Verdadero o falso: ¿Cuánto saben en realidad sobre los ataques de phishing?

Los ataques de phishing se encuentran en la parte superior de la lista de los delitos cibernéticos más populares, lo que representa una amenaza importante tanto para las empresas como para las personas. Información confidencial filtrada, redes infectadas, demandas financieras, datos corruptos y otros, son solo algunas de las consecuencias de esta popular estafa.

Según el Reporte de Defensa Digital de Microsoft 2022 (MDDR, por sus siglas en inglés), los esquemas de phishing de credenciales están en aumento y se mantienen como una amenaza importante para los usuarios en todas partes porque se dirigen de manera indiscriminada a todas las bandejas de entrada. Entre las amenazas que nuestros investigadores rastrean y contra las que protegen, el volumen de los ataques de phishing es mucho más grande que todas las demás amenazas.

El phishing se mantiene como el método de ataque preferido, ya que los ciberdelincuentes pueden adquirir un valor significativo al robar y vender con éxito el acceso a cuentas robadas. Las técnicas utilizadas en los ataques de phishing no dejan de aumentar en complejidad; según el MDDR, el tiempo medio que tarda un atacante en acceder a sus datos privados si son víctimas de un correo electrónico de phishing es de 1 hora y 12 minutos. En respuesta a las contramedidas, los atacantes adaptan nuevas formas de implementar sus técnicas y aumentan la complejidad de cómo y dónde alojan la infraestructura de operación de la campaña.

Con datos tomados de Defender for Office, el informe también destaca que 710 millones de correos electrónicos de phishing fueron bloqueados por semana y, además de las URL bloqueadas por esta herramienta, la Unidad de Delitos Digitales de Microsoft ordenó el desmantelamiento de 531 mil URL de phishing únicas alojadas fuera de Microsoft.

En Microsoft, estamos comprometidos a hacer del mundo un lugar más seguro para todos, y para ayudarlos a identificar y protegerse contra los ataques de phishing, preparamos el siguiente cuestionario:

1.     Un ataque de phishing es una estafa en la que los delincuentes intentan obtener información o acceder mediante engaños. 

VERDADERO: Los estafadores fingirán ser una empresa o una persona de su confianza, o pueden disfrazar su malware en algo que parezca inocente con la esperanza de que lo instalen en su sistema.

2.     El correo electrónico no deseado se considera phishing 

FALSO: Los correos electrónicos no deseados son mensajes basura no solicitados con contenido irrelevante o comercial. Pueden anunciar esquemas de dinero rápido, ofertas ilegales o descuentos falsos; el phishing es un intento más específico (y por lo general mejor disfrazado) de obtener datos confidenciales a través de engañar a las víctimas para que entreguen de manera voluntaria la información y las credenciales de la cuenta.

3.     Email phishing y malware phishing son los ataques de phishing más populares utilizados por los delincuentes 

VERDADERO: el phishing de correo electrónico, donde los delincuentes usan tácticas como hipervínculos falsos para atraer a los destinatarios de correo electrónico para que compartan su información personal; y el malware phishing, un ataque que consiste en plantar malware disfrazado como un archivo adjunto confiable (como un currículum o extracto bancario) en un correo electrónico, son los ataques más comunes y frecuentes.

También hay otros tipos de ataques de phishing que deben tener en cuenta si desean mantener segura su información, como Smishing, una combinación de las palabras «SMS» y «phishing», que implica el envío de mensajes de texto disfrazados de comunicaciones confiables de empresas reconocidas. Las personas son en particular vulnerables a las estafas por SMS, ya que los mensajes de texto se entregan en texto sin formato y parecen más personales.

4.     Los ciberataques son fáciles de detectar 

FALSO: los atacantes tienen la habilidad de manipular a sus víctimas para que entreguen datos confidenciales al ocultar mensajes y archivos adjuntos maliciosos en lugares donde las personas no son muy perspicaces (por ejemplo, en sus bandejas de entrada de correo electrónico). Utilizan una comunicación astuta, generan una percepción de necesidad y una falsa confianza para engañar a las personas, e incluso utilizan tácticas psicológicas para convencer a sus objetivos de que actúen antes de pensar.

5.     Adoptar un enfoque proactivo frente a los ciberataques puede ayudarme a proteger mi información en línea 

VERDADERO: pueden seguir estas pautas para protegerse del phishing:

  • Inspeccionar la dirección de correo electrónico del remitente. ¿Está todo en orden? Un carácter fuera de lugar o una ortografía inusual podría indicar una falsificación.
  • Tengan cuidado con los correos electrónicos con saludos genéricos («Estimado cliente», por ejemplo) que les piden que actúen con urgencia.
  • Busquen información de contacto verificable del remitente. En caso de duda, no respondan. Inicien un nuevo correo electrónico para responder en su lugar.
  • Nunca envíen información confidencial por correo electrónico.
  • Piensen dos veces antes de hacer clic en enlaces inesperados, en especial si estos les indican que inicien sesión en su cuenta. Para estar seguros, inicien sesión desde el sitio web oficial.
  • Eviten abrir archivos adjuntos de correo electrónico de remitentes desconocidos o amigos que no suelen enviarles archivos adjuntos.
  • Instalen un filtro de phishing para sus aplicaciones de correo electrónico y habiliten el filtro de spam en sus cuentas de correo electrónico.

Para obtener más información sobre las soluciones de seguridad de Microsoft, visiten nuestro sitio web. Agreguen a Favoritos el blog de Seguridad para mantenerse al día con nuestra cobertura experta en asuntos de seguridad. Además, síganos en //twitter.com/@MSFTSecurity" data-saferedirecturl="https://www.google.com/url?q=https://twitter.com/@MSFTSecurity&source=gmail&;ust=1685717256856000&usg=AOvVaw3vXvVAvXd7jBmGp8zFEeub">@MSFTSecurity para conocer las últimas noticias y actualizaciones sobre ciberseguridad.