Imagen que ilustra el Angler Phishing, una técnica de suplantación de identidad online. Aprende a protegerte.
Descubre qué es el Angler Phishing y cómo protegerte de esta amenaza digital.
Junior Geeks·
Seguridad Defensiva
·8 Minutos de lectura

No Caigas en la Trampa: Conoce cómo Funciona el Angler Phishing

Muchos de nosotros vivimos nuestras vidas enteras en Facebook, Twitter, Instagram y LinkedIn, publicitando nuestros pensamientos, interactuando con amigos, extraños y empresas, y manteniéndonos al tanto de los asuntos actuales.

Pero toda esa actividad ha convertido a las redes sociales en un caldo de cultivo para una nueva forma de ciberataque conocido como Angler Phishing.

Tabla de Contenido

El Phishing: Una táctica clásica vigente

Los intentos de phishing que perjudican a empresas y particulares son cada vez más comunes. Según el informe de Statista, durante el cuarto trimestre de 2024, casi el 23 % de los ataques de phishing a nivel mundial se dirigieron a las redes sociales.

Las razones que hacen que este tipo de estafa en línea sea tan efectiva son:

  • La falta de atención humana (un momento de distracción o cansancio puede llevar a hacer clic en el enlace equivocado).
  • La difusión insuficiente de la cultura y los servicios de seguridad informática.
  • La gran variedad de formas en que esta amenaza puede presentarse.

Este artículo profundiza en uno de estos métodos: el llamado Angler phishing.

¿Qué es el angler phishing?

El Angler Phishing es un tipo específico de ataque de phishing que existe en las redes sociales. A diferencia del phishing tradicional, que implica correos electrónicos que suplantan la identidad de organizaciones legítimas, los ataques de Angler Phishing se lanzan utilizando cuentas falsas de redes sociales corporativas.

Así es como funciona: los ciberdelincuentes son conscientes de que las organizaciones utilizan cada vez más las redes sociales para interactuar con sus clientes, ya sea con fines de marketing y promoción o para ofrecer una ruta sencilla para que los clientes hagan preguntas o presenten quejas.

Aquí tienes un ejemplo:

Ejemplo de mensaje de Angler Phishing que imita a Facebook, solicitando verificación de cuenta para evitar restricciones.
Imagen que ilustra un intento de phishing haciéndose pasar por Facebook. ¡No te dejes engañar!

Las características de un ataque de angler phishing

El Angler phishing toma su nombre del pez pescador (Lophiiformes/anglerfish), un pez que vive en las profundidades marinas y utiliza una especie de linterna para atraer a sus presas. De la misma manera, los hackers, en este tipo de estafa, atraen a sus potenciales víctimas haciéndose pasar por el departamento de atención al cliente de una empresa conocida. Con la excusa de ayudar al usuario a resolver el problema que ha encontrado, lo inducen a confiar credenciales reservadas.

¿Cómo funciona un ataque de angler phishing?

Analicemos paso a paso un ataque de angler phishing para comprender cuán peligrosa es esta amenaza:

Fase 1: El hacker crea páginas de asistencia al cliente lo más parecidas posible a las reales.

Fase 2: El atacante monitorea los canales sociales de estas empresas esperando que un cliente insatisfecho publique una queja sobre un servicio o producto que ha comprado.

Fase 3: El atacante, aprovechando el comentario/mensaje de la potencial víctima, contacta al cliente presentándose como agente de atención al cliente de la empresa en cuestión y ofreciéndose a ayudarlo. A menudo aprovecha los momentos en que las cuentas oficiales están menos activas, como las noches o los fines de semana, e intenta adelantarse a los verdaderos operadores de atención al cliente.

Fase 4: En este punto pueden presentarse diferentes escenarios. Por ejemplo, el criminal puede pedir información personal y confidencial o, peor aún, indicar un enlace que permitirá resolver la cuestión indicada. En el primer caso, si la víctima cae en la trampa, el atacante tiene acceso directo a la cuenta. En el segundo caso, una vez abierto el enlace, el usuario es redirigido a una página que solicita que ingrese sus datos (a menudo datos bancarios) o, en última instancia, se inicia la descarga de un malware.

Fase 5: El estafador, una vez obtenida la información necesaria, puede continuar con la estafa sin ser molestado. Por ejemplo, puede acceder a los servicios bancarios y robar dinero a su víctima, robarle su identidad o, más raramente, bloquear el dispositivo pidiendo un rescate.

¿Por qué es tan efectivo el angler phishing?

El porcentaje de casos exitosos entre las víctimas de angler phishing está ciertamente relacionado con varios factores, incluido el recurso a la ingeniería social. De hecho, si un usuario necesita asistencia y se dirige a la página oficial de la marca de la que ha comprado un producto o servicio, espera recibir una respuesta rápidamente.

Por lo tanto, es poco propenso a preguntarse si quien está interactuando con él es realmente un impostor o el verdadero servicio al cliente de la empresa. En segundo lugar, la víctima del ataque probablemente está molesta, o incluso enojada, por el mal servicio, y esto también puede contribuir a que baje la guardia.

Estrategias para defenderse del angler phishing

Este tipo de ataque informático es difícil de detectar con las soluciones antiphishing, ya que no es similar a los intentos tradicionales de ataque de phishing por correo electrónico. Es ligeramente diferente de los intentos habituales de phishing por correo electrónico. Por lo tanto, es fundamental prestar aún más atención y seguir las mejores prácticas específicas para el Angler phishing.

Un hombre trabaja en su ordenador; imagen conceptual que ilustra las estrategias para defenderse del Angler Phishing.
Protege tu información online. Aprende a contrarrestar el Angler Phishing.

¿Qué puede hacer una empresa para defenderse del angler phishing?

  • Verifica la legitimidad de la página de soporte: Antes de responder a quien te ha contactado, realiza todas las verificaciones necesarias. ¿La página de la empresa a la que enviaste la solicitud de asistencia tiene la marca azul que asegura su legitimidad? ¿En la sección de contactos de la página oficial de la empresa se menciona la página de asistencia? ¿Los URL coinciden? ¿Hay errores ortográficos en el perfil? ¿Cuántos seguidores o “me gusta” tiene? Si son pocos, la página podría haber sido creada recientemente y, por lo tanto, no ser confiable; además, si se trata de una empresa famosa y un servicio veraz, debería ser popular.
  • Espera a recibir una respuesta en el mismo canal a través del cual expusiste el problema: Como ya se ha dicho, la rabia y la impaciencia son los puntos débiles que los criminales aprovechan para que caigas en su trampa. Presentar quejas en las redes sociales es una de las formas más rápidas de recibir asistencia, pero para estar seguros, es mejor esperar a recibir una respuesta en la página oficial antes de pasar a una conversación individual con el empleado.
  • En caso de duda, busca otros canales de comunicación: Si tienes dudas sobre la identidad de quien te ha contactado, intenta contactar a la empresa a través de otro canal. Por lo general, encontrarás todos los contactos en la sección correspondiente del sitio oficial.
  • No hagas clic en los enlaces y no proporciones información personal: Incluso si se trata de un agente oficial de atención al cliente, no le reveles información confidencial. A menudo, los malhechores aprovechan el sentido de urgencia para convencerte de que les confíes estos datos, pero se trata de estafas. Además, si te diriges a un servicio para el que ya estás registrado, los agentes de asistencia deberían tener acceso a la información necesaria sin que seas tú quien se la proporcione. Si puedes, además, evita abrir los enlaces e intenta llegar a la misma página desde el sitio oficial.

Aprende también: Qué Hacer Si Haces Clic en un Enlace de Phishing

¿Qué puede hacer una empresa para defender a sus clientes del angler phishing?

Si tu empresa es utilizada como señuelo para fraudes, sufrirá sin duda un daño a su imagen, que será tanto más grave cuanto más tiempo permanezca activa la falsa página de asistencia al cliente. Es bueno tener en cuenta que, aunque esta estafa se adapta a cualquier empresa, hay sectores que se ven más afectados. En la cima de la lista, por razones obvias, se encuentran las instituciones financieras, los bancos y las empresas que ofrecen servicios de comercio electrónico.

Para defender a tus clientes actuales y no desanimar a los nuevos clientes con una mala reputación, es importante defenderte. Si piensas en buscar periódicamente las páginas fraudulentas creadas por los hackers, estás perdiendo el tiempo. Los hackers crean y destruyen cuentas fraudulentas en poco tiempo. Además, estos últimos intentan aprovechar los horarios en que tu servicio de atención al cliente legítimo está menos activo, como por la noche o los fines de semana.

En cambio, muestra proactividad con tus clientes a través de estas sencillas reglas:

  • Mantén informados a tus clientes sobre las estafas más comunes que podrían afectar a tu marca y sobre cómo reconocerlas.
  • Comunica con frecuencia una lista de contactos oficiales a través de los cuales puedes ser contactado e invita a desconfiar de las páginas que no pertenezcan a la lista que tú has proporcionado.
  • Implementa un sistema de monitoreo y eliminación de perfiles falsificados. Incluso si no tienes canales sociales oficiales, siempre vigila cómo se ve el nombre de tu empresa en línea. Para los malintencionados podría ser aún más sencillo dañarte si no puedes darte cuenta.
  • Crea un perfil oficial para la empresa en las principales plataformas sociales. Si no quieres utilizarlo para patrocinar tus productos o para asistir a los clientes, hazlo al menos para explicar cómo es posible contactarte, especificando que los agentes que contacten a los clientes son estafadores y no miembros del personal.
  • Denuncia los perfiles falsos a las autoridades.

Muchos usuarios de redes sociales saben muy poco sobre el Angler Phishing. Eso son malas noticias para las organizaciones, dado lo frecuente que los empleados navegan por las redes sociales durante sus descansos para almorzar o períodos tranquilos. Mantente seguro y suscríbete gratis a nuestro boletín informativo.

Etiquetas
0 1 1 0

🤞 ¡El Gran Hermano te vigila, pero sabemos cómo detenerlo!

¡No enviamos spam! Lee nuestra Política de Privacidad para más información.

Junior Geeks
Junior Geeks es un colectivo de profesionales de la ciberseguridad y hacking ético con certificaciones de élite como OSCP (Offensive Security Certified Professional) y CEH (Certified Ethical Hacker).Nuestra misión en esgeeks.com es democratizar el conocimiento, proporcionando trucos y guías prácticas sobre sistemas operativos, seguridad y el mundo digital en general. Con más de una década combinada de experiencia, nuestro objetivo es darte las herramientas para que tú tengas el control.
Relacionado

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Mi Carro Close (×)

Tu carrito está vacío
Ver tienda