En comparación con hace 10 o 15 años, los ciberdelincuentes se han vuelto bastante astutos. Atrás quedaron los días en que los hackers solo intentaban atravesar firewalls con ataques de fuerza bruta. Hoy en día, los ciberdelincuentes se aprovechan del factor humano. Y aquí es donde entran en juego el phishing y la ingeniería social, y, sinceramente, se están convirtiendo en los métodos predilectos de los cibercriminales de todo el mundo.

¿Sabías que casi el 60 % de las organizaciones a nivel mundial sufrieron un ataque de ransomware en 2024, y que más del 90 % de las empresas sufrieron un ataque de phishing ese mismo año?

Ingeniería social: el arte de la manipulación humana

La ingeniería social es una manipulación psicológica diseñada para engañar a las personas para que revelen información confidencial o realicen acciones que comprometan la seguridad. Es un término amplio que incluye ataques de ransomware, phishing, whaling, smishing y scareware, entre otros.

Estos ataques funcionan porque explotan rasgos humanos fundamentales: nuestro deseo de ayudar, nuestra tendencia a confiar en las figuras de autoridad y nuestro miedo a meternos en problemas. Los ingenieros sociales son como estafadores digitales que estudian la psicología humana para que sus estafas sean más efectivas.

Phishing: El cebo digital

Piensa en el phishing como el equivalente en línea de un estafador que se hace pasar por alguien que no es. Estos ataques suelen implicar el envío de correos electrónicos y mensajes de texto falsos, o la creación de sitios web falsos que parecen legítimos, como si fueran de tu banco, tu sitio de compras favorito o incluso tu lugar de trabajo.

El objetivo es que proporciones información confidencial como contraseñas, números de tarjetas de crédito o datos personales.

El nombre "phishing" es un juego de palabras con "fishing" (pesca), porque estos atacantes básicamente lanzan una red amplia con la esperanza de atrapar a víctimas desprevenidas. Un juego de palabras bastante ingenioso para los delincuentes, ¿verdad?

Las múltiples caras del engaño digital

Phishing por correo electrónico: El enfoque clásico

Probablemente esto es lo que la mayoría de la gente piensa cuando escucha "phishing". Recibes un correo electrónico que parece provenir de una fuente legítima: tal vez tu banco informando de un problema con tu cuenta o una empresa de envíos que afirma no haber podido entregar un paquete. El correo electrónico suele contener un enlace a un sitio web falso diseñado para robar tus credenciales de inicio de sesión.

Lo que los hace particularmente engañosos es su aparente autenticidad. Los correos electrónicos de phishing modernos suelen utilizar logotipos oficiales, un formato adecuado e incluso imitan el estilo de escritura de empresas legítimas.

Los correos electrónicos de phishing son alarmantemente efectivos. Te sorprenderá saber que el tiempo medio que tardan los usuarios en verse comprometidos es inferior a un minuto.

Spear Phishing: El ataque dirigido

Mientras que el phishing convencional abarca una amplia gama de amenazas, el phishing selectivo se asemeja más al uso de un rifle de francotirador. Estos ataques se dirigen a personas u organizaciones específicas y son altamente personalizados. El atacante podría pasar semanas investigando a su objetivo, recopilando información de redes sociales, sitios web de empresas y registros públicos para crear un mensaje convincente.

Por ejemplo, podrían enviar un correo electrónico al director financiero de una empresa que parece provenir del director general, solicitando una transferencia bancaria urgente. Dado que el correo electrónico incluye datos personales e información específica de la empresa, parece legítimo.

Caza de ballenas: A la caza de peces gordos

La caza de ballenas es un tipo de phishing dirigido a objetivos de alto perfil, como directores generales, políticos o celebridades. Los ataques suelen ser extremadamente sofisticados porque el beneficio potencial es enorme. Un ataque de phishing exitoso podría dar a los delincuentes acceso a los sistemas financieros de toda una empresa o a información gubernamental confidencial.

En otoño de 2014, Sony Pictures Entertainment sufrió un devastador ataque de phishing iniciado el año anterior. Hackers, haciéndose pasar por Apple, enviaron correos electrónicos a altos ejecutivos con un enlace malicioso que les solicitaba que ingresaran sus credenciales de Apple ID. Estas credenciales robadas se utilizaron para obtener información de inicio de sesión de empleados e implementar malware "Wiper", lo que finalmente paralizó la red de Sony, lo que provocó el robo de más de 100 terabytes de datos confidenciales y le costó a la empresa más de 100 millones de dólares.

Vishing: Phishing telefónico

El phishing de voz, o "vishing", implica llamadas telefónicas en lugar de correos electrónicos. La persona que llama puede hacerse pasar por el departamento de fraude de su banco, alegando haber detectado actividad sospechosa en su cuenta. Luego, le pedirá que "verifique" la información de su cuenta, incluyendo contraseñas o PIN.

Estas llamadas pueden ser particularmente convincentes porque la persona que llama podría ya tener parte de su información personal (obtenida de filtraciones de datos o registros públicos), lo que hace que su historia parezca creíble.

Smishing: Ataques basados ​​en SMS

Con el smishing (phishing por SMS), los atacantes envían mensajes de texto con enlaces maliciosos o solicitando información personal. Estos pueden parecer notificaciones de entrega de paquetes, alertas bancarias o incluso actualizaciones de salud relacionadas con la COVID-19. Dado que las personas tienden a confiar más en los mensajes de texto que en los correos electrónicos, el smishing puede ser sorprendentemente efectivo.

Pretextos: Creación de escenarios falsos

Pretextos consiste en crear un escenario inventado para interactuar con las víctimas y robar su información. El atacante puede hacerse pasar por un compañero de trabajo, un técnico de TI o un representante de atención al cliente. Inventará una historia creíble sobre por qué necesita tu información; tal vez esté "actualizando el sistema" o "verificando tu cuenta por motivos de seguridad".

¿Por qué funcionan tan bien los ataques de ingeniería social?

Estamos programados para confiar

Los humanos somos criaturas generalmente confiadas; así es como funcionamos en sociedad. Damos por sentado que la persona que llama del "banco" trabaja allí o que el correo urgente de nuestro "jefe" es legítimo. Los atacantes explotan esta tendencia natural a confiar en figuras de autoridad y marcas conocidas.

Sobrecarga de información

En nuestro acelerado mundo digital, nos bombardean constantemente con correos electrónicos, mensajes y notificaciones. Al revisar nuestra bandeja de entrada con prisas, es fácil pasar por alto las sutiles señales de que algo podría ser una estafa. Los atacantes cuentan con esto: saben que las personas ocupadas tienden a hacer clic primero y pensar después.

Miedo y urgencia

Muchos ataques exitosos crean una sensación de urgencia o miedo. "¡Su cuenta se cerrará en 24 horas!" o "¡Actividad sospechosa detectada: ¡actúe ahora!". Presionan a las personas para que tomen decisiones rápidas sin pensar bien las cosas.

Inteligencia de redes sociales

Los ataques de ingeniería social se han vuelto más sofisticados, en parte, debido a la gran cantidad de información personal disponible en línea. Un vistazo rápido a tus perfiles en redes sociales puede revelar tu empleador, familiares, aficiones y actividades recientes: toda información valiosa para elaborar un ataque convincente.

Señales de alerta: Cómo detectar las estafas

Señales de advertencia en el correo electrónico

Presta atención a saludos genéricos como "Estimado cliente" en lugar de tu nombre real. Las empresas legítimas suelen personalizar sus comunicaciones. Además, presta atención al lenguaje urgente, las consecuencias amenazantes y las solicitudes de información confidencial por correo electrónico; las empresas legítimas rara vez solicitan contraseñas o números de cuenta por correo electrónico.

Revisa cuidadosamente la dirección de correo electrónico del remitente. Los estafadores suelen usar direcciones que parecen similares a las legítimas, pero con diferencias sutiles, como usar "arnazon.com" en lugar de "amazon.com" o añadir caracteres adicionales.

Ofertas demasiado buenas para ser verdad

Si alguien te ofrece algo que parece demasiado bueno para ser verdad, probablemente lo sea. Ya sea un "príncipe nigeriano" que quiere compartir su fortuna o una "oferta por tiempo limitado" de un artículo de lujo con un 90% de descuento, las ofertas extremas deberían despertar tu escepticismo.

Tácticas de presión

Las empresas legítimas no suelen presionarte para que actúes de inmediato con amenazas. Si alguien insiste en que debes actuar "de inmediato" o enfrentarás graves consecuencias, retrocede un paso y verifica sus afirmaciones a través de los canales oficiales.

También desconfía de cualquier solicitud no solicitada de información personal, especialmente contraseñas, números de la Seguridad Social o datos financieros. Las organizaciones legítimas tienen métodos seguros para gestionar esta información y no la solicitarán por correo electrónico ni llamadas telefónicas no solicitadas.

Desarrolla tu estrategia de defensa

Mejores prácticas de seguridad del correo electrónico

Primero, activa la autenticación de dos factores (2FA) en todas tus cuentas importantes. Incluso si alguien consigue tu contraseña, necesitará acceder a tu teléfono o aplicación de autenticación para entrar. Es como tener un cerrojo de seguridad además de la cerradura de tu puerta.

Usa contraseñas seguras y únicas para cada cuenta y considera usar un gestor de contraseñas para controlarlas todas. Sé que parece un fastidio, pero es mucho menos complicado que lidiar con una cuenta comprometida.

Ten cuidado con los archivos adjuntos y enlaces de correo electrónico. Si recibes un archivo adjunto inesperado, incluso de alguien conocido, verifica su legitimidad antes de abrirlo. En caso de duda, contacta con el remitente por otro medio de comunicación para confirmar que realmente lo envió.

Procedimientos de verificación

Adquiera el hábito de verificar las comunicaciones sospechosas a través de canales independientes. Si recibe un correo electrónico que dice ser de su banco, no haga clic en los enlaces. En su lugar, vaya directamente al sitio web de su banco o llame al número de su tarjeta de crédito para verificar la comunicación.

Esta verificación independiente también es crucial para las llamadas telefónicas. Si alguien llama diciendo ser de una empresa y le pide información personal, cuelgue y llame al número oficial de la empresa para verificar la solicitud.

Medidas de seguridad técnicas

Mantenga su software actualizado. Esas molestas notificaciones de actualización existen por una razón: suelen incluir parches de seguridad que protegen contra vulnerabilidades recién descubiertas. Active las actualizaciones automáticas siempre que sea posible.

Utilice software antivirus y filtros de correo electrónico de confianza. Estas herramientas pueden detectar muchos intentos de phishing antes de que lleguen a su bandeja de entrada. Sin embargo, no confíe completamente en ellas: el criterio humano sigue siendo su mejor defensa.

Creando una cultura de seguridad consciente

Tanto en el trabajo como en casa, fomente un ambiente donde sea aceptable ser cauteloso y hacer preguntas. Cree una cultura donde "más vale prevenir que lamentar" sea la norma, no la excepción. Anime a sus familiares y colegas a verificar las comunicaciones sospechosas en lugar de arriesgarse.

PIVX. Tus derechos. Tu privacidad. Tu elección. Para estar al tanto de las noticias de PIVX, visita PIVX.org y Discord.PIVX.org.