10 tipos de ataques y estafas de phishing

10 tipos de ataques y estafas de phishing

Tiempo Aproximado de Lectura: 8 minutos

Los ataques de phishing provocan pérdidas y daños significativos a las empresas cada año.

Para Google y Facebook, las pérdidas totalizaron más de $ 100 millones. El Banco Creland de Bélgica entregó más de $ 75 millones a los ciberdelincuentes. Y el fabricante austriaco de piezas aeroespaciales FACC perdió $ 61 millones. ¿Qué está causando este tipo de pérdidas masivas? Cada una de estas organizaciones fue víctima de diferentes (y costosos) tipos de ataques de phishing.

¿Qué es un ataque de phishing?

En general, una estafa de suplantación de identidad (phishing) es un tipo de ataque cibernético que los ciberdelincuentes utilizan para que los usuarios realicen algún tipo de acción. Estos correos electrónicos a menudo se envían en masa con el objetivo de engañar a personas confiadas. Piensa en el intento de phishing mas popular: el príncipe nigeriano que sigue intentando que tomes su dinero para “mantenerlo a salvo”.

Sin embargo, el phishing ha evolucionado significativamente desde que su alteza real entró en escena. Ahora hay una variedad de ataques de phishing dirigidos a las empresas. Algunos implican el uso de correos electrónicos y sitios web; otros pueden usar mensajes de texto o incluso llamadas telefónicas. Los ataques utilizan estos métodos con el objetivo de lograr que los usuarios proporcionen información personal o de determinadas cuentas, o que transfieran fondos a cuentas fraudulentas. La industria de los delitos informáticos está alcanzando niveles sin precedentes. Cybersecurity Ventures informa que se espera que los daños de delitos cibernéticos le cuesten al mundo 6 billones de dólares al año para el 2021, de los cuales se prevé que el phishing desempeñará un papel importante.

Pero cuando hablamos de phishing, ¿de qué tipo de ataques estamos hablando específicamente? En realidad, existen varios tipos de estafas de suplantación de identidad (phishing) a las que se ven expuestas las empresas a diario.

10 tipos de ataques de phishing que amenazan a tu empresa

Hemos recopilado una lista de los tipos de ataques de phishing más frecuentes. El objetivo aquí es ayudarte a familiarizarte con algunos de los diferentes tipos de ataques de phishing que existen y proporcionar una visión general de cómo funcionan o qué los diferencia de otras estafas de phishing.

1. Fraude del CEO / Cuenta empresarial comprometida

El primer tipo de ataque de phishing que analizaremos se conoce como «fraude del CEO«. En pocas palabras, el fraude del CEO se produce cuando un delincuente cibernético envía un correo electrónico a un empleado de nivel inferior, generalmente alguien que trabaja en el departamento de contabilidad o finanzas, mientras pretende ser el CEO de la compañía u otro ejecutivo, gerente, etc. El objetivo de estos correos electrónicos a menudo es que su víctima transfiera fondos a una cuenta falsa. Solo un poco de información adicional para que lo tengas presente: en EE. UU., El fraude del CEO a menudo se conoce como «Business Email Compromise» (BEC), y según el FBI le cuesta miles de millones de dólares a las empresas.

2. Clone Phishing

La idea detrás de un ataque de Clone Phishing es aprovechar los mensajes legítimos que la víctima ya ha recibido y crear una versión maliciosa. El ataque crea una réplica virtual de un mensaje legítimo, y envía el mensaje desde una dirección de correo electrónico que parece legítima. Todos los enlaces o archivos adjuntos en el correo electrónico original se intercambian por otros maliciosos.

El ciberdelincuente a menudo usa la excusa de que está reenviando el mensaje original debido a un problema con el enlace o el archivo adjunto del correo electrónico anterior para atraer a los usuarios finales a hacer clic en ellos. Desearíamos poder decir que esto no funciona; desafortunadamente, es un ataque muy efectivo.

3. Suplantación de dominio (Spoofing de Dominio)

El siguiente tipo de phishing que queremos mencionar se conoce como suplantación de dominio. Este método de ataque utiliza correos electrónicos o sitios web fraudulentos. La falsificación de dominio se produce cuando un ciberdelincuente “falsifica” el dominio de una organización o empresa para:

  • Hacer que sus correos electrónicos parezcan provenir del dominio oficial, o
  • Hacer que un sitio web falso se vea como el verdadero adoptando el diseño del sitio real y utilizando una URL similar o caracteres Unicode que se parecen a los caracteres ASCII.

¿Como es eso posible? En el caso de un ataque por correo electrónico, un delincuente cibernético falsifica un nuevo encabezado de correo electrónico que hace que parezca que el correo electrónico se origina en la dirección de correo electrónico legítima de una empresa. En una falsificación de dominio del sitio web, el ciberdelincuente crea un sitio web fraudulento y con un dominio que parece legítimo o está cerca del original ( por ejemplo, apple[.]com vs apple[.]co).

4. Gemelo malvado

Aunque suena como si hablamos de un ataque de Clone Phishing, un ataque de «gemelo malvado» es en realidad un asunto muy diferente. A diferencia de los otros métodos de phishing que hemos mencionado en este artículo, un ataque de gemelo malvado es una forma de phishing que aprovecha el Wi-Fi. TechTarget[.]com describe a un ataque de gemelo malvado como «un punto de acceso inalámbrico malicioso que se hace pasar por un punto de acceso Wi-Fi legítimo para que el atacante pueda recopilar información personal o corporativa sin el conocimiento del usuario final«. Este tipo de ataque también se ha referido como la estafa de Starbucks porque a menudo tiene lugar en cafeterías.

En este tipo de ataques, el ciberdelincuente crea un punto de acceso Wi-Fi que se parece al real: incluso utilizarán el identificador de servicio establecido (SSID) que es el mismo que la red real. Cuando los usuarios finales se conectan, el atacante puede escuchar a escondidas el tráfico de su red y robar sus nombres de cuenta, contraseñas y ver los archivos adjuntos a los que accede el usuario mientras está conectado al punto de acceso comprometido. (Consejo: una VPN mantendrá sus datos seguros incluso en una red Wi-Fi comprometida).

5. Phishing HTTPS

El 58% de todos los sitios web de phishing ahora se efectúan a través del protocolo HTTPS. El enfoque que utilizan los ciberdelincuentes en estos ataques es enviar un correo electrónico con solo un enlace de aspecto legítimo en el cuerpo del correo electrónico. A menudo, no hay otro contenido, excepto el enlace en sí (que se puede hacer clic o un enlace no activo que requiere que el destinatario copie y pegue la URL en su barra de direcciones web).

Entonces, ¿por qué alguien haría clic intencionalmente en el enlace? La respuesta corta es porque el atacante usa una variedad de tácticas de ingeniería social para engañar al destinatario del correo electrónico para que haga clic en el enlace o copie y pegue la URL en su navegador web (lo que dificulta la detección de este tipo de correo electrónico). . Esto incluye enviar los mensajes desde una dirección de correo electrónico que parezca legítima, por ejemplo, del jefe o compañero de trabajo del destinatario.

6. Smishing (SMS phishing)

El phishing por SMS, o «smishing», es una forma de phishing que aprovecha la adicción del mundo a los mensajes de texto y las comunicaciones instantáneas. ¿Alguna vez has recibido un mensaje de texto de Netflix pidiendo actualizar tu forma de pago? El smishing es una forma en que los delincuentes cibernéticos pueden atraer a los usuarios a descargar software malicioso mediante el envío de mensajes de texto que parecen provenir de fuentes legítimas y contienen direcciones URL maliciosas para que hagan clic.

Una forma de evitar ser víctima de ataques de smishing es ignorar totalmente cualquier mensaje de texto no solicitado. Si no te registraste para recibir notificaciones de texto, no hagas clic en la URL cuando recibas ese texto. Cuando tenga dudas sobre la autenticidad de un mensaje, simplemente confía en la lección que tus padres o maestros te enseñaron cuando eras niño: no hables con extraños.

7. Spear phishing

Un ataque de Spear Phishing es una forma específica de phishing. A diferencia de los correos electrónicos de suplantación de identidad (phishing) generales, que utilizan tácticas similares al spam para llegar a miles de personas en campañas de correo electrónico masivas, los ataques de Spear Phishing se dirigen a personas específicas dentro de una organización. Utilizan tácticas de ingeniería social para ayudar a adaptar y personalizar los correos electrónicos a sus víctimas previstas. Pueden usar líneas de asunto que serían temas de interés para los destinatarios del correo electrónico para engañarlos para que abran el mensaje y hagan clic en los enlaces o archivos adjuntos.

¿Por qué es tan relevante el Spear Phishing? Porque el 91% de los ataques cibernéticos comienzan con un correo electrónico de phishing. El objetivo a menudo es robar datos o instalar malware en la computadora del destinatario para obtener acceso a su red y cuentas. Desafortunadamente, es posible que los métodos de seguridad tradicionales no detengan este tipo de ataques porque están tan altamente personalizados que muchos filtros de spam tradicionales pueden pasarlos por alto.

8. Vishing

Ya leíste sobre smishing y entiendes que es phishing a través de mensajes SMS. Por lo tanto, si crees que «vishing» es «phishing de voz» (phishing a través del teléfono), entonces estás en lo correcto. Un ataque de vishing ocurre cuando un delincuente llama a tu teléfono para intentar que proporciones información personal o financiera. A menudo usan llamadas automáticas que desvían a las personas que caen en sus tácticas y terminan hablando con los criminales. También utilizan aplicaciones móviles y otras técnicas para falsificar su número de teléfono o para ocultar sus números de teléfono por completo.

Estos atacantes utilizan con frecuencia una variedad de tácticas de ingeniería social para engañarte y proporcionarte esta información. También se sabe que pretenden ser otra persona: tu banco, una entidad de gobierno o un ejecutivo de tu empresa que afirma trabajar en otra sucursal. Reclamarán que debes impuestos, o que tu tarjeta de crédito tiene actividades sospechosas y debe cerrarse de inmediato… primero deberán «verificar» tu información personal antes de que puedan cerrar la tarjeta y volver a emitir una nueva.

No caigas en esta trampa, simplemente corta la llamada.

9. Watering hole phishing

Este tipo menos conocido de ataque de phishing recuerda a una escena del reino animal. Imagina un grupo de cebras, antílopes y otras criaturas en el Serengeti en un abrevadero. Para refrescarse, se acercan más al agua y se inclinan para tomar una bebida. Una cebra decide alejarse y vaga demasiado lejos de la manada en el agua. De repente, un cocodrilo brota de debajo de la superficie del agua y la agarra, arrastrándola hacia abajo.

Sí, lo has adivinado: eres la cena a rayas en este escenario.

Los ataques de Watering hole phishing funcionan de esta forma:

  • Identifican sitios web específicos que tu empresa o empleados visitan con mayor frecuencia, e
  • Infectan uno de esos sitios con malware.

Los sitios seleccionados para la infección pueden ser un proveedor cuyos servicios utiliza tu empresa. El objetivo es infectar los sitios web para que cuando tu o tus empleados lo visiten, tus computadoras se carguen automáticamente con malware. Esto proporcionará a los atacantes acceso a tu red, servidores e información confidencial, como datos personales y financieros.

¿Las otras personas que visitan el sitio infectado serán víctimas del ataque? Por supuesto. Pero solo son daños colaterales y víctimas adicionales para los ciberdelincuentes.

10. Whaling

El Whaling una forma de phishing que se parece mucho a la versión inversa del fraude del CEO. En lugar de dirigirse a personas de niveles inferiores dentro de una organización, los delincuentes cibernéticos se dirigen a los ejecutivos de alto nivel, como los CEOs, directores, presidentes, gerentes, etc. El objetivo es engañar al ejecutivo para que revele información confidencial y datos corporativos. Estos objetivos se seleccionan cuidadosamente debido a su acceso y autoridad dentro de una organización. Estos ataques a menudo utilizan el spoofing de dominio.

A diferencia de los correos electrónicos de phishing en general, estos mensajes se basan en tácticas de ingeniería social que utilizan la información que obtienen de Internet y de varias plataformas de redes sociales. Están altamente adaptados a sus audiencias y, a menudo, incluyen:

  • El nombre de la víctima,
  • Título o cargo, y
  • Detalles básicos que hacen que las comunicaciones parezcan legítimas.

Hay otros tipos de ataques de phishing, sin embargo en este articulo hemos abordado al menos los más frecuentes.

Cómo puedes evitar caer en muchos tipos de ataques de phishing

La ciberseguridad verdaderamente efectiva es un enfoque de múltiples capas. Estas son algunas de las cosas que puede hacer para evitar ser la próxima victima del phishing:

Entrena a tus empleados para adoptar las mejores prácticas de correo electrónico

Esto debería ser evidente, pero vale la pena repetirlo, ya que esto parece ser un punto de fricción para algunas empresas: capacitar a sus empleados.

Todos ellos. Esto incluye a todos, desde los conserjes hasta el CEO.

Hemos preparado un checklist que puedes distribuir entre tus empleados para ayudarlos a detectar un correo legitimo de uno fraudulento. Descargalo gratis aquí.

Implementar el uso de certificados de firma de correo electrónico.

Estos certificados de seguridad digital se conocen como certificados S/MIME porque usan Extensiones de Correo de Internet de Propósitos Múltiples / Seguro (Secure/Multipurpose Internet Mail Extensions) para cifrar el contenido de nuestros correos electrónicos (y cualquier archivo adjunto) y para firmar digitalmente nuestras comunicaciones.

Nuevo Servicio: Un nuevo nivel de seguridad para tu web

Nuevo Servicio: Un nuevo nivel de seguridad para tu web

Tiempo Aproximado de Lectura: 3 minutos

La seguridad es una prioridad máxima en nuestro servicio de Hosting, y nos aseguramos de que se tomen todas las medidas posibles para proteger tu sitio web y tus datos. ¡Así que estamos muy emocionados de anunciar que hemos agregado un cinturón negro a nuestras defensas cibernéticas! A partir de hoy, todos los clientes de Web Hosting de Nodored están protegidos por uno de los sistemas de seguridad más avanzados disponibles: BitNinja. Al aprovechar el aprendizaje automático y la información del tráfico web de decenas de miles de servidores, BitNinja crea una red de defensa global que contrarresta los ataques de botnets con un escudo de protección para todos los servidores y sus sitios web alojados.

Pero antes de profundizar en los detalles técnicos, queremos explicar las razones por las que decidimos implementar este nuevo factor de seguridad. Como la mayoría de las soluciones, esta fue una decisión tomada por necesidad. Con el aumento de la velocidad y la inteligencia de los ataques, y teniendo algunos de los sitios de nuestros clientes ejecutandose con código vulnerable o software obsoleto, el numero de sitios web comprometidos se incremento. Esto se debió en gran parte a la creciente sofisticación de los ataques, lo que ha hecho que cada vez sean más difíciles de detectar. No solo eso, sino también por el rápido crecimiento de nuestra base de clientes, necesitábamos escalar no solo en términos de infraestructura de hardware, sino también mejorar las herramientas y el software que utilizamos.

Después de una evaluación en profundidad de nuestra infraestructura de seguridad, determinamos que el concepto de proteger los nodos de alojamiento de forma individual causaba un cuello de botella importante para el proceso de escalamiento, y retardaba nuestros tiempos de respuesta en incidencias menores. Necesitábamos un sistema centralizado que pueda aprender y registrar incidentes en toda la infraestructura para proteger a todos los servidores de manera proactiva, un sistema que pueda evitar ataques antes de que lleguen a nuestra infraestructura en lugar de intentar mitigarlos.

¿Como impacta la implementación de esta capa de seguridad?

Antes: Auditábamos servidor por servidor de forma manual ejecutando diversos scripts propios, limpiando cuenta por cuenta y notificando al cliente propietario sobre el incidente.

Ahora: Los servidores se escanean de forma automatizada y centralizada en forma periódica con la potente red de datos de BitNinja, los archivos vulnerados se remueven de forma automática y notificamos al cliente propietario sobre el incidente.

Ademas: Contamos con un proceso de análisis y monitoreo 24/7 para diversas vulnerabilidades en todos los sitios de nuestros clientes, protegiéndolos de forma proactiva y notificando de posibles incidencias, ¡aun antes de que ocurran!

Hablemos de BitNinja

Durante nuestra investigación sobre el tema, nos sorprendió gratamente descubrir que no solo otros ya habían expandido esta idea a un concepto de seguridad sólido, sino que algunos grandes equipos ya han desarrollado productos sofisticados en este nicho. Después de pruebas y evaluaciones exhaustivas, llegamos a la conclusión de que el producto BitNinja es muy maduro y proporciona todas las herramientas que queríamos para construir nuestra infraestructura. La característica más impresionante del sistema de seguridad BitNinja es el conocimiento compartido sobre ataques y tráfico malicioso en todo el mundo. Rápidamente nos dimos cuenta de que unirnos al ecosistema BitNinja nos dará acceso al “conocimiento” compartido de decenas de miles de servidores en todo el mundo para que podamos bloquear de forma proactiva el tráfico malicioso incluso antes de llegar a los sitios web de nuestros clientes: un sistema de seguridad distribuido globalmente con aprendizaje automático. Algoritmos para proteger a todos los servidores del tráfico malicioso en todo el mundo: una bella idea hecha realidad por el equipo de BitNinja.

Entonces, ¿qué es exactamente BitNinja?

BitNinja es un conjunto integrado de módulos que protegen a los servidores de varios ataques maliciosos en múltiples protocolos, todo al mismo tiempo. Cada módulo utiliza diferentes técnicas para prevenir y/o detectar un ataque tan pronto como sea posible.

¿Como impacta este cambio en tu servicio?

Dejemos a un lado toda la información técnica. Como cliente de Nodored, debes saber que este nuevo sistema no requiere ningún cambio en tu sitio web y que se implementa desde este momento como un servicio gratuito. Puedes concentrarte en tu sitio web, mientras que el sistema protege tanto tu sitio web como tu cuenta de alojamiento. Además, debes observar una experiencia de alojamiento más estable, reducir el uso de recursos para tu sitio web y relajarte, ya que el sistema no bloquea los robots de búsqueda. A pesar de esta enorme mejora de la seguridad, aún recomendamos que te asegures de que todas tus aplicaciones web, complementos, extensiones y temas estén actualizados para garantizar que tu sitio esté a salvo de vulnerabilidades conocidas.

Como siempre, puedes ponerte en contacto con nuestro equipo de soporte técnico si tienes alguna pregunta sobre el nuevo sistema de seguridad. Si no eres cliente del servicio de Hosting de Nodored y has tenido problemas con sitios web pirateados, echa un vistazo a nuestros planes de hosting, ¡nos encantaría darte la bienvenida!

La estafa de sextorcion que pretende venir de tu propia cuenta de correo electrónico hackeada

La estafa de sextorcion que pretende venir de tu propia cuenta de correo electrónico hackeada

Tiempo Aproximado de Lectura: 2 minutos

Las estafas de extorsión sexual se producen cuando un atacante envía correos electrónicos a personas que indican que su computadora ha sido pirateada y que los atacantes han estado grabando la pantalla y la cámara web mientras el usuario visita sitios de adultos. Los estafadores luego chantajean a los destinatarios indicando que lanzarán los videos si no reciben un pago en bitcoins.

Estas estafas se han vuelto muy rentables, ya que los estafadores ganan más de $ 50K en una semana, y esta nueva variante no es diferente. Según los informes de Daniël Verlaan, esta nueva variante se vio por primera vez dirigida a las víctimas en los Países Bajos, donde los estafadores ganaron 40.000 €.

Ejemplo de un intento de estafa por sextorsion

Spoofing: Técnica de suplantación de identidad

El éxito en este tipo de correos, es que aparentemente el correo llega desde tu misma dirección de correo. Esto se hace mediante una técnica conocida como spoofing, con la cual el atacante hace creer a la víctima que la misma ha sido comprometida y se encuentra en poder del atacante.

¿Que debes hacer?

1. No interactúes con el atacante

Antes de continuar recomendamos no responder los correos de este estilo ni abrir sus adjuntos, y entender que se trata de un engaño; por supuesto, tampoco se debe pagar a los atacantes.

2. Toma el camino de la prevención

Aplica las buenas prácticas en el uso del correo electrónico como cambiar las contraseñas de manera regular, colocar claves seguras, utilizar soluciones de seguridad en los equipos, así como habilitar las opciones de doble autenticación disponibles en los diferentes servicios de Internet.

3. Activa la autenticación en tu correo empresarial

Para mitigar este ataque debes habilitar los registros DKIM y SPF (El SPF debe tener el mecanismo de Fallo Severo o «Hard-Fail»)

DKIM

DKIM permite al servidor verificar el correo electrónico entrante y evitar los mensajes de spam entrantes. Esta característica garantiza que los mensajes entrantes estén sin modificar y sean realmente del remitente indicado.

SPF

El sistema SPF permite autorizar a los servidores y direcciones IP para enviar el correo desde tu dominio. Esta característica ayuda a evitar la suplantación de identidad.

Pasos para habilitar estos registros:

  1. Inicia sesión en cPanel
  2. En la sección Correo electrónico, da clic en «Email Deliverability»
  3. Click en «Administrar» al frente del dominio que deseas gestionar
  4. En DKIM clic en «Activar»
  5. En SPF, da clic en «Activar»
  6. Ve a la sección «Zone Editor» en cPanel.
  7. Busca el registro «SPF»
  8. Cambia «~all» a «-all» para configurar el mecanismo Hard-Fail

Además de eso, es recomendable que SpamAssassin este habilitado en las cuentas para que los registros SPF se puedan procesar con éxito.

Protege tu sitio web de Hackers ¡Gratis!

Protege tu sitio web de Hackers ¡Gratis!

Tiempo Aproximado de Lectura: 1 minuto

A partir de hoy nos hemos asociado con SiteLock, lo que significa que ahora incluimos su paquete Lite de forma gratuita en nuestros planes de hosting (tanto nuevos como existentes a excepción del plan Profesional) .

SiteLock Lite incluye un escáner de malware gratuito para tu sitio web (hasta 5 páginas internas), el cual te notificará de inmediato si detecta malware, lo que significa que puedes actuar con prontitud para mantener tu sitio seguro y tu reputación alta.

Pero si buscas aún más seguridad, puedes actualizar a un plan premium de SiteLock (Find, Fix y Defend), los cuales incluyen funciones más avanzadas, como la eliminación automática de Malware, Firewall de Aplicaciones, CDN, etc.

Acerca de SiteLock

SiteLock es una herramienta de monitoreo de seguridad de sitios web para empresas de todos los tamaños, que proporciona una serie de beneficios y servicios. Algunos de los beneficios clave son el monitoreo de listas negras, la detección de malware, la identificación de vulnerabilidades y la eliminación automática de infecciones.

SiteLock supervisa tus sitios web diariamente para detectar actividades maliciosas y luego lo alerta ante cualquier amenaza potencial. El escaneo de 360 grados de SiteLock usa tecnología liviana para buscar vulnerabilidades en tu código, así como cualquier aplicación obsoleta, sin ralentizar el rendimiento de tu sitio.

Conoce más acerca de SiteLock en este enlace y protege ahora tus activos digitales

¿Tu contraseña se filtró en la violación de datos más grande en la historia?

¿Tu contraseña se filtró en la violación de datos más grande en la historia?

Tiempo Aproximado de Lectura: 2 minutos

Meses atras, una de las mayores colecciones de combinaciones de correo electrónico y contraseña fue publicada en un popular foro de piratería. La descarga contenía aproximadamente 2,7 billones de registros, incluyendo 773 millones de direcciones de correo electrónico únicas y combinaciones de contraseñas. Esta colección presenta muchas violaciones de datos de miles de fuentes diferentes. Es la brecha de datos más grande en la historia.

Detalles de la filtración de datos

  • 1.160.253.228 de combinaciones únicas de direcciones de correo electrónico y contraseñas
  • 772,904,991 direcciones de correo únicas
  • 21,222,975 contraseñas únicas

La noticia se pone peor. Eso fue sólo la Colección # 1. El hacker dice estar vendiendo seis lotes más:


Eso es 1 TB de datos robados, lo que equivaldría a unos 31 mil millones de líneas de correos electrónicos y contraseñas pirateadas.

¿Debes cambiar tu contraseña?

En este punto, probablemente te estés preguntando si debería cambiar tu contraseña. Por suerte, es fácil de comprobar.

La violación fue reportada por primera vez por Troy Hunt, quien creó el servicio de notificación gratuito Have I Been Pwned?. Este sitio le permite a cualquiera ver si su nombre de usuario y/o contraseña han sido comprometidos en una violación de datos.

Visita el sitio web https://haveibeenpwned.com/ en la sección Passwords para ver si tu contraseña aparece en la violación de datos. Si es así, cámbiala por una contraseña segura lo antes posible.

Si te preocupa ingresar tu contraseña en un sitio aleatorio, HIBP es básicamente una función de búsqueda. De acuerdo con su página de privacidad, “la contraseña está oculta en el lado del cliente con el algoritmo SHA-1 y solo los primeros 5 caracteres del hash se envían a HIBP según la implementación la implementación k-anonymity de Cloudflare. HIBP nunca recibe la contraseña original ni suficiente información para descubrir cuál era la contraseña original «.

¡Protege tu dirección de correo electrónico a toda costa!

La clave de tu correo electrónico es probablemente tu contraseña más importante. ¿Por qué? Porque si un hacker ingresa a tu cuenta, puede restablecer cualquier contraseña que esté vinculada a tu cuenta de correo electrónico. Como puedes ver en el gráfico a continuación, creado por Krebs on Security, tu cuenta de correo electrónico a menudo se vincula con la mayoría de tu vida financiera, personal y privada.

Recuerda estos 4 sencillos consejos para crear y mantener una contraseña segura.

  • Crea una contraseña segura: una contraseña segura se genera a partir de una combinación aleatoria de letras mayusculas y minusculas, numeros y simbolos. Mientras mayor es la longitud de la contraseña y su complejidad, menor es el riesgo de ser hackeado. Usa el Password Manager de Nodored para gestionar tus contraseñas de forma segura.
  • Protege tu contraseña: recuerda cambiar tus contraseñas periódicamente, haciendo de tus credenciales un objetivo móvil para cualquier persona que intente acceder a tus datos. Puedes configurar recordatorios automatizados de cambio de contraseña en tu Password Manager.
  • Diversifica tus contraseñas: un estudio reciente afirma que el 60% de las personas usan la misma contraseña en todas partes. Especialmente, asegúrate de usar contraseñas separadas para tus cuentas personales y tus cuentas corporativas de negocios.
  • Autenticación de 2 factores: usa tu contraseña con un segundo factor, como tu teléfono móvil, huella digital o USB. Este paso adicional hace que sea extremadamente difícil que seas víctima de robo de identidad, privacidad y otros delitos informáticos.

¡Protege tus activos digitales!

5 trucos simples para proteger tu WordPress

5 trucos simples para proteger tu WordPress

Tiempo Aproximado de Lectura: 3 minutos

Si está utilizando WordPress como sistema de gestión de contenido para tu sitio web, definitivamente has tomado la decisión correcta. No solo proporciona toneladas de características que pueden mejorar el diseño de tu sitio web, sino que también ofrece excelentes funciones de SEO que pueden generar y aumentar el tráfico web.

Por otro lado, debido a su gran popularidad, WordPress ha atraído la atención de hackers y entidades malintencionadas que intentarán violar la seguridad de tu sitio web para plantar malware y otros programas maliciosos que dañen tu sistema. Afortunadamente, estos ataques se pueden evitar fácilmente siguiendo estos 5 simples trucos:

5 trucos simples para proteger tu sitio de WordPress

Para ayudarte a proteger tu sitio, aquí hay 5 simples trucos que protegerán tu sitio creado con WordPress de los ataques más comunes.

Cambiar el nombre de usuario predeterminado «Admin»

De forma predeterminada, WordPress asigna «admin» como el nombre de usuario durante la instalación y, si continúas utilizando este nombre de usuario predeterminado, estás facilitando que los piratas informáticos accedan a tu sitio. Por lo tanto, para que tu WordPress sea más seguro, necesitas cambiar este nombre de usuario a uno único.

Para cambiar el nombre de usuario predeterminado «admin» puedes crear un nuevo usuario con privilegios de administrador y luego eliminar el que tiene el nombre de usuario «admin».

Limitar el número de intentos de inicio de sesión

Una de las tácticas más comunes utilizadas por los hackers se llama el ataque de fuerza bruta. Este ataque generalmente implica iniciar sesión en tu cuenta mediante el uso de probar varias combinaciones para adivinar tu nombre de usuario y contraseña.

Una excelente manera de evitar este tipo de ataque es limitando el número de intentos de inicio de sesión permitidos para acceder a tu sitio web. Esto se puede hacer fácilmente instalando un complemento de WordPress llamado «Loginizer».

Si eres usuario de nuestro servicio de Hosting WordPress, puedes instalar este plugin en cualquier momento desde tu herramienta WordPress Manager

Manten tu WordPress y plugins actualizados

Mantener actualizado el software de WordPress y los plugins instalados puede ayudar a mantener tu sitio protegido y seguro. La razón detrás de esto es que las nuevas actualizaciones generalmente proporcionan mejoras de seguridad, lo que ayuda a minimizar el riesgo de ataques.

Puedes actualizar WordPress, tus plugins y themes con mucha facilidad desde el Panel de Administración o Dashboard. Ademas, si eres usuario de nuestro servico de Hosting para WordPress, podrás actualizar e incluso automatizar las actualizaciones con muchisima facilidad

Implementar la autenticación de dos factores

Agregar una capa adicional de seguridad para iniciar sesión en tu cuenta es una excelente manera de asegurar tu sitio web. Al implementar la autenticación de dos factores, haces que sea más difícil para los piratas informáticos acceder a tu sitio porque este proceso requiere que los usuarios respondan una pregunta de seguridad adicional o se le solicita un código generado por tu dispositivo móvil además del habitual usuario y la contraseña.

Use una contraseña segura

Puedes pensar que cambiar tu contraseña por una más compleja tiene un impacto mínimo a la hora de proteger tu sitio web. Pero la realidad es que realmente puede ayudar mucho. A veces, las cosas más simples pueden producir el mayor impacto y si cambias tu contraseña a algo que sea más difícil de adivinar, como mezclar números aleatorios con letras minúsculas y mayúsculas, entonces estás dificultando que los hackers accedan a tu sitio; por lo tanto, reduce el riesgo de que tu sitio web de WordPress sea atacado.

Puedes hacer uso de nuestro potente servicio gratuito Password Manager para administrar las claves de todos tus sitios web.