Spear Phishing: No Te Conviertas en el Almuerzo de los Hackers

Spear Phishing: No Te Conviertas en el Almuerzo de los Hackers

Lamentamos informarte que no tienes parientes desconocidos, realeza extranjera o compañías desconocidas dispuestas a dejarte millones de dólares. Si alguien te dice lo contrario, probablemente seas víctima de spear phishing.

El phishing y el spear phishing, como su forma más directa, son las formas en que los piratas informáticos y los ladrones te engañan en línea para sacarte tu información personal. A veces incluso directamente pedirán dinero.

Aquellos que no tienen cuidado sobre dónde dejan su información pueden ser contactados fácilmente por alguien que finge ser un sitio web o persona confiable. A diferencia de las estafas visibles, estas trampas te llevarán a un sitio web que parece familiar. Y si bien puedes pensar que estás visitando Facebook, Google o Amazon, estás siendo estafado.

Hay un par de formas de protegerte directamente. Con proveedores premium de VPN como Le VPN puedes enmascarar tu dirección IP y evitar ser atacado. Además, como tus datos estarán encriptados, hay pocas posibilidades de que alguien descubra cómo y dónde engañarte. Después de eso, todo depende de el cuidado y la ciberhigiene.

¿Qué es el «Phishing»?

Spear Phishing: No Te Conviertas en el Almuerzo de los Hackers. | Le VPN

En esencia, el phishing es un tipo de estafa donde el estafador finge que es alguien en quien ya confías. Este ataque puede venir en varios niveles y usar diferentes plataformas, dependiendo de de los datos que el estafador tenga sobre su objetivo.

Aquellos que intentan estafar a las personas suelen crear sitios web o páginas enteras para engañar a alguien para que brinde su información privada o financiera, o directamente para que envíe dinero.

En ciertos casos, estos atacantes lanzarán una amplia red sin información específica que te incitaría a hacer clic en su enlace. Pero, para aquellos que no tienen cuidado, muchos de sus datos pueden estar disponibles. Los ataques directos como este pueden conducir a la suplantación de identidad, que son ataques dirigidos y una forma más peligrosa de estafa.

¿Qué es el Spear Phishing?

A diferencia de la suplantación de identidad (phishing) regular, el Spear Pishing  está dirigida específicamente a un individuo. En ese caso, el estafador sabrá tu nombre, dirección e incluso alguna información adicional de compra.

Por ejemplo, los piratas informáticos pueden saber que tienes niños pequeños en tu familia a partir de la información que han recopilado en Facebook o en otras redes sociales. Luego, te enviarán un correo electrónico informándote que tu hijo ha realizado una compra y que necesitas confirmar tus datos financieros para afirmar o denegar la venta.

Una vez que envíes los datos que necesitan, accederán a tu cuenta y robarán el dinero que puedan encontrar. Otros datos financieros, como la información de tu tarjeta, se venderán a ladrones de identidad y otras entidades maliciosas.

¿Cómo Saber Si Estás Siendo Estafado?

Afortunadamente, incluso si no sabes cómo funciona una VPN, hay formas de protegerte. Unos pocos ajustes de comportamiento en tu rutina de internet pueden evitar que seas estafado.

Principalmente, debes saber quién puede solicitar tu información y por qué. Ninguna compañía, banco o cualquier otra entidad solicitaría una contraseña o PIN, porque ya tienen esa información. Nunca será necesario confirmar tu correo electrónico y contraseña a través de un correo electrónico, mensaje o teléfono.

Y, si alguna vez te piden que visites un sitio web a través de un correo electrónico o mensaje, echa un vistazo a quién envía el mensaje. Muy pocas empresas enviarán dicha solicitud por su cuenta. Pero los hackers pueden crear sitios web falsos que se parecen a los que estás acostumbrado.

Lo mejor es que estos sitios web tendrán una URL diferente.

Como ejemplo de spear phishing, se han filtrado muchos correos electrónicos del desarrollador de software Electronic Arts, mejor conocido como EA. Si bien creemos que EA vendería a los hackers su sitio web como un DLC, esto aún no ha sucedido. Los nombres de dominio serían distintos de .com o .org con el correo electrónico utilizando algunas extensiones de dominio de países pequeños.

Tipos de Phishing

Los ataques de phishing vienen en varios sabores y cada uno se puede encontrar en diferentes lugares. Algunos tipos de phishing están reservados para correos electrónicos y mensajes SMS, mientras que otros son más frecuentes en plataformas de citas como Tinder.

En todos estos casos, el punto de partida de la estafa es la pequeña información privada que alguien tiene sobre ti. Este catalizador puede ser tu nombre, tu número de teléfono, tu dirección IP o cualquier otro dato.

Curiosamente, si estás utilizando una aplicación VPN y estás practicando otras formas de protección, estas estafas pueden fallar de manera espectacular. Los bots no distinguen entre tu nombre real y un seudónimo, y te llamarán xXxNooBHunter69xXx en lo que se supone que es un correo electrónico oficial de tu banco.

Una Amplia Red de Phishing

Ciertamente, el tipo de phishing más frecuente, esta estafa ha existido durante más de una década. Actualmente, generalmente lo hacen los bots y utilizan grandes bases de datos de correo electrónico para enviar tantos correos electrónicos como sea posible.

En general, el correo electrónico contendrá tu nombre, o simplemente se dirigirá a ti como «Señor o Señora». Contendrá un enlace de estafa que incluso podría infectar tu calendario o configuración. En la mayoría de los casos, presentará un problema con el dispositivo o servicio que puedas tener y dirá que necesitas ingresar más información personal para resolver este problema.

Por el momento, la mayoría de los proveedores de correo electrónico bloquearán un correo electrónico de phishing y otros tipos de mensajes similares, pero algunos pueden pasar. Afortunadamente, generalmente serán obvios y fáciles de notar como una estafa. Sin ninguna información, pedirán la tuya, lo cual no es algo que alguna empresa haría.

Spear Phishing

A medida que almacenamos cantidades crecientes de datos en nuestros teléfonos y dispositivos móviles, generalmente almacenamos gran cantidad de datos. Debido a que la mayoría de los usuarios no tienen una ciberhigiene adecuada, sus datos a veces se usan en su contra.

Al lanzar correos electrónicos de spear phishing, el atacante sabe exactamente quién eres y qué servicios utilizas. Es posible que hayan tomado tu nombre e información de la piratería, o simplemente de las redes sociales. En cualquier caso, sabrán quién eres y cuál podría ser la mejor manera de engañarte para que hagas clic en ese enlace sucio.

La mayoría de las personas no notarán que el sitio web que envía el mensaje no es el mismo que la URL normal, ya que generalmente será bastante similar. Por ejemplo, el nombre podría ser Faceb00k con ceros en lugar de O, o alguna configuración similar. Una vez que proporciones tus datos, serás transportado al sitio web real. De esta manera, es posible que ni siquiera te dés cuenta de la estafa una vez que esté hecha.

Además, este tipo de phishing podría instalar spyware e incluso aplicaciones maliciosas en tu teléfono u otros dispositivos móviles. Al usar tu teléfono principal, podrán acceder a tu información financiera y mucho más.

Quemador de Verificación en 2 Pasos

Un consejo directamente de las películas de espías, esta es una buena manera de protegerte de los ataques dirigidos a tu teléfono y la verificación en dos pasos.

Si obtienen acceso a tu teléfono, los hackers podrán clonar tu número y cambiar tus contraseñas e información financiera detrás. Esto básicamente te quitará de tu propia identidad en línea.

Esta es la razón por la que debes usar un teléfono desechable no registrado como tu dispositivo de verificación de 2 pasos. Idealmente, este teléfono ni siquiera debería poder acceder a internet. Mantén este teléfono en un lugar seguro donde a menudo realizas compras en línea.

Con esta técnica, es posible que no evites el robo de tus redes sociales y algunas cuentas. Sin embargo, podrás evitar que alguien solicite un préstamo en línea a tu nombre o rebasar el límite de tu tarjeta.

Catfishing o Catphishing

Catfishing suena gracioso porque generalmente está relacionado con los esfuerzos románticos fallidos de una persona. Eso es antes de que te suceda.

Según la definición de esta estafa, el otro lado no se presenta como una empresa o un servicio, sino como una atractiva perspectiva romántica. El estafador usualmente usará imágenes de modelos extranjeros de Instagram y buscará aplicaciones de citas para encontrar a alguien para chatear con ellas.

La principal diferencia entre el catfishing y el spear phishing es que el »catfish» no necesita conocer tus datos. Si pueden engañarte para que les creas, los darás tú mismo. Incluso aquí, a veces envían un enlace que te llevará a un sitio web, pero también pueden robar tu información directamente.

Finalmente, algunos «catfish» son humildes en sus demandas y trabajan en volumen. Podrían presentarse como necesitados de asistencia financiera y pedirte dinero abiertamente. Aquellos con un corazón amable o lujuria incontenible podrían ser engañados para hacer esto varias veces.

El Príncipe Nigeriano

Esta estafa exacta podría ser una estafa de phishing antigua y conocida en los círculos de seguridad cibernética, pero hay nuevas iteraciones.

De la misma manera, cómo el spear phishing se enfoca en el miedo y el catfishing se enfoca en la lujuria, el »Príncipe Nigeriano» tiene como objetivo explotar tu codicia. No para sonar como Santo Tomás de Aquino, pero en este caso, una vida virtuosa significa una vida feliz.

Con este tipo de estafas de spear phishing, el ladrón intenta tomar tanto tu dinero como tu información financiera. A cambio, prometen grandes cantidades de dinero transferido a tu cuenta, tan pronto como pagues la pequeña tarifa nominal.

Se pueden ofrecer todo tipo de cosas de esta manera, desde casas hasta nuevos artilugios, e incluso títulos reales.

Si bien hay otras formas de detectar un correo electrónico de phishing, la mejor manera es ser razonable. Si algo suena demasiado bueno para ser verdad, generalmente es porque es una estafa.

Protegerte del Phishing

Como dice el viejo refrán: «Más vale prevenir que curar».

Es mucho más fácil evitar ser víctima de phishing que lidiar con las consecuencias. Y, con solo un par de herramientas y un poco de conocimiento sobre cómo detectar estafas, estarás a salvo de este riesgo de ciberseguridad.

VPN y Anonimato

La mejor manera de no ser atacado es estar ausente. Al usar una VPN y un seudónimo en tus redes sociales, no habrá datos para usar en intentos de phishing.

Los proveedores de VPN premium tienen múltiples servidores en todo el mundo que enmascararán tanto tu dirección IP como tu ubicación. Le VPN tiene servidores seguros en más de 100 ubicaciones, todos con protocolos de protección de grado militar.

Y, si no usas tu nombre completo en las redes sociales, esto desatará cualquier otra información de tus cuentas. Simplemente usa un apodo que sea reconocible para tus amigos y familiares, pero no para los piratas informáticos.

Finalmente, debes usar una VPN en todos tus dispositivos. Además de tu computadora de escritorio, computadora portátil y teléfono inteligente, debes proteger tus dispositivos IoT. Los proveedores de VPN ofrecen opciones como una VPN para Firestick u otros dispositivos que se conectan a internet.

Anti-Malware y Anti-Spyware

Incluso si estás utilizando un paquete VPN premium, debes tener un software de protección. Estas aplicaciones eliminarán cualquier malware o spyware que encuentren y te informarán si estás en peligro.

Además, debes mantener tu sistema operativo actualizado, con todos los protocolos habilitados.

Escrutinio Constante

Tener cuidado podría no ser la solución de «alta tecnología» que estás buscando, pero es el mejor consejo que puedes obtener.

Si alguna vez recibes un correo electrónico que te pide que hagas clic en un enlace o envíes datos, lee cuidadosamente lo que dice. Además, busca el correo electrónico o la URL del remitente para ver si alguien lo ha marcado como una estafa. Ninguna empresa o servicio te pedirá tu información privada sin que comiences el proceso.

Además, lamentablemente, muy pocos modelos de Instagram estarán enamorados de ti sin ninguna razón. Si tal cosa sucede, solo pídeles una selfie vestidos normalmente.

Ciberhigiene

Este »Octubre para la Concientización de la Ciberseguridad» es un signo de ciberhigiene. Similar a la higiene regular, significa mantener limpios tus dispositivos y tu comportamiento.

Todos deberían hacer una rutina para borrar sus datos de navegación, información personal y contenido íntimo de sus dispositivos. Mantén una unidad externa con todo lo que deseas conservar y desconéctala de tus dispositivos e internet.

La mejor defensa de spear phishing es no dejar nada expuesto. De esta manera, pasarás desapercibido para los hackers, estafadores y otros peligros que acechan en línea.

¿Qué pasa Si Quedas Atrapado en el Spear Phishing?

Nadie planea ser una víctima, pero sucede. Incluso con la mejor protección, un breve lapso de juicio puede dejarte con tu información expuesta y todos tus dispositivos en peligro.

Resolver el problema puede no ser agradable. Pero, si actúas rápido, es posible que no tengas ningún daño a tu nombre y propiedad. Comienza a cambiar rápidamente tus contraseñas y cancela tus tarjetas de crédito.

Además, informa a tus amigos y familiares que tu cuenta podría verse comprometida y que no deberían hacer clic en nada que les envíes en el futuro previsible.

Cambia Tu Información y Contraseñas

Comienza con lo básico primero y luego sigue con la lista. Google, iCloud, Amazon y tu certificado bancario deberían ser los primeros en ser cambiados. Además, llama a tu proveedor de telefonía móvil y verifica si tu teléfono está siendo clonado e infórmales sobre tal posibilidad.

Cancela tus Tarjetas y Cambia la Información Financiera

Tan pronto como notes que tu información está comprometida, cancela todas tus tarjetas de débito y crédito, y cambia tu contraseña para acceder al sitio web del banco.

Recuerda retirar algo de efectivo para unos días hasta tener todo en orden.

Además, si tienes dinero almacenado como criptomoneda, cambia las contraseñas y los detalles de inicio de sesión para tu almacenamiento en frío y billetera caliente.

Llama a las Autoridades

En la mayoría de los países, el phishing mundial se considera una estafa y se castiga por ley. Aunque las posibilidades de que los autores sean atrapados son escasas, esto evitará que hagan mal uso de tu identidad.

Asesórate con la policía sobre cómo comportarte y dile a las instituciones que puedes estar siendo víctima del robo de identidad. Mantén algún tipo de identificación contigo en todo momento hasta que se resuelva el problema.

Finalmente, si existe el riesgo de que tu empresa se convierta en víctima del ransomware, informa a todos sobre la situación.

Comienza de Nuevo

No necesitas mudarte de tu hogar, pero limpiar tus dispositivos sería un buen comienzo.

Si no has practicado la ciberhigiene antes, ahora es el momento de comenzar. Reúne todas tus imágenes, videos y archivos comerciales, y transfiérelos a un disco duro externo donde el atacante no podrá alcanzarlos.

Una vez que hayas terminado, recoge tus discos de instalación o memorias USB y borra todo tu sistema. Todo debe irse en caso de que hayas sido engañado para instalar malware.

Conclusión

A pesar de que la suplantación de identidad es una estafa común, miles de personas caen cada año. Si no estás utilizando una VPN y permaneces anónimo en línea, existe una gran posibilidad de que recibas un archivo adjunto malicioso en tu correo electrónico o mensajes privados.

Como Octubre es un mes para la concientización de la ciberseguridad tanto en los EE. UU. como en la UE, este es un buen momento para aprender sobre estas amenazas y cómo mitigarlas.

Al utilizar proveedores de VPN premium como Le VPN e implementar prácticas de ciberseguridad en tu vida diaria, puedes mantenerte seguro en línea y navegar todo lo que quieras. Los estafadores y los hackers no pueden llevarte a donde no pueden verte.

spring-season-100x95

LAS REBAJAS DE PRIMAVERA

-78% EN PLANES DE 3 AÑOS

SIN REGISTROS

SERVIDORES EN 100 UBICACIONES

P2P PERMITIDO

FÁCIL DE USAR

30 DÍAS DE GARANTÍA

SOPORTE AMABLE

ACEPTA BITCOIN

VELOCIDADES ULTRA VELOCES

Escrito por Paola Rinaldi @LeVPN_Espanol

Paola Rinaldi es una traductora, transcriptora y escritora freelance que colabora con Le VPN desde julio de 2015 administrando las redes sociales, traduciendo artículos originales del inglés y escribiendo habitualmente en el blog en español. Como escritora del blog de Le VPN en español escribe artículos de interés y noticias actuales acerca de todo lo relacionado con la seguridad y privacidad en internet, el entretenimiento y la protección de datos personales para mantener a la audiencia hispanohablante informada. Es fundadora de Trebinaldi Translations, una agencia de traducción independiente.

Deje un comentario