If you're seeing this message, it means we're having trouble loading external resources on our website.

Si estás detrás de un filtro de páginas web, por favor asegúrate de que los dominios *.kastatic.org y *.kasandbox.org estén desbloqueados.

Contenido principal

Curso: Seguridad en Internet > Unidad 1

Lección 9: Más información sobre cómo reconocer y evitar las estafas en línea
Universidad, carreras y más
Seguridad en Internet
Seguridad de datos en línea
Más información sobre cómo reconocer y evitar las estafas en línea
© 2024 Khan AcademyTérminos de usoPolítica de privacidadAviso de cookies

Ataques de "phishing"

Google Classroom
Internet es una red de computadoras llenas de datos valiosos, por lo que hay muchos mecanismos de seguridad para proteger esos datos.
Pero hay un eslabón más débil: el ser humano. Si el usuario da libremente sus datos personales o acceso a su computadora, es mucho más difícil para los mecanismos de seguridad proteger sus datos y dispositivos.
Un ataque de suplantación de identidad ("phishing") es un intento de engañar a un usuario para que divulgue su información privada.
Ilustración de un ataque de phishing. Un atacante tiene una caña de pescar con un anzuelo a través de un navegador web. El navegador web tiene un campo de contraseña lleno con "UsersR3alP@sword".
Un suplantador de identidad ("phisher") expone una carnada tentadora, un sitio web persuasivo. Si el usuario muerde, entonces el phisher recoge información privada sabrosa.

Un ejemplo de ataque

Un ataque de suplantación de identidad típicamente comienza con un correo electrónico que afirma ser de un sitio web legítimo, como un sitio web de un banco o una tienda en línea:
Captura de pantalla de un correo electrónico de phishing. El campo de asunto del correo dice "¡Tu acceso a PayPal está bloqueado !". El correo electrónico es de "PayPal paypalaccounts@mailbox.com". El cuerpo del correo electrónico tiene encabezado "Su cuenta de PayPal está limitada, resuélvalo en 24 horas! "y cuerpo "Estimado cliente de PayPal, sentimos decirle que no puede acceder a toda la funcionalidad de su cuenta de Paypal, como pagos y transferencias de dinero. Haga clic aquí para arreglar su cuenta ahora. ¿Por qué está bloqueada? Porque creemos que su cuenta está en peligro de robo y uso no autorizado. ¿Cómo puedo solucionar el problema? Confirme todos sus datos en nuestro servidor. Haga clic abajo y siga todos los pasos. Confirmar los detalles de la cuenta ahora." Hay dos secciones hipervinculadas en el texto.
Un correo electrónico que dice ser de PayPal
El objetivo del correo electrónico es obtener datos privados del usuario, así que solicita al recipiente que responda con información personal, o bien enlaza con un sitio web que es notablemente parecido al original:
Captura de pantalla de un sitio web de suplantación de identidad. El navegador web muestra el título de la página web "Inicia sesión en tu cuenta PayPal". La barra de direcciones muestra "paypal--accounts.com". El área principal de la pantalla contiene la caja de inicio de sesión con el logo de PayPal: un campo de entrada para correo electrónico o número móvil, un campo de entrada de contraseña, y un botón de "Iniciar sesión".
Un sitio web que dice ser la pantalla de inicio de sesión de PayPal
Si convence al usuario a que ingrese datos privados en el sitio, ¡esos datos ahora los tiene el atacante! Si el usuario llenó datos de inicio de sesión, entonces el atacante puede usarlos para iniciar sesión en el sitio web real, o si el usuario proporcionó los datos de su tarjeta de crédito, puede usarla para hacer compras en cualquier sitio.

Signos de un ataque de suplantación de identidad

Afortunadamente, hay señales contundentes que indican estafas de "phishing".

Dirección sospechosa de correo electrónico

Los correos electrónicos de suplantación de identidad suelen provenir de direcciones en dominios que no pertenecen a una empresa legítima.
Captura de pantalla de correo electrónico de phishing, recortada para mostrar sólo la línea de origen. El correo electrónico es de "PayPal paypalaccounts@mailbox.com". La dirección de correo electrónico se resalta con un círculo.
El correo electrónico parece que es de PayPal, pero en realidad es de mailbox.com.
Inversamente, una dirección legítima de correo electrónico no es una garantía que un correo sea 100% seguro. Los atacantes pueden haber encontrado una forma de falsificar la dirección legítima de correo electrónico o haberla hackeado para controlarla.

URL sospechoso

Los correos electrónicos de suplantación de identidad con frecuencia se enlazan con un sitio web con una URL que parece legítima, pero que en realidad es un sitio web controlado por el atacante.
Captura de pantalla de un sitio web de phishing, recortado para mostrar sólo la barra de direcciones. El navegador web muestra el título de la página web "Iniciar sesión en su cuenta PayPal". La barra de direcciones muestra "paypal--accounts.com". La dirección se resalta con un círculo.
El URL contiene "paypal", pero no es el dominio real de PayPal.
Los atacantes usan una variedad de estrategias para crear URL tentadoras:
  • Cambios ortográficos del URL original o del nombre de la empresa. Por ejemplo, "goggle.com" en vez de "google.com".
  • Ortografía con caracteres parecidos de otros alfabetos. Por ejemplo, "wikipediа.org" versus "wikipedia.org". La "e" y la "a" son caracteres diferentes en esos dos dominios.
  • Subdominios que se parecen al nombre del dominio. Por ejemplo, "paypal.accounts.com" en lugar de "accounts.paypal.com". PayPal posee el segundo dominio, pero no tiene control sobre el primero.
  • Un dominio de nivel superior (TLD) diferente. Por ejemplo, "paypal.io" en vez de "paypal.com". Las empresas populares tratan de comprar su dominio con los TLD más comunes, como ".net", ".com", y ".org", pero ahora hay cientos de TLDs.
Aún si un atacante no ha encontrado una URL similar para alojar su página web maliciosa, todavía puede intentar disfrazar el URL en el HTML.
Considera este texto que parece legítimo:
Visita www.paypal.com para cambiar tu contraseña.
Ahora intenta hacer clic en el enlace. No aterrizaste en PayPal, ¿verdad? Esto es porque el texto del enlace no es el mismo que el destino del enlace.
Así se ve el HTML:
Visita <a href="https://www.khanacademy.org/computer-programming/this-isnt-the-right-page/5778954880073728">www.paypal.com</a> para cambiar tu contraseña.
Un atacante puede disfrazar enlaces de esa manera en un mensaje de correo electrónico o en una página web. Cada vez que haces clic en un enlace dudoso, es importante verifical el URL en la barra del navegador para ver dónde aterrizó tu navegador en realidad.

Conexiones HTTP no seguras

Cualquier sitio web que te pide información confidencial debería usar HTTPS para cifrar los datos enviados por Internet.
Los sitios web de suplantación de identidad no siempre hacen el esfuerzo extra de usar HTTPS.
Captura de pantalla de un sitio web de phishing, recortado para mostrar sólo la barra de direcciones. El navegador web muestra el título de la página web "Iniciar sesión en tu cuenta PayPal". La barra de direcciones muestra "paypal--accounts.com". La dirección se resalta con un círculo.
La URL no utiliza HTTPS, así que el navegador muestra "No seguro".
Sin embargo, según un informe, más de dos tercios de todos los sitios web de suplantación de identidad usaron HTTPS en 2019, por lo que una URL segura no necesariamente equivale a una URL legítima. 1

Solicitudes de información sensible

Los correos electrónicos de suplantación de identidad a menudo te piden que respondas con información personal o que llenes un formulario en un sitio web. La mayoría de las empresas legítimas no necesitan que verifiques tu información personal después de la creación de la cuenta original.
Captura de pantalla de un sitio web de phishing, recortado para mostrar sólo el formulario de acceso. El formulario de acceso tiene el logotipo de PayPal: un campo de entrada para correo electrónico o número móvil, un campo de entrada de contraseñas y un botón de "Iniciar sesión". Los campos de correo electrónico y contraseña están resaltados con círculos.

Tácticas de urgencia y miedo

Los correos electrónicos de suplantación de identidad utilizan manipulación psicológica para conseguir que bajemos la guardia y que respondamos rápidamente sin pensar en las consecuencias.
Captura de pantalla de un correo electrónico de phishing. El campo de asunto del correo dice "¡Tu acceso a PayPal está limitado. Resuélvelo en 24 horas!". El correo electrónico es de "PayPal ". El cuerpo del correo electrónico tiene encabezado "Su cuenta de PayPal está limitada, resuélvalo en 24 horas! "y cuerpo "Estimado cliente de PayPal, Sentimos decirle que no puede acceder a toda la funcionalidad de su cuenta de Paypal, como pagos y transferencias de dinero. Haga clic aquí para arreglar su cuenta ahora. ¿Por qué está bloqueada? Porque creemos que su cuenta está en peligro de robo y uso no autorizado." El encabezado y última línea están resaltados con círculos.

Manejar un ataque de "phishing"

Cada estafa de phishing varía en su sofisticación, y algunos correos pueden ser muy obviamente falsos mientras que otros pueden ser increíblemente convincentes.
Si alguna vez sospechas que un correo electrónico es un ataque de suplantación de identidad, no hagas clic en ningún enlace ni descargues ningún archivo anexo.
Encuentra otra manera de contactar al supuesto remitente para ver si el correo electrónico es legítimo. Si el correo es de una empresa, busca en línea su número de teléfono. Si es de un amigo o colega, puedes enviarle un mensaje o llamarlo.

"Phishing" de lanza

Hay un nuevo tipo de suplantación de identidad que es aún más popular y peligroso: "phishing" de lanza. En lugar de enviar un correo similar a muchos usuarios, un phisher de lanza investiga a un usuario y le envía un correo electrónico específicamente dirigido a este.
Los ataques de phishing de lanza a menudo se envían a personas dentro de una organización, para obtener acceso a los datos de esta.
Uno de mis colegas recibió el siguiente correo electrónico de suplantación de identidad que afirmaba ser del propio Sal Khan:
Captura de pantalla de un correo electrónico con línea de asunto "Solicitud" y remitente "Sal Khan executivee197@gmail.com" y cuerpo de texto "Cuando tengas un minuto, ¿puedes enviarme un correo electrónico? Saludos cordiales, Sal Khan, CEO"
Afortunadamente, obviamente era un correo de suplantación de identidad de lanza desde la dirección del remitente.
Pero no todos los intentos de phishing de lanza son tan obvios y no todos sus destinatarios están tan alertas. Si solo una persona en una organización revela accidentalmente sus credenciales o descarga malware en su computadora de trabajo, un atacante puede potencialmente abrir una brecha a toda la base de datos de la empresa. No solo son los datos de una persona, sino los de miles o millones de personas. 😬
🔍 ¿Puedes ver una estafa de suplantación de identidad? Prueba tus habilidades con este cuestionario de phishing de Google.
🙋🏽🙋🏻‍♀️🙋🏿‍♂️¿TIenes alguna pregunta sobre este tema? ¡Nos encantaría responderte; tan solo pregunta en el área de preguntas más abajo!

¿Quieres unirte a la conversación?

Inicia sesión
  • Avatar sneak peak purple style para el usuario J.
    Publicado hace hace 2 años. Enlace directo a la publicación “Nota: Phishing, es cuando...” de J.
    Nota: Phishing, es cuando damos información sensible sobre nosotros, de parte de correos engañosos, hay varias maneras que puede suceder, con una url maliciosa, un correo de alguien que se hace pasar por alguien, o con un phishing de lanza, que es cuando se estudia un usuario y se le manda un correo especifico.
    (3 votos)
    Avatar Default Khan Academy avatar para el usuario
¿Sabes inglés? Haz clic aquí para ver más discusiones en el sitio en inglés de Khan Academy.