Contenido principal
Principios de ciencias de la computación avanzados (AP Computer Science Principles)
Curso: Principios de ciencias de la computación avanzados (AP Computer Science Principles) > Unidad 7
Lección 4: CiberataquesAtaques de "phishing"
Internet es una red de computadoras llenas de datos valiosos, por lo que hay muchos mecanismos de seguridad para proteger esos datos.
Pero hay un eslabón más débil: el ser humano. Si el usuario da libremente sus datos personales o acceso a su computadora, es mucho más difícil para los mecanismos de seguridad proteger sus datos y dispositivos.
Un ataque de suplantación de identidad ("phishing") es un intento de engañar a un usuario para que divulgue su información privada.
Un ejemplo de ataque
Un ataque de suplantación de identidad típicamente comienza con un correo electrónico que afirma ser de un sitio web legítimo, como un sitio web de un banco o una tienda en línea:
El objetivo del correo electrónico es obtener datos privados del usuario, así que solicita al recipiente que responda con información personal, o bien enlaza con un sitio web que es notablemente parecido al original:
Si convence al usuario a que ingrese datos privados en el sitio, ¡esos datos ahora los tiene el atacante! Si el usuario llenó datos de inicio de sesión, entonces el atacante puede usarlos para iniciar sesión en el sitio web real, o si el usuario proporcionó los datos de su tarjeta de crédito, puede usarla para hacer compras en cualquier sitio.
Signos de un ataque de suplantación de identidad
Afortunadamente, hay señales contundentes que indican estafas de "phishing".
Dirección sospechosa de correo electrónico
Los correos electrónicos de suplantación de identidad suelen provenir de direcciones en dominios que no pertenecen a una empresa legítima.
Inversamente, una dirección legítima de correo electrónico no es una garantía que un correo sea 100% seguro. Los atacantes pueden haber encontrado una forma de falsificar la dirección legítima de correo electrónico o haberla hackeado para controlarla.
URL sospechoso
Los correos electrónicos de suplantación de identidad con frecuencia se enlazan con un sitio web con una URL que parece legítima, pero que en realidad es un sitio web controlado por el atacante.
Los atacantes usan una variedad de estrategias para crear URL tentadoras:
- Cambios ortográficos del URL original o del nombre de la empresa. Por ejemplo, "goggle.com" en vez de "google.com".
- Ortografía con caracteres parecidos de otros alfabetos. Por ejemplo, "wikipediа.org" versus "wikipedia.org". La "e" y la "a" son caracteres diferentes en esos dos dominios.
- Subdominios que se parecen al nombre del dominio. Por ejemplo, "paypal.accounts.com" en lugar de "accounts.paypal.com". PayPal posee el segundo dominio, pero no tiene control sobre el primero.
- Un dominio de nivel superior (TLD) diferente. Por ejemplo, "paypal.io" en vez de "paypal.com". Las empresas populares tratan de comprar su dominio con los TLD más comunes, como ".net", ".com", y ".org", pero ahora hay cientos de TLDs.
Aún si un atacante no ha encontrado una URL similar para alojar su página web maliciosa, todavía puede intentar disfrazar el URL en el HTML.
Considera este texto que parece legítimo:
Visita www.paypal.com para cambiar tu contraseña.
Ahora intenta hacer clic en el enlace. No aterrizaste en PayPal, ¿verdad? Esto es porque el texto del enlace no es el mismo que el destino del enlace.
Así se ve el HTML:
Visita <a href="https://www.khanacademy.org/computer-programming/this-isnt-the-right-page/5778954880073728">www.paypal.com</a> para cambiar tu contraseña.
Un atacante puede disfrazar enlaces de esa manera en un mensaje de correo electrónico o en una página web. Cada vez que haces clic en un enlace dudoso, es importante verifical el URL en la barra del navegador para ver dónde aterrizó tu navegador en realidad.
Conexiones HTTP no seguras
Cualquier sitio web que te pide información confidencial debería usar HTTPS para cifrar los datos enviados por Internet.
Los sitios web de suplantación de identidad no siempre hacen el esfuerzo extra de usar HTTPS.
Sin embargo, según un informe, más de dos tercios de todos los sitios web de suplantación de identidad usaron HTTPS en 2019, por lo que una URL segura no necesariamente equivale a una URL legítima. start superscript, 1, end superscript
Solicitudes de información sensible
Los correos electrónicos de suplantación de identidad a menudo te piden que respondas con información personal o que llenes un formulario en un sitio web. La mayoría de las empresas legítimas no necesitan que verifiques tu información personal después de la creación de la cuenta original.
Tácticas de urgencia y miedo
Los correos electrónicos de suplantación de identidad utilizan manipulación psicológica para conseguir que bajemos la guardia y que respondamos rápidamente sin pensar en las consecuencias.
Manejar un ataque de "phishing"
Cada estafa de phishing varía en su sofisticación, y algunos correos pueden ser muy obviamente falsos mientras que otros pueden ser increíblemente convincentes.
Si alguna vez sospechas que un correo electrónico es un ataque de suplantación de identidad, no hagas clic en ningún enlace ni descargues ningún archivo anexo.
Encuentra otra manera de contactar al supuesto remitente para ver si el correo electrónico es legítimo. Si el correo es de una empresa, busca en línea su número de teléfono. Si es de un amigo o colega, puedes enviarle un mensaje o llamarlo.
"Phishing" de lanza
Hay un nuevo tipo de suplantación de identidad que es aún más popular y peligroso: "phishing" de lanza. En lugar de enviar un correo similar a muchos usuarios, un phisher de lanza investiga a un usuario y le envía un correo electrónico específicamente dirigido a este.
Los ataques de phishing de lanza a menudo se envían a personas dentro de una organización, para obtener acceso a los datos de esta.
Uno de mis colegas recibió el siguiente correo electrónico de suplantación de identidad que afirmaba ser del propio Sal Khan:
Afortunadamente, obviamente era un correo de suplantación de identidad de lanza desde la dirección del remitente.
Pero no todos los intentos de phishing de lanza son tan obvios y no todos sus destinatarios están tan alertas. Si solo una persona en una organización revela accidentalmente sus credenciales o descarga malware en su computadora de trabajo, un atacante puede potencialmente abrir una brecha a toda la base de datos de la empresa. No solo son los datos de una persona, sino los de miles o millones de personas. 😬
🔍 ¿Puedes ver una estafa de suplantación de identidad? Prueba tus habilidades con este cuestionario de phishing de Google.
🙋🏽🙋🏻♀️🙋🏿♂️¿TIenes alguna pregunta sobre este tema? ¡Nos encantaría responderte; tan solo pregunta en el área de preguntas más abajo!
¿Quieres unirte a la conversación?
- Nota: Phishing, es cuando damos información sensible sobre nosotros, de parte de correos engañosos, hay varias maneras que puede suceder, con una url maliciosa, un correo de alguien que se hace pasar por alguien, o con un phishing de lanza, que es cuando se estudia un usuario y se le manda un correo especifico.(3 votos)