudes virtuales son los ataques de phishing. Esto se basa en suplantar una cuenta de correo, simular una web o enviar mensajes por distintos canales con el fin de que la persona incauta pueda suministrar sus credenciales y así los ciberdelincuentes obtienen la información que posteriormente usan para hacer fraudes, robos, secuestro de información y mucho más.

Según cifras del APWG tenemos que durante el 2020 se duplicó la cantidad de ataques phishing en referencia al 2019. Esto va de la mano con las consecuencias de la pandemia del COVID-19 y la cantidad de puestos de trabajo que se han movido a los hogares. Todo esto ha sido el escenario perfecto para los delincuentes digitales que se aprovechan de las posibles vulnerabilidades que se dan fuera de la oficina. 

Las estadísticas señalan que en enero del 2021 se registró un pico histórico de 245.771 sitios dedicados al phishing en el transcurso de un mismo mes. Los ataques phishing, smishing (texto o SMS) y vishing (llamada de voz) siempre shan tenido una curva de aumento y no existe nada que indique que esa tendencia pueda decaer.

Aprovechando los últimos días del mes de la concienciación sobre la ciberseguridad desde Lastpass hemos reunido un grupo de consejos que pretende mantenerle alejado de estos ataques.

Cómo protegerse de los ataques phishing

Elegir un navegador que proteja de estas amenazas

Protección aportada por los distintos navegadores ante el phishing.
Protección aportada por los distintos navegadores ante el phishing.

Esta es una medida que a muchos les podrá parecer extraña. Sin embargo, un estudio reciente hecho a los principales navegadores web por parte de OCU demostró que no todos ofrecen la misma protección. Se tomó un muestreo de 800 páginas con ataques phishing. Los resultados arrojaron que el navegador Mozilla Firefox y el Microsoft Edge bloquearon más del 80% de las amenazas. 

A pesar de que el Google Chrome es uno de los navegadores más usados, solo pudo bloquear el 56% de las amenazas con el sistema operativo Windows y un 63% con Mac. 一Lo anterior tiene sentido dado que el Chrome es el más popular, por eso los hackers crean la mayoría de sus ataques phishing para poder vulnerar la seguridad de este navegador.一

Usar un antivirus con protección antiphishing

Usar antivirus permite reforzar la entrada de ataques.
Usar antivirus permite reforzar la entrada de ataques.

No todos los antivirus son capaces de detectar ataques phishing, pero la acción conjunta de uno que tenga este parámetro presente con la protección que ofrece el navegador pueden reducir las amenazas hasta en un 96%. Para que su efectividad sea elevada, es necesario mantenerlo actualizado.

Revisar cada mensaje minuciosamente indistintamente en canal del que vengan

Usar antivirus permite reforzar la entrada de ataques.
Atención a los mensajes cargados de emocionalidad por lo general conducen a ataques phishing.

Vimos en el artículo de seguridad del correo electrónico que este es el medio digital por excelencia, no es de extrañar que sea el principal canal del phishing. Pero no hay que bajar la guardía, estudios recientes han ofrecido cifras que demuestran que los atacantes están empleando otros medios como SMS, redes sociales y llamadas. Después de todo ellos se basan en el principio de la ingeniería social por lo que solo desean transmitir un mensaje que cause una emocionalidad en el objeto de estafa.

Lo recomendable es mantener el mismo nivel de atención que se presta a un mensaje que llega por correo electrónico. 

一Por contar una anécdota, hace más de 15 años recibí una llamada donde supuestamente me había ganado el premio de una lotería nacional, la verdad es que nunca jugaba nada similar. Me era indicado que para acceder al premio millonario debía enviar los códigos de unas recargas telefónicas. Inmediatamente se me activó el lado capcioso y descarté la llamada. Poco después me enteré que era una banda organizada que había estafado a miles de personas con la misma técnica.一

Comprobar la dirección del remitente

Pendiente de la dirección de respuesta del remitente.
Pendiente de la dirección de respuesta del remitente.

Es probable que el atacante haga uso de un nombre similar al de alguien de quien acostumbra recibir correos. La idea es que a simple vista parezca idéntica a la dirección original. Por ejemplificar, supongase que se acostumbra a recibir correos del Banco Santader, y la dirección empleada es: atcliente@bancosantander.es ahora, viene un ciberdelincuente y se crea una dirección como esta: atcliente@bancosantander.live

Es sumamente importante estar atentos a esto, dado que una pequeña diferencia en la dirección podría ser la puerta para los ciberdelincuentes. 

Como sugerencia adicional, los mensajes de texto de números con pocos dígitos suelen ser enviados por sistemas automatizados. Es importante aplicar las mismas precauciones, en caso de contener enlaces se recomienda no abrirlos a menos de que se tenga certeza de la fuente.

Confiar en la intuición

La intuición por delante.
La intuición por delante.

La ingeniería social se basa en la emocionalidad. Puede estar fundamentada en empatía, confianza, miedo, alegría y otras emociones. En muchos casos se aferran a la confianza que se puede tener en empresas de renombre, amigos, familiares y compañeros de trabajo. Si recibe mensajes que no son comunes, o que vienen acompañados de una petición urgente, lo más seguro es que esa persona haya sido víctima de un hacker. 

Ante esto lo mejor es ir a la fuente, llamar directamente al banco, contactar a la persona por una llamada para verificar eso que pudo haber llegado por SMS o Whatsapp.

Identificar sitios de ataques phishing con un gestor de contraseñas

El gestor de contraseñas es el mejor aliado.
El gestor de contraseñas es el mejor aliado.

Lastpass ofrece el gestor de contraseñas más reconocido. Lo interesante aquí es que además de generar y almacenar de manera cifrada passwords largas e irrepetibles, tiene la capacidad de identificar sitios web de phishing.

¿Cómo es esto posible? Además de almacenar lo anterior, al momento en que una web solicita las credenciales, se hace una comprobación de la URL. Si alguien suplanta la identidad de alguna web con fines maliciosos, no podrá suplantar la URL original. Por ejemplificar: llega un mensaje que según es del banco, todo se ve idéntico al original, pero resulta que el gestor de contraseñas no reconoce la URL y por tanto no rellena automáticamente las credenciales. Es muy probable que se trate de un sitio falso que conduzca a posibles ataques phishing.

Poner atención a esto puede marcar la diferencia entre entregar las credenciales a un hacker o no.

Evitar aceptar todas las autenticaciones multifactor por inercia (MFA)

No ser autómatas del MFA.
No ser autómatas del MFA.

Los múltiples factores de autenticación o MFA ayudan a poner una barrera extra para la verificación de la identidad. Pero muchas veces algunas personas se acostumbran tanto a ellas que las aprueban sin más. Es como tener una puerta con doble cerradura pero dejar una siempre abierta, sin duda no está realizando ninguna función de seguridad. 

Los MFA son solicitados cuando se intenta entrar a un sitio que previamente se ha configurado para tener esta prevención. Pero si no se está iniciando sesión en ningún sitio o se está realizando una operación que requiera esto. ¿Para qué se va a aprobar de manera autómata el MFA?

Además de estos consejos para evitar ataques phishing, descubra cómo LastPass protege la vida digital rellenando este formulario que lleva a una prueba gratuita y sin compromiso alguno.

Prueba sin cargo LastPass

Tambíen te pueden interesar