Saltar al contenido principal Saltar al menú principal Saltar al pie

Cómo evitar los correos electrónicos de phishing

Cómo evitar los correos electrónicos de phishing

Disminuir el tamaño del texto Aumentar el tamaño del texto

Página del artículo

Los ataques de phishing tienen como objetivo engañar a las personas para que revelen información confidencial, como credenciales de inicio de sesión, números de tarjetas de crédito o datos personales. Con los avances tecnológicos, los estafadores perfeccionan continuamente sus herramientas y técnicas para este tipo de ataques.

  • El phishing por correo electrónico es una forma de ciberataque que tiene como objetivo engañar a personas u organizaciones haciéndose pasar por una entidad confiable.
  • Los phishers envían correos electrónicos fraudulentos que parecen provenir de fuentes confiables, como bancos, servicios en línea o agencias gubernamentales.
  • Estos correos electrónicos suelen contener mensajes alarmantes o tentadores para incitar a los destinatarios a tomar medidas inmediatas.
  • Los estafadores suelen utilizar técnicas de ingeniería social para manipular a los destinatarios para que hagan clic en enlaces maliciosos o abran archivos adjuntos maliciosos.
  • El objetivo del phishing por correo electrónico es engañar a los destinatarios para que revelen información confidencial, como credenciales de inicio de sesión, detalles financieros o datos personales.
  • Los correos electrónicos de phishing pueden emplear diversas tácticas para parecer legítimos, como el uso de logotipos oficiales, lenguaje profesional o personalización.
  • Los atacantes a menudo crean una sensación de urgencia o miedo para aumentar la probabilidad de que los destinatarios caigan en la estafa.
  • Los ataques de phishing pueden tener graves consecuencias, incluido el robo de identidad, pérdidas financieras o acceso no autorizado a cuentas confidenciales.
  • Para protegerse contra el phishing por correo electrónico, es esencial ser cauteloso al interactuar con correos electrónicos no solicitados, verificar la autenticidad de los remitentes de correo electrónico, evitar hacer clic en enlaces sospechosos o descargar archivos adjuntos y actualizar periódicamente el software de seguridad.

Señales de phishing por correo electrónico

Error:
  • Irregularidades ortográficas y gramaticales: ¿El mensaje contiene errores ortográficos o gramaticales, incluida la pluralidad no coincidente?
  • Inconsecuencia: ¿Hay inconsistencias en el mensaje de correo electrónico?
Indicador técnico:
  • Tipo de archivo adjunto: ¿Existe algún archivo adjunto potencialmente peligroso?
  • Nombre para mostrar y dirección de correo electrónico del remitente: ¿Un nombre para mostrar oculta el verdadero remitente o las direcciones de correo electrónico de respuesta?
  • Hipervínculo URL: ¿Hay algún texto que oculte la URL verdadera detrás del texto?
  • Suplantación de dominio: ¿Es un nombre de dominio utilizado en direcciones o enlaces plausiblemente similar al dominio de una entidad legítima?
Indicador de presentación visual:
  • Sin marcas ni logotipos o con marcas mínimas: ¿Faltan etiquetas, símbolos o insignias con la marca adecuada?
  • Imitación de logotipos o marcas/logotipos obsoletos: ¿Algún elemento de la marca parece ser una imitación o estar obsoleto?
  • Diseño o formato de aspecto poco profesional: ¿El diseño y el formato violan alguna práctica profesional convencional? ¿Los elementos de diseño parecen generados de manera poco profesional?
  • Indicadores e iconos de seguridad: ¿Hay algún marcador, imagen o logotipo que implique la seguridad del correo electrónico presente?
Idioma y contenido:
  • Lenguaje legal/Información sobre derechos de autor/Descargos de responsabilidad: ¿El mensaje contiene algún lenguaje de tipo legal, como información sobre derechos de autor, exenciones de responsabilidad o información fiscal?
  • Detalle que distrae: ¿El correo electrónico contiene detalles que son superfluos o no están relacionados con la premisa principal del correo electrónico?
  • Solicitudes de información sensible: ¿El mensaje contiene una solicitud de información confidencial, incluida información de identificación personal o credenciales?
  • Sensación de urgencia: ¿El mensaje contiene presión temporal para que los usuarios cumplan rápidamente con la solicitud, incluida presión implícita?
  • Lenguaje amenazante: ¿El mensaje contiene una amenaza, incluida una amenaza implícita, como ramificaciones legales por la inacción?
  • Saludo genérico: ¿El mensaje carece de un saludo o falta personalización en el mensaje?
  • Falta de datos del firmante: ¿El mensaje carece de detalles sobre el remitente, como información de contacto?
Táctica común:
  • Llamamientos humanitarios: ¿El mensaje llama a ayudar a otros necesitados?
  • Ofertas demasiado buenas para ser verdad: ¿El mensaje ofrece algo que parece demasiado bueno para ser verdad, como haber ganado un concurso, una lotería, vacaciones gratis, etc.?
  • Eres especial: ¿El correo electrónico ofrece algo solo para usted, como una tarjeta electrónica de San Valentín de un admirador secreto?
  • Oferta de tiempo limitado: ¿El correo electrónico ofrece algo que no durará mucho o por un tiempo limitado?
  • Imita un proceso de trabajo o negocio: ¿El mensaje parece estar relacionado con un proceso laboral o comercial, como un nuevo mensaje de voz, la entrega de un paquete, una confirmación de pedido o un aviso de factura?
  • Se hace pasar por amigo, colega, supervisor o figura de autoridad: ¿El mensaje parece provenir de un amigo, colega, jefe u otra entidad con autoridad?

Estafas de phishing impulsadas por IA

La llegada de la inteligencia artificial (IA) ha proporcionado a los estafadores nuevas vías para ejecutar estafas de phishing muy eficaces y dirigidas. No obstante, la IA también se puede aprovechar para mejorar los métodos de detección y prevención de phishing.

Cómo la IA mejora la precisión del phishing:

  • Generación avanzada de lenguaje: Los correos electrónicos de phishing impulsados ​​por inteligencia artificial pueden utilizar sofisticadas técnicas de generación de lenguaje natural, lo que hace que el contenido parezca más auténtico y convincente.
  • Personalización e información contextual: La IA puede analizar grandes cantidades de datos para crear correos electrónicos de phishing personalizados que incluyen detalles específicos sobre el destinatario, como su nombre, puesto de trabajo o actividades en línea recientes, lo que hace que el correo electrónico parezca más legítimo.
  • Formato de correo electrónico mejorado: Los algoritmos de IA pueden optimizar el formato de los correos electrónicos de phishing, garantizando que se parezcan mucho a los correos electrónicos genuinos de organizaciones confiables en términos de diseño, disposición y marca.
  • Manipulación de la emoción y la urgencia: Los correos electrónicos de phishing generados por IA pueden diseñarse para evocar emociones fuertes o crear una sensación de urgencia, explotando la psicología humana para provocar respuestas rápidas e impulsivas.
  • Técnicas mejoradas de ingeniería social: La IA permite a los estafadores refinar las tácticas de ingeniería social mediante el análisis de patrones de comportamiento, intereses y perfiles en línea de objetivos potenciales, lo que lleva a intentos de phishing más específicos y efectivos.
  • Precisión del spear phishing: Los ataques de phishing dirigidos mediante inteligencia artificial pueden imitar con precisión los estilos y patrones de comunicación de personas u organizaciones específicas, lo que hace que sea extremadamente difícil diferenciar entre correos electrónicos legítimos y fraudulentos.
  • Adaptabilidad en tiempo real: Los ataques de phishing impulsados ​​por IA pueden adaptarse dinámicamente en función de las respuestas de los usuarios o los cambios en el panorama de la ciberseguridad, lo que los hace más resistentes y difíciles de detectar.
  • Plagio y duplicación de contenido: La IA puede extraer contenido de fuentes legítimas, lo que permite a los estafadores replicar contenido de correo electrónico auténtico, incluidos logotipos, firmas y exenciones de responsabilidad, lo que aumenta aún más la credibilidad de los correos electrónicos de phishing.
  • Evasión de filtros de spam: Se pueden emplear técnicas de inteligencia artificial para eludir los filtros de correo electrónico y los mecanismos de detección de spam, lo que aumenta la probabilidad de que los correos electrónicos de phishing lleguen a las bandejas de entrada de los objetivos previstos.
  • Amenazas en evolución: Los ataques de phishing impulsados ​​por IA aprenden y evolucionan continuamente, aprovechando algoritmos de aprendizaje automático para analizar intentos exitosos y fallidos, refinando así las tácticas y manteniéndose un paso por delante de los métodos de detección tradicionales.

Fuentes de datos que la IA puede aprovechar para recopilar información para diversos fines:

  • Plataformas de redes sociales: Los algoritmos de IA pueden analizar publicaciones, perfiles e interacciones públicas en plataformas como Facebook, Twitter, LinkedIn e Instagram.
  • Blogs y sitios web de noticias: La IA puede extraer artículos de noticias y publicaciones de blogs para recopilar información sobre eventos recientes, actualizaciones de la industria o tendencias.
  • Sitios web de la empresa y comunicados de prensa: La IA puede extraer datos de sitios web corporativos y comunicados de prensa para obtener información sobre anuncios de la empresa, lanzamientos de productos o asociaciones.
  • Bases de datos disponibles públicamente: La IA puede acceder a bases de datos disponibles públicamente, como registros gubernamentales, directorios públicos o portales de datos abiertos, para recopilar información relevante.
  • Publicaciones de investigación y revistas académicas: La IA puede procesar artículos de investigación y académicos para extraer conocimientos y perspectivas de publicaciones científicas.
  • Foros públicos y tableros de discusión: La IA puede analizar discusiones en plataformas como Reddit, Quora o Stack Exchange para comprender opiniones, preguntas o inquietudes populares.
  • Presentaciones o conjuntos de diapositivas compartidas públicamente: La IA puede analizar diapositivas de presentaciones compartidas públicamente en plataformas como SlideShare o foros en línea.
  • Repositorios de código fuente abierto: La IA puede acceder a repositorios de código como GitHub o GitLab para recopilar información sobre proyectos y tecnologías de desarrollo de software.
  • Informes y documentos gubernamentales disponibles públicamente: La IA puede procesar informes gubernamentales, libros blancos o documentos de políticas para extraer información relevante.
  • Sitios web y páginas web de acceso público: La IA puede analizar contenido de sitios web y páginas web de acceso abierto para recopilar información sobre diversos temas.

A continuación se presentan algunas técnicas que la IA puede utilizar para perfeccionar las tácticas de ingeniería social:

  • Análisis de los datos: Los algoritmos de IA pueden analizar grandes cantidades de datos personales y de comportamiento de diversas fuentes, incluidos perfiles de redes sociales, registros públicos y actividades en línea. Este análisis ayuda a los estafadores a comprender mejor a sus objetivos y a adaptar sus técnicas de ingeniería social en consecuencia.
  • Procesamiento del lenguaje natural (PNL): Los algoritmos de procesamiento del lenguaje natural (PLN) basados ​​en inteligencia artificial pueden analizar los patrones de comunicación y el lenguaje que utilizan las personas y las organizaciones. Esto permite a los estafadores imitar el estilo de redacción, el tono y el vocabulario del destinatario, lo que hace que los correos electrónicos de phishing sean más convincentes y difíciles de distinguir de la comunicación genuina.
  • Personalización: La IA puede aprovechar los datos recopilados sobre las personas para personalizar los correos electrónicos de phishing. Esto incluye el uso del nombre del destinatario, su puesto de trabajo, información de la empresa o hacer referencia a interacciones o eventos recientes específicos del objetivo. La personalización mejora la credibilidad del intento de phishing y aumenta las posibilidades de una respuesta exitosa.
  • Información contextual: Los algoritmos de IA pueden recopilar información contextual sobre la industria, la organización o el puesto del objetivo. Este conocimiento permite a los estafadores crear correos electrónicos de phishing que parezcan relevantes, oportunos y alineados con las responsabilidades o intereses profesionales del objetivo.
  • Análisis de comportamiento: La IA puede analizar los patrones de comportamiento de las personas, incluidas sus actividades en línea, su historial de navegación y sus conexiones sociales. Al comprender el comportamiento de la víctima, los estafadores pueden diseñar correos electrónicos de phishing que se ajusten a sus preferencias e intereses, lo que aumenta las posibilidades de interacción.
  • Análisis de redes sociales: La IA puede analizar las conexiones sociales, tanto dentro como fuera de la red profesional del objetivo. Este análisis ayuda a los estafadores a identificar relaciones, personas influyentes y contactos de confianza que pueden ser explotados en el intento de phishing, lo que hace que el correo electrónico parezca más confiable y legítimo.
  • Manipulación Psicológica: Los algoritmos basados ​​en inteligencia artificial pueden aprovechar los principios psicológicos para manipular las emociones y los procesos de toma de decisiones. Al analizar los perfiles psicológicos y los datos de comportamiento, los estafadores pueden crear correos electrónicos de phishing que evocan miedo, curiosidad, urgencia o entusiasmo, lo que provoca respuestas impulsivas en las víctimas.

Ejemplos de casos de uso de correos electrónicos de phishing personalizados basados ​​en avances en inteligencia artificial:

Notificación de redes sociales generada por IA:

  • Asunto: "Actualización importante de la cuenta: [Nombre de usuario del destinatario], verifique su perfil en las redes sociales"
  • Remitente: "Equipo de [Plataforma de redes sociales del destinatario] "
  • Contenido: El correo electrónico utiliza contenido generado por IA que se dirige al destinatario por su nombre de usuario en las redes sociales. Afirma que hay una actualización de seguridad y solicita la verificación inmediata de su perfil haciendo clic en un enlace. El enlace conduce a un sitio web malicioso que tiene como objetivo capturar credenciales de inicio de sesión o información personal.

Oportunidad de asociación empresarial personalizada mediante IA:

  • Asunto: "Propuesta de asociación exclusiva: [Nombre de la empresa del destinatario]"
  • Remitente: "Desarrollo empresarial de [empresa falsa del remitente] "
  • Contenido: El correo electrónico utiliza contenido generado por IA adaptado a la empresa del destinatario, dirigiéndose a él por su nombre y haciendo referencia a su sector. Ofrece una oportunidad de asociación atractiva y alienta al destinatario a hacer clic en un enlace para obtener más detalles. El enlace conduce a un sitio web malicioso diseñado para extraer información comercial confidencial.

Encuesta interna a empleados simulada mediante IA:

  • Asunto: "Encuesta confidencial para empleados: [Nombre del destinatario], sus comentarios son importantes"
  • Remitente: "Departamento de RRHH de [Empresa del destinatario] "
  • Contenido: El correo electrónico utiliza inteligencia artificial para simular una encuesta interna a empleados, dirigiéndose al destinatario por su nombre e imitando al departamento de recursos humanos de la empresa. Solicita la participación del destinatario haciendo clic en un enlace para acceder a la encuesta. Sin embargo, el enlace lo dirige a un sitio web fraudulento que captura las credenciales de inicio de sesión de los empleados u otros datos confidenciales.

Actualización de reservas de viajes impulsadas por IA:

  • Asunto: "Cambio de viaje de último momento: [Nombre del destinatario], confirme su reserva"
  • Remitente: "Servicio de reserva de viajes "
  • Contenido: El correo electrónico incorpora contenido generado por IA para dirigirse al destinatario por su nombre y hace referencia a su próxima reserva de viaje. Afirma que ha habido cambios de último momento y solicita confirmación haciendo clic en un enlace proporcionado. Lamentablemente, el enlace conduce a un sitio web malicioso cuyo objetivo es robar información personal y financiera.

Alerta de seguridad de cuenta financiera mejorada con IA:

  • Asunto: "Alerta crítica de seguridad de la cuenta: [Nombre del destinatario], se requiere acción inmediata"
  • Remitente: "Departamento de Seguridad del [Banco del destinatario] "
  • Contenido: El correo electrónico utiliza contenido generado por inteligencia artificial, se dirige al destinatario por su nombre e imita al departamento de seguridad del banco. Afirma que se ha producido una actividad sospechosa en su cuenta y le insta a tomar medidas inmediatas haciendo clic en un enlace. Sin embargo, el enlace le dirige a un sitio web fraudulento diseñado para capturar sus credenciales bancarias u otra información confidencial.

Recordatorio de atención médica generado por IA:

  • Asunto: “Recordatorio de salud importante: [Nombre del destinatario], programe su chequeo anual”
  • Remitente: "Recordatorios para proveedores de atención médica@healthcare.com"
  • Contenido: El correo electrónico utiliza contenido generado por IA para dirigirse al destinatario por su nombre y parece provenir de su proveedor de atención médica de confianza. Destaca la importancia de programar su chequeo anual y lo invita a hacer clic en un enlace para reservar una cita. Sin embargo, el enlace lo dirige a un sitio web malicioso que recopila información médica personal o intenta vender productos de atención médica falsificados.

Solicitud de donación benéfica simulada mediante IA:

  • Asunto: "Apoya una causa digna: [Nombre del destinatario], marca la diferencia hoy"
  • Remitente: “Organización sin fines de lucro donations@charity.org”
  • Contenido: El correo electrónico utiliza contenido generado por inteligencia artificial adaptado a los intereses del destinatario y a sus actividades benéficas anteriores. Apela a su naturaleza filantrópica y solicita una donación para una causa benéfica simulada. El correo electrónico incluye un enlace que lleva a un sitio web fraudulento diseñado para capturar información financiera o robar identidades.

Alerta de oportunidad laboral creada con IA:

  • Asunto: “Oferta de empleo exclusiva: [Industria del destinatario] busca profesionales con experiencia”
  • Remitente: "Agencia de contratación jobs@recruitmentagency.com"
  • Contenido: El correo electrónico aprovecha el contenido generado por IA para dirigirse al destinatario por su nombre y menciona su industria o profesión. Ofrece una oportunidad laboral atractiva y lo alienta a hacer clic en un enlace para enviar su currículum. Sin embargo, el enlace conduce a un sitio web malicioso destinado a recopilar información personal o distribuir malware.

Consejos de seguridad:

  • Utilice múltiples contraseñas en todas partes.  Es  NO Está bien usar las mismas contraseñas para los sitios de redes sociales, siempre y cuando uses contraseñas diferentes para los sitios de banca en línea. Es correcto usar una contraseña diferente para los sitios de banca en línea. Sin embargo, los sitios de redes sociales pueden no tener la seguridad de tu institución financiera en línea, pero usar la misma contraseña en esos sitios es como confiar en que el eslabón más débil de una cadena tenga el mismo peso. Todos los sitios tienen vulnerabilidades, prepárate para que puedan ser explotadas.
  • Si recibe ofertas de crédito preaprobado, debe destruirlas antes de tirarlas a la basura. En primer lugar, debe comprar una trituradora de corte transversal y triturar todas las ofertas de tarjetas de crédito preaprobadas. A continuación, debe eliminar su nombre y optar por no recibir estas ofertas visitando el sitio web:  https://www.optoutprescreen.com
  • Comprenda cómo su institución financiera se comunica con usted.  Si recibe un correo electrónico con el nombre y la dirección de correo electrónico de su banco, en el que se le explica que, por razones de seguridad, tuvo que hacer clic en un enlace de Internet en particular e iniciar sesión en su cuenta para actualizar su configuración, debe eliminar el correo electrónico sin realizar ninguna acción, llamar o comunicarse de alguna otra manera con su banco o cooperativa de crédito para garantizar la credibilidad y denunciarlo como SPAM. Instituciones financieras NO Solicitar información personal o de cuenta por correo electrónico.
  • Sea siempre escéptico con los archivos adjuntos.  Si recibe un mensaje para ver un archivo o video en un sitio de redes sociales de alguien dentro de su red (una fuente confiable), aún es NO Es seguro abrir el archivo adjunto. Los delincuentes son fanáticos de los sitios de redes sociales. Secuestran cuentas de usuarios para enviar invitaciones de phishing a toda la lista de contactos del titular de la cuenta, publican enlaces envenenados a una variedad de sitios maliciosos y envían correos electrónicos creíbles con enlaces maliciosos, abusando de la confianza que normalmente comparten los amigos. Algunos delincuentes creativos han adaptado mensajes para que parezcan provenir del propio sitio de redes sociales, diseñados para que los usuarios divulguen sus credenciales de inicio de sesión o descarguen un troyano.
  • Las medidas de seguridad basadas en tecnología, como firewalls, cifrado, antivirus, filtros de spam y autenticación fuerte, NO Prevenir el fraude de ingeniería social. No importa cuánta tecnología de seguridad se implemente, nunca se puede eliminar el eslabón más débil: el factor humano. Un ingeniero social es alguien que utiliza el engaño, la persuasión y la influencia para obtener información que de otro modo no estaría disponible.
  • Si recibe un correo electrónico de un amigo o una fuente confiable, es NO Siempre es seguro hacer clic en un enlace o archivo adjunto dentro de ese correo electrónico. La cuenta de correo electrónico de su amigo o fuente de confianza podría haber sido comprometida y un delincuente le está enviando información con la intención de obtenerla o hacer que haga clic en un enlace o abra un archivo adjunto. La cuenta de correo electrónico de su amigo o fuente de confianza podría haber sido comprometida y un delincuente le está enviando información con la intención de obtenerla o hacer que haga clic en un enlace o abra un archivo adjunto.
  • Es  NO Siempre es seguro hacer clic en un enlace siempre que éste provenga de un sitio de búsqueda popular como Yahoo, Google o Bing. El envenenamiento de motores de búsqueda representa el 40% de la distribución de malware en la Web. La práctica consiste en que los atacantes de malware y spam inunden los resultados de búsqueda con enlaces a páginas de cebo que llevarán a los usuarios a sitios web maliciosos que descargarán malware en un equipo. La gente quiere poder confiar en que lo que buscan en Google, Bing o Yahoo es seguro.
  • Acceda a sitios web a través de su navegador web.  Si escribe la dirección de un sitio web directamente en su navegador, se asegurará de que está accediendo a un sitio web legítimo y no a un sitio de phishing diseñado para imitar la apariencia del sitio real. A menos que el sitio haya sido pirateado o que su computadora tenga un virus, escribir la dirección web usted mismo es la mejor manera de garantizar la autenticidad de un sitio web.
  • Las estafas de soporte técnico son muy populares.  Si recibe un correo electrónico de un representante de soporte técnico de Microsoft que le dice que su computadora está infectada por un virus y le sugiere que instale una herramienta disponible en su sitio de Internet para eliminar el virus de su computadora, debe NO Haga clic en el enlace aunque el correo electrónico parezca oficial y tenga la dirección de correo electrónico legítima support@microsoft.com. La suplantación de correo electrónico es una actividad de correo electrónico en la que se modifican la dirección del remitente y otras partes del encabezado del correo electrónico para que parezca que el correo electrónico proviene de una fuente diferente.
  • Sea escéptico cuando ocurran grandes acontecimientos noticiosos.  Si escucha en las noticias que su compañía de seguros ha sido víctima de una vulneración de seguridad recientemente y poco después recibe un correo electrónico de su compañía de seguros que explica la vulneración y le indica los pasos necesarios que debe seguir. Estos pasos incluyen hacer clic en un enlace para actualizar su información personal y cambiar su nombre de usuario y contraseña. NO Siga todas las instrucciones para mantener su información protegida. Ahora que los delincuentes tienen información sobre usted, pueden intentar engañarlo para que proporcione más información mediante correos electrónicos fraudulentos. Desconfíe de los correos electrónicos urgentes que solicitan información y nunca abra archivos adjuntos que no espera, incluso si provienen de alguien que conoce.
  • Si no está seguro acerca de un enlace en su correo electrónico, haga lo siguiente: NO Copie y pegue el enlace en su navegador web. Aún podrías terminar en el sitio malicioso y potencialmente cargar malware en tu computadora o red. Si no estás seguro de si un enlace que recibiste en un correo electrónico es seguro, no es seguro copiar y pegar el enlace en la sección URL de tu navegador web.
  • Si no está seguro acerca de un enlace en su correo electrónico, es NO Es seguro reenviar el enlace para que otra persona lo pruebe. Al reenviar un correo electrónico, lo único que ha hecho es reenviar un correo electrónico potencialmente peligroso y malicioso que podría infectar la computadora o la red de otra persona.
  • Los criminales podrían atacar muy rápidamente. Por ejemplo, a pocas horas de un huracán, recibes un correo electrónico de la Cruz Roja solicitando una donación para ayudar a las víctimas. Es muy probable que este correo electrónico sea una estafa de phishing de alto perfil que recibe atención de los medios y está en la mente de la gente. Estas estafas son efectivas porque se basan en tus emociones y compasión.
  • Tenga cuidado con las extensiones del sitio web. Por ejemplo, de estas seis direcciones web, "whitehouse.com" es falsa porque cualquier sitio web oficial del gobierno de EE. UU. terminará en .gov y no en .com.
    • https://www.usa.gov
    • https://cio.gov
    • http://www.ssa.gov
    • https://www.ssa.gov
    • http://www.fdic.gov
    • https://www.whitehouse.com

Phishing de marca

Un correo electrónico de phishing de marca está diseñado para hacerse pasar por los sitios web oficiales de marcas importantes, como las de las industrias de tecnología, banca, transporte y venta minorista. El objetivo es engañar a los consumidores para que revelen información personal confidencial de su cuenta. El correo electrónico contendrá un código malicioso que redireccionará a un sitio web falso (página fraudulenta) que requiere que los consumidores inicien sesión para verificar la información. Los enlaces a estas páginas fraudulentas se envían a través de correos electrónicos, mensajes de texto o aplicaciones web y móviles y pueden falsificar la identidad o la dirección en línea para parecerse al sitio genuino. Las páginas fraudulentas pueden luego usar formularios de inicio de sesión o malware para robar las credenciales de los usuarios, los detalles de pago u otra información de identificación personal (PII).
  • Desconfíe del contacto no solicitado por correo electrónico o redes sociales de cualquier individuo que no conozca personalmente y/o que contenga mensajes que lo inciten a abrir un enlace o un archivo adjunto.
  • Al recibir alertas de cuenta, en lugar de hacer clic en un enlace dentro de un correo electrónico o mensaje de texto, opte por navegar al sitio web utilizando la URL segura para revisar cualquier registro, mensaje o aviso.
  • Verifique cuidadosamente la ortografía de direcciones web, sitios web y direcciones de correo electrónico que parezcan confiables pero que puedan ser imitaciones de sitios web legítimos, incluido el nombre de usuario y/o los nombres/direcciones de dominio (es decir, “I” mayúscula vs. “L” minúscula, etc.).
  • Utilice contraseñas únicas y seguras, y no reutilice la misma contraseña en varias cuentas.
  • No guarde documentos o información importante en su cuenta de correo electrónico (por ejemplo, claves privadas de moneda digital, documentos con su número de seguro social o fotocopias de una licencia de conducir).
  • Habilite las opciones de 2FA y/o autenticación multifactor (MFA) para ayudar a proteger las cuentas en línea, como un número de teléfono, programas/aplicaciones de autenticación basados ​​en software, clave de seguridad USB o una cuenta de correo electrónico separada (con una contraseña única que no se vincule a otras cuentas de consumidores) para recibir códigos de autenticación para inicios de sesión de cuenta, restablecimientos de contraseña o actualizaciones de información confidencial de la cuenta.
  • Cuando sea posible, no utilice su dirección de correo electrónico principal para iniciar sesión en sitios web. Cree un nombre de usuario único que no esté asociado con su dirección de correo electrónico principal.

Redes sociales

  • Tenga cuidado con las invitaciones a las redes sociales.  Si recibes un mensaje de un amigo en Facebook invitándote a unirte a una nueva red social, debes sospechar que el mensaje es fraudulento y contactar a tu amigo para verificarlo. No confíes en que un mensaje sea realmente de quien dice ser. Los piratas informáticos pueden entrar en las cuentas y enviar mensajes que parecen ser de tus amigos, pero no lo son.
  • No permitir el acceso a tus contactos.  Si se une a una nueva red social y recibe una oferta para ingresar su dirección de correo electrónico y contraseña para averiguar si sus contactos están en la red, debe rechazar la oferta y NO Permita que el sitio de la red social acceda a su libreta de direcciones de correo electrónico. Para evitar revelar las direcciones de correo electrónico de sus amigos, no permita que los servicios de redes sociales escaneen su libreta de direcciones de correo electrónico. El sitio podría usar esta información para enviar mensajes de correo electrónico a todas las personas de su lista de contactos o incluso a todas las personas a las que alguna vez haya enviado un mensaje de correo electrónico con esa dirección de correo electrónico. Los sitios de redes sociales deberían explicar que van a hacer esto, pero algunos no lo hacen.
  • Los sitios de redes sociales pueden tener enlaces infectados. Por ejemplo, si recibes una foto de Instagram de un amigo, es una foto genial y decides compartirla haciendo clic en el botón "Me gusta" de Facebook que se encuentra debajo de la imagen. Esto puede ser peligroso incluso si la foto proviene de una fuente confiable, es un botón real de Facebook y no estás descargando nada. Si puedes ver la foto, es posible que hayas descargado malware. Si el enlace "Me gusta" de Facebook era falso, también es posible que hayas descargado malware sin darte cuenta. El software malicioso (Malware) puede camuflarse en un botón "Me gusta" de Facebook, una imagen o un clip de audio. Cuando haces clic en un enlace o abres un archivo adjunto, el malware se instala en tu dispositivo. A diferencia del malware de PC de los primeros tiempos, no te pide permiso y tu dispositivo está, en sentido figurado, en manos de un delincuente.
  • NO Acepte una solicitud de conexión en las redes sociales de un extraño solo porque la persona parece honesta y conoce a otras personas que usted conoce. Sé selectivo con respecto a quién aceptas como amigo en una red social. Los ladrones de identidad pueden crear perfiles falsos para obtener información tuya. Esa falta de precaución puede resultar muy costosa. La mayoría de los sitios de redes sociales contienen información personal. Cuando agregas a alguien como amigo, le das acceso a esa información y los estafadores pueden usarla.
  • Eliminar imágenes o vídeos de sus sitios de redes sociales NO eliminarlos permanentemente de Internet. Debes comunicarte con el departamento de soporte del sitio de redes sociales para asegurarte de que se eliminen. Supón que todo lo que publiques en un sitio de redes sociales es permanente. Incluso si puedes eliminar tu cuenta, cualquier persona en Internet puede imprimir fotos o textos o guardar imágenes y videos en una computadora con facilidad.
  • Puedes estar en riesgo incluso si descargas aplicaciones en sitios de redes sociales que parecen oficiales y el enlace de instalación de la aplicación está dentro del sitio de la red social. Tenga cuidado al instalar extras en su sitio. Muchos sitios de redes sociales le permiten descargar aplicaciones de terceros que le permiten hacer más con su página personal. Los delincuentes a veces usan estas aplicaciones para robar su información personal. Para descargar y usar aplicaciones de terceros de manera segura, tome las mismas precauciones de seguridad que toma con cualquier otro programa o archivo que descargue de la web. Modifique su configuración para limitar la cantidad de información a la que pueden acceder las aplicaciones.
  • No responda a solicitudes en las redes sociales. Si recibe un correo electrónico solicitándole que actualice sus cuentas de Facebook, Twitter, LinkedIn, eBay o PayPal, hágalo NO Haga clic en el enlace del correo electrónico y NO INICIAR SESIÓN y actualice su cuenta como se le solicita. Antes de escribir su nombre de usuario y contraseña, mire la dirección web en el navegador. Las falsas se parecen a esto: http://k2nxw.com/cgi-bin/login/ o www.paypal5281.com. Si no está seguro, inicie sesión en su cuenta real como lo hace habitualmente, escribiendo la dirección web en el navegador usted mismo y no utilizando los enlaces proporcionados.

Lo que no se debe compartir en las redes sociales

  • Sepa lo que ha publicado sobre usted mismo. Una forma habitual en la que los piratas informáticos entran en cuentas financieras o de otro tipo es haciendo clic en el enlace "¿Olvidó su contraseña?" en la página de inicio de sesión de la cuenta. Para entrar en su cuenta, buscan las respuestas a sus preguntas de seguridad, como su fecha de nacimiento, ciudad de origen, curso de secundaria o el segundo nombre de su madre. Si el sitio lo permite, invente sus propias preguntas de contraseña y no las extraiga de material que cualquiera podría encontrar con una búsqueda rápida. 
  • Piénselo dos veces antes de compartir información personal que pueda hacerle vulnerable. Las redes sociales implican abrirse y compartir información en línea con otras personas, pero hay cierta información que nunca debería compartir en línea. Protegerse de compartir demasiada información (TMI) puede salvarlo del robo de identidad e incluso proteger su seguridad física. Así que comencemos con lo obvio: nunca comparta su número de seguro social (incluso los últimos 4 dígitos), su fecha de nacimiento, dirección de su casa o número de teléfono de su casa (aunque está bien compartir su teléfono de trabajo). Por supuesto, debe proteger todas sus contraseñas, números PIN, información de cuenta bancaria y tarjeta de crédito y nunca compartir el estado donde nació, ya que esta información puede usarse para obtener su número de seguro social y otra información de identificación.
  • Publicaciones sobre salir de la ciudad Puede dejar su casa susceptible a robos.
  • Fotos y videos de su casa, automóvil y otras posesiones personales.
  • Informacion personal, incluido su número de Seguro Social (ni siquiera los últimos cuatro dígitos), fecha de nacimiento, el nombre de su escuela secundaria, el nombre de su mascota, su lugar de nacimiento, dirección de su domicilio, números de teléfono o información de su cuenta personal.
  • Evite publicar una fotografía suya de frente en sitios de redes sociales. Un estafador puede copiar la imagen y usarla para crear una identificación con fotografía que pueda usarse para robar su identidad.
  • En caso de duda, no publiques. Compartir demasiado puede brindarles a los delincuentes la información que necesitan para usar ingeniería social para convertirlo en víctima de una estafa.
  • Suponga que todo lo que publica en un sitio de redes sociales es permanente. Incluso si puede eliminar su cuenta, cualquier persona en Internet puede imprimir fácilmente fotos o textos o guardar imágenes y videos en una computadora.
  • Limitar los detalles del historial laboral en LinkedIn: Si cree que necesita más información para facilitar su búsqueda de empleo, amplíe los detalles durante el proceso de búsqueda y luego reduzca la información más adelante, cuando ya tenga un puesto vacante, dejando solo la información necesaria para que los reclutadores se pongan en contacto con usted para ofrecerle puestos nuevos e interesantes. LinkedIn también ofrece algunas funciones para restringir la información. Puede impedir que otras personas accedan a su red de contactos, algo que no tiene por qué compartir si no lo desea.
  • Evite compartir datos personales accidentalmente. Los sitios de redes sociales facilitan que se te escapen detalles que de otro modo no les contarías a tus amigos o desconocidos. Ten cuidado con la información que publicas que otros podrían usar con fines maliciosos.




Temas relacionados

Relacionado:

El pie de página no tiene contenido