El phishing es una estafa en internet que consiste en obtener los datos privados de los usuarios para tratar de acceder a sus cuentas, tarjetas de crédito o datos bancarios. Los ciberdelicuentes envían mensajes o correos electrónicos que tienen la apariencia de proceder de fuentes de confianza (bancos, compañías de energía,…) y que en realidad pretenden manipular al receptor para robar información confidencial. Te explicamos cómo funciona el phishing y cuáles son sus diferentes tipos.
CONTENIDOS
Cómo funciona el phishing
Tipos de ataques de phishing
1. Spear phishing
2. Phishing de clonación
3. Estafas nigerianas
4. Phishing telefónico
Aprende cómo funciona el phishing, para protegerte de él
Consejos para protegerse del phishing
A diferencia de otros tipos de amenazas en Internet, el phishing no requiere conocimientos técnicos especialmente sofisticados. Según los expertos, es la forma más sencilla de ciberataque y, al tiempo, la más peligrosa y efectiva. Eso se debe a que no ataca al ordenador, sino a la mente humana. ¿Para qué perder el tiempo tratando de burlar capas de seguridad cuando simplemente se puede engañar a una persona? En la mayoría de los casos, el eslabón más débil en un sistema de seguridad no es un fallo oculto en el código informático, sino una persona que no comprueba la procedencia de un correo electrónico.
Cómo funciona el phishing
En el phishing la táctica más común es que la víctima reciba un correo electrónico o un SMS que suplanta a una persona o a una organización de confianza. Cuando la víctima abre el correo electrónico, encuentra un mensaje pensado para asustarle, intentando debilitar su buen juicio e infundirle miedo. El mensaje exige que la víctima vaya a un sitio web de inmediato o tendrá que afrontar alguna consecuencia.
Si un usuario pica el anzuelo y hace clic en el enlace, se le envía a un sitio web que es una imitación de una web legítima. A partir de ahí, se le pide que se registre con sus credenciales de nombre de usuario y contraseña. Si es lo suficientemente ingenuo y lo hace, la información de inicio de sesión llega al atacante, que la utiliza para robar identidades, saquear cuentas bancarias y vender información personal en el mercado negro.
Tipos de ataques de phishing
A pesar de que existen muchas variedades, el denominador común a todos los ataques de phishing es el uso de un pretexto fraudulento para adquirir datos valiosos. Algunos de los ataques más corrientes son:
1. Spear phishing
Mientras que la mayoría de campañas de phishing envían correos electrónicos masivos al mayor número de personas posibles, el ataque del spear phishing está dirigido a una persona u organización concreta usando un contenido personalizado. Los hackers buscan en internet información profesional sobre la víctima para hacer un correo electrónico que sea creíble.
Por ejemplo, un estafador podría crear un ataque de spear phishing a un empleado cuyas responsabilidades incluyen la capacidad de autorizar pagos. El correo electrónico aparenta proceder de un ejecutivo de su empresa, que le exige que envíe un pago sustancial a un nuevo proveedor, cuando en realidad el enlace del pago malicioso se envía al atacante.
El spear phishing es una amenaza crítica para empresas y gobiernos, que tiene como consecuencia la pérdida anual de grandes cantidades de dinero. Según algunas empresas estadounidenses, el coste medio de los ataques de spear phishing ha sido de 1,8 millones de dólares por incidente.
2. Phishing de clonación
En este tipo de ataque, los ciberdelincuentes hacen una copia o clonan, correos electrónicos legítimos que se han enviado ya anteriormente y que contienen un enlace o un archivo adjunto. Luego se sustituyen los enlaces o archivos adjuntos con contenido malicioso que pasa por ser autentico. Los usuarios desprevenidos, hacen clic en el enlace o abren el documento adjunto, que a menudo permite tomar el control del sistema. Más tarde, el autor del phishing puede falsificar la identidad de la victima para hacerse pasar por un remitente de confianza ante otras víctimas de la misma organización.
3. Estafas nigerianas
Un extenso correo electrónico de phishing de alguien que afirmaba ser un príncipe nigeriano es una de las estafas más antiguas de internet. El phishing nigeriano procede de una persona que afirma ser un funcionario del gobierno o miembro de una familia real que necesita ayuda para transferir millones de dólares desde Nigeria. El correo electrónico se marca como urgente o privado, solicitando al destinatario que proporcione un número de cuenta bancaria que permita remitir los fondos a un lugar seguro.
Hoy día, la estafa que dio nombre al sistema es bien conocida, pero hay muchas variantes de este tipo de fraude.
4. Phishing telefónico
Con los intentos de phishing a través del teléfono (phishing de voz o “vishing”), el ciberdelicunete llama afirmando representar a su banco local, a la policía o incluso a veces a la Agencia Tributaria. A continuación, asustan a la víctima con algún tipo de problema y le insisten en que lo solucione inmediatamente facilitando la información de su cuenta bancaria o las tarjetas de prepago, que son imposibles de rastrear.
El phishing vía SMS o “smishing”, es el gemelo malvado del “vishing”, ya que realiza el mismo tipo de estafa por medio de un mensaje de texto SMS.
Aprende cómo funciona el phishing, para protegerte de él
Aunque no hay fórmulas infalibles, algunas recomendaciones nos pueden ayudar a detectar cuando estamos frente a un ataque de phishing.
En primer lugar, es raro que una empresa, ya sea de banca, de energía, de telecomunicaciones o de cualquier otro tipo, nos vaya a pedir que le enviemos datos confidenciales vía correo electrónico. El mero hecho de ver algo así, debería ponernos inmediatamente en guardia.
Aunque no siempre son fáciles de reconocer los mensajes de phishing en su apariencia, si nos mantenemos un poco atentos serán más sencillos de detectar de lo que nos parece. Reproducir de manera fidedigna el formato de una empresa requiere un tiempo y un esfuerzo que los criminales no suelen estar dispuestos a invertir. Los errores, incoherencias o faltas de ortografía son un indicio claro. Hay que fijarse también en la dirección del remitente real. Por último, hay que ser precavido con las operaciones desde el Smartphone. La creciente popularidad de los teléfonos inteligentes, hace que muchos usuarios realicen multitud de gestiones desde su móvil. Los criminales lo saben y tratan de aprovecharse de la pérdida de claridad derivada de pantallas más pequeñas y de que en el Smartphone es posible que existan menores medidas de seguridad.
Consejos para protegerse del phishing
Ahora que ya sabes cómo funciona el phishing, estas son algunas recomendaciones que pueden ayudarte a evitar este tipo de ataque en el correo electrónico:
- No hagas clic en ningún enlace después de leer un email desconocido. Antes, realiza las verificaciones pertinentes acudiendo directamente a la “url “del navegador.
- Mejora la seguridad del ordenador. Siempre hay que tener el equipo protegido y tener al día las actualizaciones más recientes del sistema operativo y del navegador web.
- Lo ideal es que cuentes con una capa adicional de seguridad gracias a un antivirus profesional.
- Introduce tus datos confidenciales solo en sitios web seguros. Para que un sitio web se pueda considerar seguro, lo primero que se necesita es que empiece por “https://”, lo cual implica que sigue el protocolo de transferencia de hipertexto. También es útil que el navegador muestre el icono de un candado cerrado.
- Revisa periódicamente tus cuentas. Nunca está de más revisar facturas y cuentas bancarias cada cierto tiempo, para estar al tanto de cualquier irregularidad en las transacciones.
- Ante cualquier duda, no te arriesgues. El mejor consejo ante el phishing es fomentar la prudencia en todas las personas de la organización o de la empresa. Asegurar la autenticidad del contenido, ante la más mínima sospecha, es la mejor política.