ESET diferencia estos conceptos de manera de identificarlos de inmediato y no poner en riesgo los datos personales, el dinero y la privacidad.
En el mundo de la seguridad de la información conviven conceptos que si no se analizan en profundidad, pueden confundirse y hasta poner en riesgo los datos personales, privacidad y dinero. Esto aplica al phishing, el spam y también el malspam. ESET, compañía líder en detección proactiva de amenazas, detalla en qué consiste cada uno, cuáles son sus principales características, qué los diferencia y qué acciones concretas se pueden tomar para evitar ser víctima de estafas o engaños.
“Ya sea que se trate de phishing, spam o malspam, siempre es necesario que como usuarios seamos cuidadosos con dónde hacemos clic, ya que se nos podría estar dirigiendo a sitios que busquen robar nuestra información personal o incluso descargar algún tipo de contenido malicioso a nuestra máquina”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Seguridad informática de ESET Latinoamérica.
El phishing es una técnica que utiliza el cibercrimen para engañar a sus víctimas y que entreguen información confidencial, ya sean contraseñas, datos bancarios y personales. La metodología más común de phishing es hacerse pasar por organismos, bancos o empresas reconocidas y de confianza por correo electrónico o mensaje, para así tentar a la víctima a completar un formulario falso en el mensaje o adjunto a él o visitar una página web solicitando la entrada de los detalles de la cuenta o las credenciales de inicio de sesión.
En cuanto al spam, podemos decir que es el correo no deseado, o basura, en las bandejas de entrada de las casillas de correo. Enviado de forma masiva por un remitente desconocido, busca hacer publicidad de un producto o servicio. En varios países ya regulan el uso de este tipo de comunicaciones e imponen multas a las empresas que incumplan. Si bien es común que el spam se envíe en formato de texto o con contenido HTML, también hay vía mensajes instantáneos, SMS, redes sociales, llamadas telefónicas o correo de voz.
Por otro lado, se denomina malspam a las técnicas de envío masivo que utilizan los actores maliciosos para intentar infectar dispositivos a través de archivos o enlaces maliciosos adjuntos. Su nombre, en concreto, se debe a que se unen los conceptos de malware y spam, este tipo de correo suelen combinarse con técnicas de phishing ya que su objetivo es ganar la confianza de la víctima haciéndose pasar por una entidad conocida e inducirlo a entregar sus datos personales.
Hay diferencias esenciales entre phishing y spam (y malspam) que hay que remarcar para saber en qué caso se trata de cada uno:
- Mientras que el spam busca anunciar un producto o servicio, el phishing sólo busca obtener información personal y financiera de sus víctimas. El malspam, en cambio, intenta infectar un dispositivo, tomar el control del equipo.
- El phishing suplanta la identidad de una empresa reconocida tratando de engañar a las personas, mientras que el spam puede venir de una empresa que realmente exista.
- En el caso del spam, por lo general redirige a sitios donde se puede adquirir el producto o servicio anunciado. En cambio, con las campañas de phishing, busca robar información personal. El malspam, a su vez, contiene archivos maliciosos (PDF, Word, Excel, Zip) o incluye links a sitios falsos o maliciosos.
- Los sitios a los cuales redirigen las campañas de spam se encuentran por lo general en servicios gratuitos de alojamiento, mientras que los sitios de phishing se suelen alojar en sitios web legítimos que son vulnerables o en aquellos falsos creados por los propios cibercriminales.
- Las campañas de spam suelen extenderse a foros, buscadores y diversos servicios gratuitos en Internet. En cambio, el phishing suele estar más enfocado en usuarios de un determinado país o región.
Desde ESET comparte distintas acciones para mantener los datos protegidos. En principio no compartir indiscriminadamente la dirección de correo de mail en sitios webs, y crear una dirección de correo electrónico desechable para recibir newsletters o suscripciones.
Además, en el caso de recibir un mail de un remitente conocido sin previo aviso y con un enlace sospechoso o un archivo descargable, recomiendan consultar a esa persona de manera directa antes de abrirlo. Por otro lado, si el mensaje proviene de una entidad bancaria o una marca reconocida, desde ESET recomienda verificar en los canales oficiales de esa entidad que se trata de algo legítimo. Una regla de oro es que los organismos oficiales nunca piden datos personales, ni envían formularios online, ni archivos para descargar.
Por último, advierten desconfiar de toda aquella oferta o promoción que sean demasiado buena para ser verdad e implementar una solución de seguridad, cuyo software antispam evite y/o bloquee la apertura o recepción de correos electrónicos no deseados o no solicitados. Por ejemplo, en el caso de ESET Home Security, la solución bloquea sitios web y correos electrónicos sospechosos y su función antiphishing bloquea las páginas que intentan adquirir datos personales para evitar el robo de identidad y el uso indebido de la información, mientras que brinda protección proactiva contra todo tipo de malware, incluidos virus, troyanos, gusanos y spyware.
Fuente. ESET
