El phishing es un tipo de ataque que se basa en la suplantación de identidad con un fin malicioso, muchos dicen que el phishing es un tipo de ingeniería social, otros que el phishing es un ataque que usa técnicas de ingeniería social, sea como sea que lo quieras ver, hay que entender que el phishing es el tipo de ataque más simples y también más críticos, evidentemente esto también depende del contexto, pero la mayoría de las veces no se requiere de conocimiento técnico elevado para poder llevar a cabo este tipo de ataques, lo que provoca que el público que puede realizarlo sea más amplio y por ende, el número de afectados en consecuencia también sea más amplio.
Tipos de phishing
Existen muchas clasificaciones si de tipos de phishing se trata, en este caso, prefiero simplificarlo y clasificarlos tanto por alcance como por medio de comunicación, siendo alcance el número de usuarios al que se les envía y medio de comunicación, el medio por el cual es enviando.
Por alcance:
- Phishing (Dirigido a público en general, sin ningún tipo de personalización).
- SpearPhishing (Dirigido a un grupo o persona en específico).
- Whaling (Dirigido a personas importantes).
Por medio:
- Phishing (Realizado por medio de correos electrónicos).
- Smishing (Realizado por medio de mensajes de texto).
- Vishing (Realizado por medio de llamadas o chat de voz).
- QR (Realizado por medio de códigos QR).
Como verás, el término de “Phishing”, se repite tanto en la clasificación por alcance como por medio y, esto se debe a que, tradicionalmente este término se relaciona tanto con el envío de suplantaciones de identidades a un público general y, enviándose a través de correos electrónicos, por lo cual, solamente fue desengranar el término y adecuarlo a cada clasificación.
Buenas práticas
Al final de cuentas, todos estos tipos se basan en la suplantación de identidad, ahora ¿hay algunas maneras de poder evitar y detectar el phishing? Si, veamos algunas:
- Evita exponer tus datos en redes sociales, datos personales que puedan ayudar a ciberdelincuentes a saber más de ti o tener medios por los cuales contactarte.
- Si en caso dado recibes un mensaje del que sospechas, asegúrate de verificar varios puntos antes de hacer clic en cualquier enlace adjunto o descargar cualquier fichero, estos puntos son:
- Revisa la ortografía, los ataques de phishing generales suelen contener muchas faltas ortográficas y de coherencia.
- Mira la arquitectura del mensaje y contrástala con la arquitectura que suelen tener los mensajes enviados por la compañía original.
- Fíjate en el remitente del correo electrónico, si bien este puede ser cambiado para parecer ser legítimo, es un punto que puede ayudarte a detectar phishing.
- Observa como se dirigen a ti en el mensaje, si una entidad te escribe por algo importante, lo más probable es que te llame por el nombre que tienes asociado a dicha entidad, no llamándote de forma genérica como “cliente”, “usuario”, “señor”.
- De igual forma, si recibes un mensaje del que sospechas, puedes acudir a la entidad de forma física para que te puedan decir con completa certeza si se trata de una suplantación de identidad o no.
- Fíjate en todos los recursos con hiperenlace que estén en el cuerpo del mensaje, con solo pasar el cursor por encima de algún recurso con hiperenlace, en la parte inferior izquierda, podrás apreciar la URL a la que te lleva si haces clic, dicha URL puedes analizarla con VirusTotal o, si es una URL acortada, usar herramientas como ExpandURL para ver el destino final y, luego analizarla con VirusTotal.
- Utiliza el sentido común, es lo más fácil de hacer, pero también lo más fácil de no hacer, entiende que ninguna entidad seria te va a pedir información confidencial por correo electrónico, mensajes o llamadas que tú nunca solicitaste.
