El phishing es una técnica de ataque que busca engañar a la víctima para que entregue información sensible, descargue un archivo infectado o ingrese su contraseña en una página falsa.
Es probable que recibas mensajes de correo electrónico, Whatsapp o SMS con links, archivos o software malicioso que aparentemente provienen de emisores conocidos como Facebook, Twitter, Google, alguna entidad bancaria, entre otros, diciendo que se ha comprometido tu cuenta y que debes acceder a esta urgentemente para recuperarla. Si esto te ocurre es muy probable que te encuentres frente a un ataque de phishing.
En las siguientes líneas te ofrecemos algunas recomendaciones que te ayudarán a reconocer estos ataques así como la mejor manera de evitarlos.
Desconfía de mensajes que instan a tomar acciones rápidas o de urgencia: Muchas veces estos mensajes se aprovechan de situaciones de riesgo o emergencia para convencer a la víctima de tomar acciones apresuradas.
Antes de tomar cualquier acción verifica en páginas oficiales: Si tienes sospechas de que la información que recibes puede ser cierta, la recomendación es que verifiques la información directamente en las páginas oficiales de las entidades bancarias, compañías de correo, entre otras, según sea el caso. Si, por el contrario, el mensaje de alarma que recibiste no se refiere a cuentas comprometidas sino a personas o familiares en riesgo, la sugerencia es que, antes de tomar cualquier acción, intentes contactarte directamente con la persona aparentemente afectada. En ninguno de estos casos es recomendable seguir vínculos incluidos en el mensaje sospechoso.
Verifica el emisor del mensaje: Si pretende ser un mensaje de parte de una red social o compañía de correo electrónico, verifica que las cuentas de correo utilizadas sean las oficiales. Si dice ser alguien conocido, verifica con la persona por otro medio (preferiblemente en persona) y pregunta si en efecto ha enviado estos mensajes y a quién.
No descargues ningún archivo, instales software o abras ningún enlace web antes de verificar su procedencia y veracidad: para verificar a dónde se dirige un link acortado te recomendamos utilizar unshorten.me o unshorten.it.
Mantén actualizado el software: Los ataques de phishing que utilizan malware con frecuencia se basan en vulnerabilidades en el software para instalar malware y comprometer tus dispositivos.
Utiliza un administrador de contraseñas con relleno automático: Otra ventaja del uso de los administradores de contraseña que tienen la característica de relleno automático de los campos de usuario y contraseña, es que esta información está asociada al URL donde se completa esta información. Si el atacante consigue dirigirte a un sitio web malicioso, tu administrador de contraseñas no reconocerá el lugar que pretende robar tu información.
Utiliza Google Drive para previsualizar documentos: En lugar de descargar los documentos que recibas te recomendamos que los cargues en Google Drive. Esto convertirá el documento en una versión web, lo que, casi con seguridad, te impedirá instalar software malicioso. Antes de dar click asegúrate de que efectivamente es una previsualización de Google Drive, algunos mensajes malintencionados se han aprovechado de ese nivel de confianza e intentan emular el diseño gráfico de esa interfaz para obtener clicks.
Activa la autenticación de dos factores: Como explicamos anteriormente, la activación del 2FA hará que el atacante no pueda ingresar a tus cuentas de usuario, a pesar de que llegara a tener la contraseña de acceso, debido a que requerirá de este segundo factor de autenticación que solo tú posees.
Para mejorar tus habilidades de detección de phishing te invitamos a realizar el test de phishing diseñado por Jigsaw en conjunto con Google: https://phishingquiz.withgoogle.com/.