Es sorprendentemente sencillo caer presa de una estafa de phishing. Ya sea una propuesta atractiva por correo electrónico, un mensaje en las redes sociales o un anuncio emergente mientras navegas por internet, los estafadores destacan en el arte del engaño.
Incluso si te enorgulleces de ser consciente de la seguridad, te pueden pillar desprevenido.
Si te encuentras en la desafortunada situación de haber hecho clic en un enlace o archivo adjunto en un intento de phishing, hemos reunido los 10 pasos a seguir.
Puntos clave
- Los ataques de phishing se están intensificando debido al mayor uso de la IA generativa para elaborar ataques altamente selectivos y sofisticados.
- Nunca confíes ciegamente en mensajes no solicitados, por mucha autoridad que proyecten.
- El resultado de hacer clic en el enlace de phishing de un correo electrónico de phishing depende de la información que el hacker haya colocado en el sitio web malicioso.
- Algunos sitios web maliciosos intentarán bloquear el ordenador de una persona y pueden infectarlo con un ransomware.
- Si haces clic en un correo electrónico de phishing, el objetivo debe ser llegar a un estado mitigado lo antes posible.
Actuar rápidamente es la clave
Aunque es inquietante darse cuenta de que puedes haber descargado inadvertidamente malware o puesto en peligro tu información personal, hay medidas que puedes y debes tomar inmediatamente para mitigar cualquier daño potencial. Cuanto antes actúes, menos probable será que se produzca algún daño.
El resultado de hacer clic en el enlace de un correo electrónico de phishing depende de la información que el pirata informático haya colocado en el sitio web malicioso, afirma Patrick Schaumont, profesor del Departamento de Ingeniería Eléctrica e Informática del Instituto Politécnico de Worcester.
«A menudo, el sitio web malicioso se hace pasar por un sitio web legítimo e intenta convencerte de que introduzcas tus datos personales o tus credenciales de acceso», afirma. «Si tecleas tu información personal, el hacker puede utilizarla para hacerse pasar por ti o venderla a otros».
En algunos casos, el sitio web malicioso intentará bloquear el ordenador de una persona e incluso puede infectarlo con un ransomware, que impide a la persona acceder a él a menos que pague un rescate al pirata informático, dice Schaumont.
«La protección contra el phishing] resulta fácil si se le añade una pizca de sospecha», afirma. «Al fin y al cabo, el hacker está intentando engañarte y sólo lo conseguirá si le sigues la corriente».
Nunca confíes ciegamente en mensajes no solicitados, por mucha autoridad que proyecten, añade Schaumont.
«Ningún banco online legítimo te pedirá nunca que hagas clic en un enlace y proporciones datos personales. Ningún servicio de envío te dirá nunca que tiene un paquete para ti pero que no se puede entregar», dice.
«Ningún sitio de compras por internet te avisará nunca de que se ha cargado en tu tarjeta de crédito algo que no has pedido. Ningún jefe honrado te pedirá nunca que le compres una tarjeta regalo. Ninguna persona honrada encontrará jamás tu nombre ‘por accidente’ en su lista de contactos.
«Si parece phishing, probablemente lo sea».
¿Cómo evitar las estafas de phishing?
Para evitar que se produzcan estafas de phishing en primer lugar, las organizaciones pueden implantar un software de protección contra el phishing diseñado para detectar y prevenir los ataques de phishing.
Este software suele incluir funciones como el filtrado del correo electrónico, el bloqueo de sitios web y el análisis en tiempo real de actividades sospechosas para evitar que los usuarios sean víctimas de estafas de phishing.
Sin embargo, hay medidas que puedes tomar si haces clic inadvertidamente en un enlace de phishing.
10 pasos a seguir si has caído en una estafa de phishing
Cuando te des cuenta de que has hecho clic en un enlace de phishing o has caído en una estafa como la de Geek Squad, es importante que tomes nota de las acciones que has realizado, dice Aaron Walton, analista de inteligencia de amenazas de Expel, un proveedor de detección y respuesta gestionadas.
«¿Has introducido tu contraseña? ¿Compartiste otras credenciales o información sensible? ¿Has descargado un archivo?», afirma. «Las acciones que has realizado ayudan a informar de cuáles son los siguientes pasos, y en la mayoría de los casos, no tienes que enfrentarte a ello tú solo, ya que otros están dispuestos y son capaces de ayudar».
1. Desconéctate de Internet
Desactiva el Wi-Fi o desconecta el cable Ethernet, dice Robert Siciliano, experto en ciberseguridad y director general de ProtectNowLLC.com.
«Desconectar impide que cualquier malware potencial o cualquier tecnología de acceso remoto se comunique con los servidores de los hackers remotos», afirma.
2. Escanea en busca de malware
Utiliza un software antivirus fiable para realizar un análisis completo del sistema, dice Julian Durand, vicepresidente de gestión de productos y director de seguridad de la información de Intertrust Technologies, proveedor de productos y servicios informáticos de confianza.
«Esto te ayudará a identificar y eliminar cualquier programa malicioso que se haya instalado», afirma.
Tu navegador tiene señales de advertencia incorporadas que pueden detectar sitios web de phishing, dice Schaumont.
«Por ejemplo, los sitios web de confianza muestran un símbolo de candado junto al campo de dirección web en tu navegador», dice.
«Puedes hacer clic en el candado, y tu navegador te dirá si cree que el sitio web es legítimo. Los navegadores también pueden mostrar advertencias antes de permitirte acceder a un posible sitio de phishing. Haz caso de la advertencia de tu navegador y dirígete a un destino más seguro».
4. Cambia las contraseñas
Cualquier cuenta a la que esté asociado el sitio web de phishing podría estar comprometida, por lo que debes cambiar tus contraseñas, según Siciliano.
«Cuando cambies tus contraseñas, utiliza contraseñas largas, fuertes y únicas para cada cuenta y nunca utilices la misma contraseña dos veces», dice.
5. Activa la autenticación de dos factores (2FA)
Activa la 2FA en todas las cuentas críticas para añadir una capa adicional de seguridad, reduciendo el riesgo de acceso no autorizado, dice Durand.
6. Identifica el tipo de ataque de phishing
Debes determinar la naturaleza del ataque de phishing, dice Phil Steffora, director de información y seguridad de Arkose Labs, proveedor de gestión de bots y seguridad de cuentas.
¿Buscaba información personal, o era de un tipo más peligroso, como un ataque de suplantación de la identidad de un director general dirigido al robo de dinero?
7. Revisa y actualiza la configuración de seguridad
Debes revisar periódicamente la configuración de seguridad de tus cuentas y dispositivos digitales y asegurarte de que tu software y aplicaciones están actualizados para defenderte de las nuevas amenazas, dice Durand.
8. Haz copias de seguridad de archivos y fotos
«Haz una copia de seguridad de todos los archivos o fotos importantes en una unidad USB por si tienes que borrar el dispositivo con un restablecimiento de fábrica», dice Roman Zrazhevskiy, fundador y director general de MIRA Safety, proveedor de equipos de protección individual.
9. Pon una alerta de fraude
Coloca una alerta de fraude gratuita en tu informe crediticio para asegurarte de que los estafadores no puedan defraudarte, dice Zrazhevskiy.
«Esto dificulta bastante que los estafadores abran nuevas cuentas de crédito a tu nombre», dice. «Sin embargo, también supondrá algunos pasos adicionales para confirmar tu identidad siempre que quieras abrir nuevas cuentas de crédito legítimas».
Siciliano está de acuerdo y añade: «Si tu número de la Seguridad Social se ha visto comprometido, coloca un congelador de crédito en tu informe crediticio para evitar posibles robos de identidad fraudulentos de nuevas cuentas.»
10. Informa a tu equipo de seguridad
Si la actividad se ha producido en un ordenador portátil o en una cuenta de la empresa, es vital informar de la suplantación de identidad al equipo de seguridad lo antes posible, afirma Walton.
«Ellos estarán mejor equipados para proteger las cuentas e investigar la actividad», afirma. «Es esencial que se lo comuniques, porque los atacantes no sólo te persiguen a ti, sino que probablemente también intenten comprometer a tu empresa a través de ti».
Siciliano añade que también puedes plantearte denunciar el intento de phishing a la Comisión Federal de Comercio o al Grupo de Trabajo Antiphishing.
No seas una víctima
El mejor consejo es, en primer lugar, no ser víctima, dice Durand.
«Es decir, no hagas clic en enlaces sospechosos, sobre todo si no conoces a la persona que te envía ese enlace», dice.
«Emplea filtros para eliminar el malware y configura tu cortafuegos con listas blancas de sitios que son buenos. Y forma a las personas de tu empresa, familia y comunidad para que no hagan clic en enlaces arbitrarios».
Para más recomendaciones, lee nuestra guía completa sobre cómo evitar las estafas de phishing.
Lo esencial
Las amenazas de phishing evolucionan rápidamente, y su volumen aumenta exponencialmente debido al mayor uso de la IA generativa para elaborar ataques muy selectivos y sofisticados, afirma Steffora.
«Ya no se trata de campañas amplias, sino de ataques directos, personalizados hasta el individuo», afirma. «Los estafadores ya están utilizando herramientas de IA generativa para suplantar voces e imágenes y manipular información comercial».
Por ejemplo, la IA generativa permite a los estafadores utilizar organigramas y escribir correos electrónicos de phishing contextualmente precisos a personas que buscan algún tipo de transacción financiera, como pagar a un proveedor, afirma Steffora.
«Los profesionales de TI y tecnología de las empresas tienen que empezar a preguntarse: ¿Qué mecanismos puede utilizar la empresa para salvaguardar sus compañías además del correo electrónico y el teléfono, porque ambos ya han sido contaminados por la IA?», afirma. «Al fin y al cabo, cuando alguien hace clic en un correo electrónico de phishing, el objetivo debe ser llegar a un estado mitigado lo antes posible».