¿Qué es el phishing?
Phishing (pronunciado “fishing”) se refiere a robar las contraseñas de las personas engañándolas, utilizando un sitio web falso que imita uno legítimo. El phishing a menudo ocurre a través de correo electrónico, con el remitente pretendiendo ser una persona o empresa conocida. Los mensajes de phishing típicamente invocan un sentido de urgencia o pánico, y obligan a los lectores a tomar medidas inmediatas.
¿Cómo funciona el phishing?
Un phisher configurará un sitio web que se ve como la página de inicio de sesión de un sitio legítimo. Luego intentan que las personas visiten su sitio, con la esperanza de que las personas ingresen sus nombres de usuario y contraseñas para el sitio “real” (o suplantado).
Cada vez que un usuario ingresa una contraseña en el sitio de phishing, el sitio la registra y luego redirige al usuario al sitio legítimo para que no sospeche que algo anda mal. El phisher puede entonces usar o vender las contraseñas robadas.
Note que estos sitios falsos pueden tener diferentes grados de calidad. En algunos casos, se verán visualmente muy diferentes del original y serán falsificaciones obvias. En otros casos, la versión falsa será casi indistinguible de la real.
¿Cómo hacen los phishers para atraer a las personas a sus sitios?
Un método común es que los phishers envíen correos electrónicos o mensajes de texto que parezcan provenir de una fuente legítima. Estos mensajes incluyen un enlace al sitio de phishing, e intentan atraer o presionar al usuario para que haga clic. Pueden usar un lenguaje que implique urgencia, como diciendo “Tu cuenta será eliminada a menos que hagas clic aquí para iniciar sesión de inmediato!” También pueden ofrecer una recompensa, como: “¡Has ganado $1000! ¡Haz clic aquí para reclamar tu premio!”
Otra táctica de phishing es el “typosquatting.” En este caso, un phisher comprará un nombre de dominio similar a la URL del sitio legítimo que están imitando, y configurarán un sitio de phishing para atrapar a los usuarios que escriban incorrectamente la URL del sitio legítimo. Para prevenir esto, muchas grandes empresas comprarán muchos nombres de dominio similares al principal (por ejemplo, Google posee “googel.com”).
¿Cómo me protejo del phishing?
Hay algunas cosas que puedes hacer para protegerte contra el phishing:
- Habilita Safe Browsing en tu navegador web. Todos los principales navegadores soportan esta función, que puede advertirte si estás a punto de visitar un sitio de phishing conocido.
- Cada vez que estés a punto de iniciar sesión en un sitio web, o ingresar cualquier información importante, mira cuidadosamente la dirección del sitio web en la URL y asegúrate de que sea lo que esperas.
- Si sospechas que tu contraseña para un sitio ha sido phishing, cambia tu contraseña en ese sitio de inmediato, así como en cualquier otro sitio donde uses la misma contraseña. Idealmente, sin embargo, deberías usar una contraseña diferente para cada sitio, lo cual limita el daño si uno de ellos es víctima de phishing. Usa un gestor de contraseñas para almacenar de forma segura todas tus contraseñas, y para generar contraseñas aleatorias, únicas para cada cuenta y sitio web al que accedas.
- Es una buena idea habilitar la autenticación en dos factores (2FA), o autenticación multifactor, en cada cuenta que lo soporte. Esto no te impedirá ser víctima de phishing, pero limitará el daño si lo eres: Incluso si un phisher obtiene tu contraseña, no tendrá tu segundo factor (generalmente un código numérico único de una sola vez que también se requiere antes de que puedas obtener acceso a tu cuenta en un sitio o app).