El Pishing y cómo Detectarlo

¿Qué es Pishing?

Universidad De Oriente - Núcleo Anzoátegui.

Departamento De Ingeniería En Sistemas.

Docente: Elizabeth Hemzani.

Anaco, Venezuela

10 de Mayo de 2023

Introducción

El phishing es una técnica de ciberdelincuencia que consiste en engañar a las víctimas para que revelen información personal o confidencial que puede ser utilizada con fines ilícitos. El phishing se realiza mediante el envío de mensajes falsos que se hacen pasar por entidades legítimas y que solicitan a las víctimas que accedan a un enlace, descarguen un archivo adjunto o proporcionen sus datos.

El phishing es una amenaza creciente para la seguridad de los usuarios y las organizaciones en Internet, ya que puede causar daños económicos, reputacionales y legales. Además, el phishing se ha adaptado a la situación de la pandemia del COVID-19, aprovechando el miedo y la incertidumbre de las personas para lanzar campañas relacionadas con temas como la salud, las vacunas o las ayudas económicas.

La tesis principal de este ensayo es que el phishing es un problema complejo que requiere una respuesta multidimensional que involucre a los usuarios, las entidades y los proveedores de servicios. El propósito de este ensayo es explicar en qué consiste el phishing, cómo se puede detectar y prevenir, y qué consecuencias tiene para los afectados. El alcance de este ensayo se limita al análisis del phishing por correo electrónico, que es la modalidad más común y extendida.

Definición y tipos de phishing

En esta subparte se define el concepto de phishing y se describen sus características principales. Además, se clasifican los tipos de phishing según diferentes criterios: el objetivo, el método y el contenido.

El phishing es una técnica de ciberdelincuencia que consiste en engañar a las víctimas para que revelen información personal o confidencial que puede ser utilizada con fines ilícitos. El phishing se realiza mediante el envío de mensajes falsos que se hacen pasar por entidades legítimas y que solicitan a las víctimas que accedan a un enlace, descarguen un archivo adjunto o proporcionen sus datos.

El phishing se puede clasificar según diferentes criterios:

• Según el objetivo: el phishing puede dirigirse a un público general (phishing masivo) o a un grupo específico de personas (phishing dirigido). Dentro del phishing dirigido, se distingue el spear phishing, que se enfoca en una persona o entidad concreta, y el whaling, que se enfoca en altos ejecutivos o personalidades influyentes.
• Según el método: el phishing puede utilizar diferentes medios de comunicación para enviar los mensajes falsos, como el correo electrónico (email phishing), el teléfono (voice phishing o vishing), el mensaje de texto (SMS phishing o smishing) o las redes sociales (social media phishing).
• Según el contenido: el phishing puede variar el tipo de información que solicita a las víctimas o el tipo de acción que les pide realizar. Algunos ejemplos son el pharming, que redirige a las víctimas a sitios web falsos; el ransomware, que bloquea los dispositivos de las víctimas y les pide un rescate para liberarlos; el scareware, que asusta a las víctimas con falsas amenazas de seguridad y les ofrece soluciones fraudulentas; o el baiting, que ofrece a las víctimas algún incentivo o recompensa para que realicen una acción.

Detección y prevención del phishing

En esta subparte se explican las formas de identificar y evitar el phishing. Además, se ofrecen consejos y recomendaciones para los usuarios, las entidades y los proveedores de servicios.

El phishing se basa en la ingeniería social, es decir, en la manipulación psicológica de las personas para que hagan lo que el atacante quiere. Por ello, es importante estar alerta y desconfiar de los mensajes que parecen sospechosos, que contienen errores ortográficos o gramaticales, que piden información sensible o urgente, o que ofrecen ofertas demasiado buenas para ser verdad.

Para detectar y prevenir el phishing, se pueden seguir estos consejos:

• Verificar la identidad del remitente: comprobar la dirección de correo electrónico, el número de teléfono o el perfil de la red social que envía el mensaje. Si no coincide con la entidad legítima o tiene algún detalle extraño, como números o letras al azar, es probable que sea falso.
• Verificar la autenticidad del enlace: pasar el cursor sobre el enlace sin hacer clic para ver la dirección web real. Si no coincide con la entidad legítima o tiene algún detalle extraño, como dominios desconocidos o faltas de ortografía, es probable que sea falso.
• Verificar la seguridad del sitio web: comprobar que la dirección web empieza por https:// y tiene un candado verde al lado. Esto indica que el sitio web tiene un certificado de seguridad válido y cifra la información que se envía. Si no tiene estos elementos, es probable que sea falso.
• No descargar ni abrir archivos adjuntos: los archivos adjuntos pueden contener malware que infecte los dispositivos o robe la información. Si no se espera recibir ningún archivo adjunto o no se confía en el remitente, es mejor no descargarlo ni abrirlo.
• No proporcionar información personal o confidencial: ninguna entidad legítima solicita información sensible por correo electrónico, teléfono o mensaje de texto. Si se recibe una solicitud de este tipo, es mejor ignorarla o contactar directamente con la entidad legítima por otro medio para verificarla.
• Usar herramientas de protección: instalar antivirus y antimalware en los dispositivos y mantenerlos actualizados. También usar filtros antispam y antiphishing en los servicios de correo electrónico y navegación web. Estas herramientas pueden ayudar a detectar y bloquear los mensajes y sitios web falsos.
• Reportar y denunciar el phishing: si se recibe o se cae en un intento de phishing, es importante reportarlo y denunciarlo a las autoridades competentes y a las entidades afectadas. Esto puede ayudar a evitar que otras personas sean víctimas del mismo ataque y a perseguir a los responsables.

Consecuencias del phishing

En esta subparte se describen los efectos negativos que puede tener el phishing para los afectados. Además, se mencionan algunos ejemplos reales de casos de phishing que han causado daños significativos.

El phishing puede tener consecuencias económicas, reputacionales y legales para los afectados. Algunos de los posibles daños son:

• Pérdida de dinero: el phishing puede provocar el robo de dinero de las cuentas bancarias o tarjetas de crédito de las víctimas, o el pago de rescates para recuperar el acceso a sus dispositivos o datos.
• Pérdida de información: el phishing puede provocar el robo o la destrucción de información personal o confidencial de las víctimas, como contraseñas, documentos, fotos o vídeos.
• Pérdida de identidad: el phishing puede provocar el robo de la identidad de las víctimas, lo que puede implicar el uso fraudulento de sus datos para realizar compras, solicitar créditos, abrir cuentas o cometer delitos en su nombre.
• Pérdida de confianza: el phishing puede provocar la pérdida de confianza de las víctimas en las entidades legítimas que han sido suplantadas, lo que puede afectar a su relación comercial o institucional.
• Pérdida de reputación: el phishing puede provocar la pérdida de reputación de las víctimas o de las entidades legítimas que han sido suplantadas, lo que puede dañar su imagen pública o profesional.

Algunos ejemplos reales de casos de phishing que han causado daños significativos son:

...