El phishing es una técnica de ciberdelincuencia que utiliza el fraude, el engaño y el timo para manipular a sus víctimas y hacer que revelen información personal confidencial. Por eso es importante entender cómo funciona para poder detectar y bloquear las estafas de phishing y mantener así tus datos a salvo de atacantes.
El término phishing proviene de la palabra inglesa fishing (pesca), haciendo alusión al intento de hacer que los usuarios «piquen en el anzuelo». Estudios de grandes empresas, como Cisco, sitúan el phishing como la segunda técnica más usada en cuanto a ciberataques en el mundo, únicamente por detrás del malware, entre los que se encuentra por ejemplo el Ransomware of Things del que ya te hemos hablado.
¿Tienes fotos, vídeos, reseñas o noticias negativas que esté afectado tu reputación online? Te podemos ayudar a eliminar o desplazar el contenido nocivo, contáctanos sin compromiso.
En este artículo te explicamos en detalle en qué consiste el phishing y cómo puedes evitar ser perjudicado por estos delincuentes.
¿Qué es el Phishing?
El término phishing se utiliza para hacer referencia a uno de los métodos más utilizados por delincuentes cibernéticos para estafar y obtener información confidencial de forma fraudulenta, como puede ser una contraseña o información detallada sobre tarjetas de crédito u otro tipo de información bancaria de la víctima.
El estafador, conocido como phisher, utiliza técnicas de ingeniería social haciéndose pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica. Generalmente es a través de un correo electrónico o algún sistema de mensajería instantánea, redes sociales, SMS/MMS, un malware o incluso utilizando también llamadas telefónicas.
En definitiva, el phishing se refiere al envío de correos electrónicos que tienen la apariencia de proceder de fuentes de confianza (como bancos, compañías de energía, etc.), pero que en realidad pretenden manipular al receptor para robar información confidencial. Por eso siempre es recomendable acceder a las páginas web escribiendo la dirección directamente en el navegador.
Tipos de Phishing
Los tipos de phishing van desde el clásico phishing por correo electrónico hasta formas más ingeniosas, como llamar haciéndose pasar por el departamento de telemarketing de una gran compañía. Todos utilizan el mismo objetivo que es robar la información del usuario.
Veamos los distintos tipos de phishing que hay y cuáles son los más comunes.
Deceptive phishing
Es de los más comunes. «Deceptive» significa engañoso.
Un hacker envía al usuario un mensaje de correo electrónico haciéndose pasar por una persona, empresa o entidad. Solicita algún tipo de información personal o contiene un enlace malicioso que envía al usuario a una página web fraudulenta donde se le solicitan los datos de inicio de sesión.
Si es un ataque bien preparado, suele llevar el logo de la empresa, usar una tipografía similar o el nombre de la web a la que te redirecciona es bastante parecido a la página web real, aunque no es el mismo. Utilizando cualquier excusa, solicita al usuario que introduzca información personal sensible que, posteriormente, es capturada por el atacante.
Phishing basado en malware
En este caso, el usuario recibe un mail que suplanta la identidad de una marca incluyendo además como documento adjunto un archivo que es malicioso y que, una vez abierto, infecta el dispositivo de la víctima.
Una forma habitual de este phishing basado en malware es, por ejemplo, el de una supuesta empresa de servicio que adjunta tu última factura en formato PDF para que la descargues. Una vez abierto, infecta el equipo.
Spear phishing
El spear phishing es una estafa de correo electrónico dirigida a un individuo, una organización o un negocio determinados. Aunque a menudo está destinada a robar datos con fines maliciosos, los cibercriminales también pueden intentar instalar malware en el ordenador de un usuario específico.
Así es cómo funciona: llega un correo electrónico aparentemente procedente de una fuente de confianza, pero que dirige al destinatario a un sitio web falso, lleno de malware, sin que este lo sepa. Este tipo de correos suelen utilizar tácticas inteligentes para atraer la atención de las víctimas.
Whaling
En el caso del whaling, se trata de un tipo de phishing mucho más dirigido y específico que el spear phishing, ya que va tras los peces grandes. Estos ataques están pensados para los CEO, CFO o cualquier directivo en la empresa en concreto.
Un correo de whaling puede informar de que la empresa va a ser demandada y que tiene que hacer clic en el enlace para obtener más información. Entonces, el enlace los lleva a una página donde tienen que introducir toda la información importante sobre la empresa, como el número de identificación fiscal o el de la cuenta bancaria.
Smishing
El smishing es un ataque que utiliza los mensajes de texto para captar tu atención. Un mensaje que llega a tu teléfono y contiene un enlace en el que pulsar o un número de teléfono para llamar podría ser un ataque de smishing.
Un escenario similar es el que se ha utilizado varias veces enviando un sms que parece que viene del banco y te dice que tu cuenta se ha visto comprometida y que necesitas llamar o responder de inmediato. Es entonces cuando el atacante te pide que verifiques su número de cuenta, el número de la seguridad social, etc. Y así, como de la nada, el atacante ya tiene el control sobre tu cuenta bancaria.
Vishing
La palabra mezcla los términos voice (voz) y phishing. No es un tipo tan común porque requiere de gran elaboración para conseguir su cometido.
Este tipo de ataques utilizan ingeniería social para engañar a las víctimas a través de llamadas telefónicas. El atacante se hace pasar por un trabajador, técnico u organización y, bajo este pretexto, intenta que la víctima le facilite datos personales o bancarios o realice alguna aportación económica.
Al igual que en el phishing, el gancho del vishing puede ser muy distinto en cada ocasión: participar en un sorteo, recoger un cheque regalo o recibir soporte técnico.
SEO phishing
Usando las técnicas del posicionamiento SEO en los buscadores, los atacantes consiguen que una página engañosa se sitúe de entre las más importantes de un buscador, como Google o como Bing.
Así, si por ejemplo un usuario busca información de su banco, el objetivo es que esta web aparezca de entre los primeros resultados y la persona piense que está efectivamente entrando en la web de su banco o para realizar compras. Al realizar las compras o acceder con credenciales, estará dando información muy importante que el atacante puede robar.
¿Cómo reconocer un mensaje de Phishing?
- En general, es extremadamente raro que las empresas – ya sea banca, telecomunicaciones, energía, etc. – pidan datos personales vía correo electrónico. Si esto sucediese y te llegase un correo en el que se te piden este tipo de datos, desconfía.
- No siempre es sencillo reconocer los mensajes de phishing por su apariencia. Sin embargo, reproducir de forma fidedigna el formato y estilo de una empresa, requiere de un tiempo y un esfuerzo que normalmente los delincuentes no están dispuestos a dedicar. Los errores, incoherencias o faltas de ortografía, son un indicio claro. Importante también que te fijes en la dirección del remitente.
- Sé cuidadoso en las operaciones desde tu teléfono móvil. La creciente popularidad y uso de los teléfonos inteligentes ha hecho que muchos usuarios realicen muchas de sus gestiones en el móvil. Los delincuentes lo saben y tratan de aprovecharse de la pérdida de claridad derivada de pantallas más pequeñas y de menores medidas de seguridad.
¿Cómo evitar el Phishing?
- Aprende a identificar claramente los correos electrónicos sospechosos de ser phishing. Como te decíamos, existen algunos aspectos que de forma inequívoca identifican este tipo de ataques a través de correo electrónico, como son: el uso de nombres e imágenes de empresas reales; llevan como remitente el nombre de la empresa o el de un empleado real de esta; incluyen webs que visualmente son iguales o muy parecidas a las empresas reales; y a veces, como gancho, utilizan regalos o la pérdida de la propia cuenta existente.
- Verifica la fuente de información de tus correos entrantes. Tu banco nunca te pedirá que le envíes tus datos personales o tus claves de acceso por correo. Nunca respondas a este tipo de preguntas y, si tienes una mínima duda, llama directamente a tu banco para aclararlo.
- Nunca entres en la web de tu banco pulsando en links incluidos en correos electrónicos, ya que de forma oculta te podrían dirigir a una web fraudulenta.
- Refuerza la seguridad de tu ordenador. Es indispensable mantener tu equipo protegido con un buen antivirus que bloquee este tipo de ataques. Además, siempre debes tener actualizado tu sistema operativo e intentar utilizar los navegadores web más seguros.
- Introduce tus datos confidenciales únicamente en webs seguras. Las webs seguras han de empezar por «https://» y debe aparecer en tu navegador el icono de un pequeño candado cerrado.
- Revisa periódicamente tus cuentas. Nunca está de más revisar tus cuentas bancarias de forma periódica para estar al día de cualquier irregularidad en tus transacciones online.
- El phishing no solo ataca a la banca online. Aunque la mayor parte de ataques de phishing van contra entidades bancarias, la realidad es que pueden utilizar cualquier otra web popular como gancho para robar datos personales, como puede ser Facebook, PayPal, etc.
- El phishing no conoce fronteras. Es decir, pueden llegarte ataques en cualquier idioma. Por norma general, están mal escritos o traducidos, lo que puede ser otro indicador que te haga desconfiar. No tiene sentido que por ejemplo, si nunca entras a la web en inglés de tu banco, te llegue un comunicado por su parte en este idioma.
- Ante la mínima duda, sé prudente y no te arriesgues. La mejor forma de acertar es rechazar siempre y de forma sistemática cualquier correo electrónico o comunicado que insista en que facilites datos confidenciales. Elimina este tipo de correos y llama a tu entidad bancaria para aclarar cualquier duda.
- Infórmate periódicamente sobre la evolución del malware para estar al día y que no te pille desprevenido.
Si quieres evitar ser víctima de un ataque de phishing, ciberacoso, virus o cualquier otra técnica de algún pirata informático que busca atacar tu privacidad y la de los tuyos, pon en práctica las recomendaciones que te damos aquí para que puedas navegar por Internet sin miedo ni preocupaciones.
Si necesitas que te ayudemos o aclaremos alguna duda que te haya quedado después de leer el artículo, déjanos tu comentario y te contestaremos lo antes posible.