Los ataques de suplantación de identidad proceden de estafadores enmascarados como fuentes de confianza que intentan facilitar el acceso a todos los tipos de datos confidenciales. Aunque este tipo generalizado de
ciberataque continúa evolucionando junto con las tecnologías emergentes, las tácticas siguen siendo coherentes:
Comunicación engañosa
Los atacantes son expertos en manipular a sus víctimas para entregar datos confidenciales ocultando mensajes y datos adjuntos malintencionados en lugares donde las personas no son muy exigentes, como en sus bandejas de entrada de correo electrónico. Es fácil suponer que los mensajes que llegan a su bandeja de entrada son legítimos, pero sea precavido:
los correos electrónicos de suplantación de identidad suelen parecer seguros y sencillos. Para evitar que le engañen, tómese su tiempo y analice los hipervínculos y las direcciones de correo electrónico de los remitentes antes de hacer clic.
Sensación de necesidad
Los usuarios son víctimas de phishing porque piensan que deben actuar. Por ejemplo, las víctimas pueden descargar
malware enmascarado como un currículo porque están contratando de forma urgente o escribiendo sus credenciales bancarias en un sitio web sospechoso para recuperar una cuenta a la que se les indicó que expiraría pronto. Crear una falsa sensación de necesidad es un engaño habitual porque funciona. Para mantener los datos seguros, trabaje con un examen intensivo o instale la tecnología de protección de correo electrónico que hará el trabajo duro por usted.
Falsa confianza
Los usuarios malintencionados engañan a los demás creando un falso clima de confianza: incluso los usuarios más perspicaces son víctimas de sus estafas. Mediante la suplantación de fuentes de confianza como Google, Wells Desktop o UPS, los phishers pueden engañarle para que tome medidas antes de darse cuenta de que se le ha duplicado. La mayoría de los mensajes de phishing pasan desapercibidos si no se aplican medidas avanzadas de
cybersecurity. Proteja su información privada con tecnología de
seguridad de correo electrónico diseñada para identificar contenido sospechoso y deshacerse de él antes de que llegue a su bandeja de entrada.
Manipulación emocional
Los usuarios malintencionados utilizan tácticas psicológicas para convencer a sus objetivos y hacer que actúen sin pensar. Después de crear un clima de confianza haciéndose pasar por una fuente familiar y generar una falsa sensación de urgencia, los atacantes se aprovechan de las emociones, como el miedo y la ansiedad, para conseguir lo que quieren. Los usuarios suelen tomar decisiones precipitadas cuando se les dice que van a perder dinero, que tendrán problemas legales o que ya no podrán acceder a un recurso muy necesario. Tenga cuidado con cualquier mensaje que requiera que “actúe ahora”—puede ser fraudulento.
Entre los tipos más comunes de ataques de suplantación de identidad se incluyen:
Phishing de correo electrónico
Este tipo de ataque, que es la forma más habitual de phishing, utiliza tácticas como hipervínculos falsos para atraer a los destinatarios de correos electrónicos y hacer que compartan su información personal. Los atacantes suelen hacerse pasar por un gran proveedor de cuentas como Microsoft o Google, o incluso por un compañero de trabajo.
Phishing de software malintencionado
Este tipo de ataque de phishing frecuente implanta software malintencionado camuflado como un archivo adjunto de confianza (como un currículum vítae o un extracto bancario) en un correo electrónico. En algunos casos, abrir un archivo adjunto con software malintencionado puede paralizar los sistemas de TI por completo.
Phishing de objetivo definido
Mientras que los ataques de phishing abarcan un radio amplio, el phishing de objetivo definido tiene como objetivo personas específicas y se aprovecha de la información recopilada al investigar sus trabajos y sus vidas sociales. Estos tipos de ataques son muy personalizados, por lo que resultan especialmente eficaces para eludir las medidas básicas de ciberseguridad.
Phishing de altos cargos
Cuando los usuarios malintencionados tienen como objetivo un "pez gordo", como el directivo de una empresa o una persona famosa, el ataque se denomina phishing de altos cargos. Estos estafadores suelen investigar en profundidad a sus objetivos con el propósito de encontrar el momento oportuno para robar sus credenciales de inicio de sesión u otra información confidencial. Si tiene mucho que perder, los atacantes de suplantación de altos cargos (whaling) tienen mucho que ganar.
Suplantación de identidad con SMS (smishing)
El phishing por SMS o smishing (una combinación de las palabras "SMS" y "phishing") hace referencia al envío de mensajes de texto que se hacen pasar por comunicaciones de confianza de empresas como Amazon o FedEx. Las personas son especialmente vulnerables a las estafas por SMS, ya que los mensajes de texto se reciben en texto sin formato y se entienden como algo más personal.
Suplantación telefónica de identidad (vishing)
En las campañas de phishing por voz, los atacantes, desde centros de llamadas fraudulentos, intentan engañar a los usuarios para que proporcionen información confidencial por teléfono. En muchos casos, estas estafas utilizan ingeniería social para engañar a las víctimas y hacer que instalen software malintencionado en sus dispositivos en forma de aplicación.
Seguir a Seguridad de Microsoft