¿Alguna vez has sido víctima del famoso “cuento del tío”? Esta es una práctica muy antigua y ocurre tanto en escalas menores como mayores. El objetivo es siempre el mismo: aprovecharse de la confianza y obtener un beneficio de ello, generalmente monetario.
En plena era de la digitalización y la transformación digital nos encontramos con el phishing, una práctica similar a la del cuento del tío, pero llevada a escenarios digitales. Aquí te contamos de qué se trata y cómo esto puede llegar a afectar a empresas completas.
Se traduce del inglés al español literalmente como “suplantación de identidad” o robo de identidad. La finalidad de esto es hacerse pasar por otra persona u entidad, para obtener información personal o confidencial de la víctima, u obtener dinero directamente. Lo interesante del phishing es que quienes lo realizan se hacen pasar por una persona o entidad que a la víctima le resulte familiar o conocida, con el propósito de utilizar la cercanía y confianza para obtener la información deseada (por ejemplo un amigo, un familiar, un banco, una organización a la que se esté afiliado, etc.)
Esta práctica cae dentro de lo que se considera como ciberdelincuencia, ya que el phishing es una suplantación de identidad y perjudica moral y financieramente a la otra parte, vulnerando su seguridad digital.
El cuento del tío es todo un fenómeno donde se recurre a una serie de tácticas para ganarse la confianza de otro. Esta práctica se ha denominado como ingeniería social, es decir, la práctica de engañar y manipular a otro, por medio de la confianza, para obtener información privada y luego sacar un provecho de eso.
A día de hoy la ingeniería social se ha trasladado a la esfera de la digitalización, y es ahí donde los ladrones de identidad entran en juego por medio del phishing.
Hay distintas maneras en cómo se ejecuta el phishing. Por un lado depende del medio que se utiliza. Este puede ser:
Las posibilidades son muchas, por lo tanto he ahí lo peligroso de esta práctica.
Por otro lado, el cómo se ejecuta la acción del phishing también es muy amplia, va a depender del objetivo que se quiera lograr, del conocimiento digital del ciberdelincuente, del medio que utiliza, etc. Algunos de los recursos más utilizados son:
En la era de la información, prácticamente cualquier acción legal y normal se puede utilizar como medio para hacer phishing, es por eso que muchas personas caen sin darse cuenta.
El ciberdelito de phishing se puede hacer tanto a nivel personal como a nivel empresarial, no hay límites a la hora de robar información. En una encuesta realizada a más de 1300 profesionales de TI se descubrió que el 56% de las organizaciones identificaron al phishing como su mayor riesgo de seguridad informática (CyberArk). Esto tiene sentido, porque son tantas las maneras en las que se puede llevar a cabo esta práctica, que muchas veces las personas no se dan cuenta que están siendo atacadas por él, hasta que el crimen ya fue hecho.
En enero del 2021, Google indexó poco más de dos millones de sitios de phishing. (Tessian)
Una empresa puede sufrir robos de datos confidenciales, pérdida de clave y nombre de usuario de distintas cuentas que se manejan a nivel corporativo, información financiera, claves de tarjeta de crédito, etc., incluso pérdidas millonarias por transacciones bancarias que se realizan producto del phishing.
Lo mejor que puede hacer una empresa es estar al tanto de estas prácticas fraudulentas y protegerse contra ellas.
Debido a que el robo de identidad tiene muchas variables, resulta complejo encontrar un solo método de protección contra esto. Sin embargo hay una serie de buenas prácticas que se deben seguir para disminuir las probabilidades de ser víctima de esto. Algunas de estas buenas prácticas para evitar caer en un mensaje de phishing son:
Además de la precaución que cada persona debe tener, existen algunas herramientas que ayudan a proteger y aumentar la seguridad informática de una empresa u organización, estas son:
El phishing se puede esconder detrás de muchos trucos y tácticas, pero con los sistemas adecuados y la seguridad digital acorde es posible detenerlo y tener una buena ciberseguridad corporativa.