¿Qué es Phishing?
El phishing es un ataque de ingeniería social en el que un adversario envía comunicaciones fraudulentas —normalmente correo electrónico, SMS o mensajes instantáneos— que suplantan a una entidad de confianza para engañar a los destinatarios y hacer que revelen información sensible, hagan clic en enlaces maliciosos o instalen malware.
También conocido como: spear phishing, credential phishing
El phishing sigue siendo el vector de ataque inicial más habitual en las brechas de datos. Las campañas de phishing básicas lanzan una red amplia con mensajes genéricos, mientras que el spear phishing se dirige a personas concretas utilizando datos personales u organizativos para aumentar su credibilidad. El phishing de credenciales tiene como objetivo específico capturar nombres de usuario y contraseñas dirigiendo a las víctimas a réplicas convincentes de páginas de inicio de sesión legítimas.
La eficacia del phishing proviene de explotar la psicología humana más que las vulnerabilidades técnicas. Los atacantes generan urgencia («tu cuenta será bloqueada»), autoridad («mensaje de tu director ejecutivo») o curiosidad («consulta la factura adjunta») para eludir la evaluación racional. Incluso los usuarios conscientes de la seguridad pueden caer en campañas bien elaboradas, sobre todo cuando se combinan con cuentas de correo comprometidas o dominios que imitan a los legítimos.
Las defensas son por capas: el filtrado de correo y el análisis de enlaces detectan las campañas masivas, la autenticación multifactor limita el daño de las credenciales robadas y la formación en concienciación sobre seguridad ayuda a los usuarios a identificar mensajes sospechosos. Para la compartición de datos sensibles, eliminar las credenciales persistentes de los canales de comunicación —usando enlaces efímeros y autodestructivos en lugar de pegar secretos en correos— reduce significativamente lo que un atacante puede capturar de una bandeja de entrada comprometida.
Cómo usa Vaulted Phishing
Vaulted reduce el riesgo de phishing al mantener los datos sensibles completamente fuera de los correos electrónicos y los mensajes de chat. En lugar de pegar una contraseña o una clave de API en un mensaje que podría capturarse desde una bandeja de entrada comprometida, los usuarios comparten un enlace de Vaulted que se autodestruye tras un número determinado de visualizaciones. Aunque un atacante de phishing acceda al correo de alguien, los enlaces de Vaulted caducados no le aportan nada: los secretos ya han desaparecido del servidor. Combinado con la protección opcional con frase de contraseña, esto garantiza que los enlaces interceptados por sí solos sean insuficientes para acceder al secreto compartido.