Son simples, omnipresentes y notoriamente difíciles de prevenir. A continuación, le indicamos cómo protegerse contra los ataques de suplantación de identidad.
Resumen
En medio de la creciente carrera armamentista entre los ciberdelincuentes y la industria de la seguridad digital, una estafa simple pero efectiva continúa causando estragos desproporcionados en el espacio de las criptomonedas y más allá: los ataques de phishing. Los ataques de phishing son extremadamente insidiosos; es difícil verlos venir, lo cual es una razón más para estar al tanto de ellos.
Durante un ataque de phishing, a menudo se engaña a un usuario para que ceda sus datos confidenciales a través de un sitio web de phishing en un intento de engañar a la víctima para que revele información confidencial o se separe de los fondos. Si bien el objetivo de un ataque de phishing puede limitarse a un individuo, en la mayoría de los casos el objetivo más amplio del atacante es comprometer uno o más sistemas a los que tiene acceso la víctima. Si un ataque de phishing contra un individuo tiene éxito, las consecuencias pueden repercutir en todas partes, afectando a otros usuarios y redes adyacentes con una velocidad alarmante.
Los ataques de phishing son relativamente baratos y fáciles de implementar. Sin embargo, este tipo de ataque en línea a menudo se puede mitigar o reducir una vez que sepa qué buscar.
¿Cómo funciona el phishing?
En la mayoría de los casos, los ataques de phishing toman la forma de correos electrónicos, mensajes de texto o publicaciones en redes sociales engañosos que pueden engañar a las personas para que respondan inadvertidamente con información privada, transfieran fondos a la billetera de criptomonedas del atacante o hagan clic en un enlace malicioso que comprometa las contraseñas. Si bien la mayoría de los ataques de phishing ahora tienen lugar en línea, estos ataques también pueden ocurrir por teléfono o mediante canales de comunicación fuera de línea.
Para tener éxito, un ataque de phishing debe captar su atención y, a menudo, el contenido del mensaje malicioso incluirá una llamada a la acción urgente o una recompensa atractiva en un intento de provocar una respuesta rápida y reflexiva.
Por ejemplo, un mensaje de suplantación de identidad (phishing) puede proporcionar un enlace que le anima a “reclamar un premio” en las próximas horas, o hacerse pasar por un mensaje automático de un intercambio de criptomonedas que utiliza pidiéndole que verifique sus credenciales de inicio de sesión en respuesta a una supuesta “actividad sospechosa”. en tu cuenta.
Más allá del contenido real del mensaje en sí, hay tres características comunes de los mensajes fraudulentos que indican que puede estar lidiando con un posible intento de phishing:
- Identidades de remitentes disfrazadas: si bien los ataques de phishing mal realizados a veces se pueden identificar visualmente mediante errores tipográficos o un formato extraño, los atacantes más sofisticados suelen utilizar identidades digitales falsificadas de forma convincente que pueden ser difíciles de distinguir de un vistazo. Los esfuerzos incluyen copiar el contenido distintivo de una organización, como texto, fuentes, logotipos o esquemas de color específicos utilizados por el sitio web legítimo para que el mensaje fraudulento parezca auténtico. Esta forma particular de engaño también se conoce como suplantación de identidad.
- Enlaces engañosos: los ataques de phishing a menudo incluyen URL abreviadas o enlaces incrustados que ocultan la verdadera naturaleza del destino del enlace real. Por ejemplo, el texto de ancla que se muestra de un hipervínculo puede ser completamente diferente de la URL del enlace real. El atacante puede utilizar errores tipográficos sutiles, como reemplazar una “l” minúscula con una “L” mayúscula en el enlace para reflejar visualmente un destino de enlace auténtico. En algunos casos, un enlace malicioso conduce a un sitio web o dominio ilegítimo, que es un clon superficial de un negocio genuino, lo que puede ser una trampa convincente que lo impulse a divulgar información personal adicional.
- Desalineación de contenido: si bien muchas estafas de phishing son difíciles de detectar de un vistazo, a veces habrá una desalineación entre la intención declarada del mensaje y el remitente o destinatario. Por ejemplo, el dominio de la dirección de correo electrónico del remitente puede no tener relación con el tema del correo electrónico, o el mensaje puede afirmar que proviene de un custodio criptográfico con el que nunca ha estado en contacto. En estos casos, el intento de phishing es mucho más fácil de detectar, pero es importante tener en cuenta que estos identificadores fáciles se han vuelto cada vez más escasos.
Cómo prevenir ataques de phishing
Si bien los ataques de suplantación de identidad a gran escala no ocurren con frecuencia, los ataques de suplantación de identidad a menor escala se producen a diario, y estos ataques son el tipo más común de ataques de ingeniería social en la era moderna. Afortunadamente, hay varias formas de protegerse de estos ataques:
- Vigilancia constante: cuando se trata de prevenir ataques de phishing, la solución principal se basa en su capacidad para identificar el riesgo potencial en el primer punto de contacto. Si divulga inadvertidamente información confidencial a un atacante o pone en peligro sus cuentas o dispositivos al hacer clic en un enlace malicioso, ninguna de las otras medidas preventivas enumeradas a continuación puede ser suficiente para protegerlo.
- Capas adicionales de autenticación: dado que los ataques de phishing son posibles por completo a través de errores humanos, el uso de medidas de seguridad personal como la autenticación de dos factores o un administrador de contraseñas puede mitigar los riesgos de estos ataques en caso de que una de sus credenciales se vea comprometida.
- Almacenamiento seguro de activos digitales: si bien existen ventajas y desventajas para distribuir sus activos digitales en múltiples cuentas y billeteras, un método confiable de protección de activos implica mantener una parte significativa de sus fondos en almacenamiento en frío. Si bien los activos en una billetera fría pueden ser más difíciles de acceder y comerciar, estas mismas características hacen que esos fondos sean sustancialmente más difíciles de robar, incluso si su identidad digital está comprometida.
La línea de fondo
Si bien el espacio blockchain está repleto de emocionantes proyectos y plataformas en varias etapas de desarrollo, es importante para los entusiastas de la criptografía limitar su participación en línea a plataformas creíbles y establecidas con protocolos de seguridad maduros y de múltiples capas siempre que sea posible.
Al explotar la confianza humana y la falibilidad para eludir los mecanismos de seguridad formales, los ataques de phishing siguen siendo omnipresentes y notoriamente difíciles de prevenir sin un conocimiento previo de los vectores de ataque comunes. La continua prevalencia de los ataques de phishing destaca el papel central que desempeña el individuo en la protección de sus activos digitales y sirve como recordatorio de que pocos sistemas son impermeables a los errores humanos.