¿Qué es phishing?


En la actualidad existen infinidad de ataques de ciberdelincuentes que se quieren apropiar de nuestros datos personales, contraseñas y/o cuentas bancarias; uno de ellos es el phishing.

Phishing es una técnica que consiste en engañarte para robarte información confidencial, claves de acceso, información personal, entre otras cosas; haciéndote creer que donde proporcionas la información es un sitio de total confianza.

Hasta ahora los hackers utilizan los correos electrónicos para lanzarte este tipo de ataques, pero con el uso intensivo de redes sociales y smartphones con conexión a internet las vías de ataque han aumentado.

¿En qué consiste el phising y cómo funciona?

Independientemente de si se desarrolla por correo electrónico, redes sociales, SMS, llamada telefónica o cualquier otro sistema, todos los ataques de phishing siguen los mismos principios básicos:

  1. El ataque puede realizarse mediante comunicaciones electrónicas, como un correo electrónico, un SMS o una llamada de teléfono. Es una comunicación dirigida con el fin de persuadirte para que hagas clic en el enlace, descargues un archivo adjunto o envíes información, incluso, en ocasiones, para completar un pago.
  2. El atacante se hace pasar por una persona u organización de confianza.
  3. El objetivo es obtener información personal confidencial como credenciales de inicio de sesión o números de tarjeta de crédito.
La mayoría de los emails falsos, SMS, llamadas telefónicas, entre otros;  simulan ser empresas, bancos u organismos públicos, redes sociales o juegos online confiables. En ellos te solicitan que actualices tus datos o confirmes información como un número de cuenta o tarjeta de crédito, normalmente por algún tipo de problema que haya sucedido. En el momento que tu aceptas, te direcciona a una web falsa que simula ser la original.

¿Cómo evitarlo o prevenirlo?

Recuerda que ninguna entidad, ya sea pública o privada, te pedirá tus datos confidenciales vía email, SMS, de manera telefónica o por internet. Para evitar este tipo de fraudes:

  • Nunca entres a sitios web pulsando el hipervínculo incluido en tu correo electrónico. Ya que de forma oculta te podrían dirigir a una web fraudulenta.
  • Aprende a identificar los correos electrónicos sospechosos de ser phishing.
  • Existen algunos aspectos que inequívocamente identifican este tipo de ataques a través de correo electrónico:
      • Utilizan nombres y adoptan la imagen de empresas reales.
      • Llevan como remitente el nombre de la empresa o el de un empleado real de la empresa.
      • Incluyen webs que visualmente son iguales a las de empresas reales.
      • Cómo gancho utilizan regalos o la pérdida de la propia cuenta existente.
  • En caso de tratarse del banco. Tu banco nunca te pedirá que le envíes tus claves o datos personales por correo:
      • Nunca respondas a este tipo de preguntas y si tienes una mínima duda llama directamente a tu banco para aclararlo.
      • Rechaza de forma sistemática cualquier correo electrónico o comunicado que incida en que facilites datos confidenciales.
      • Elimina este tipo de correos y llama a tu entidad bancaria para aclarar cualquier duda.
  • No abras archivos adjuntos de emails desconocidos.
  • Introduce tus datos confidenciales únicamente en sitios web seguros:
      • Las sitios webs seguros empiezan con "https://".
      • Debe aparecer el icono de un pequeño candado cerrado.
      • Verifica el certificado de seguridad.
      • Comprueba la url del sito que te enviaron. Por lo general, suele estar mal escrita o con una terminación diferente, por ejemplo, en vez de .com puede ser .net o similar
  • Refuerza la seguridad de tu equipo de cómputo:
      • Mantén actualizado el navegador y los parches de seguridad.
      • El sentido común y la prudencia es tan indispensable como mantener tu equipo protegido con un buen antivirus que bloquee este tipo de ataques. Además, siempre debes tener actualizado tu sistema operativo y navegadores web.
  • Revisa periódicamente tus cuentas
      • Nunca está de más revisar tus cuentas bancarias de forma periódica, para estar al tanto de cualquier irregularidad en tus transacciones en línea.
  • No sólo la banca en línea vive de phishing
      • La mayor parte de ataques de phishing van contra entidades bancarias, pero en realidad pueden utilizar cualquier otro sitio web popular del momento para robar datos personales, por ejemplo: eBay, Facebook, Pay Pal, etc.
      • El Phishing sabe idiomas, no conoce fronteras y pueden llegarte ataques en cualquier idioma. Por norma general están mal escritos o traducidos, así que este puede ser otro indicador de que algo no esta bien y antes de actuar revisar dos o tres veces
      • Si nunca accedes al sitio web de tu banco en inglés, ¿por qué ahora debe llegarte un comunicado de ellos en este idioma?



Continuación...

El phishing da como resultado el robo de identidades o de dinero, y también es una técnica eficaz para el espionaje industrial y el robo de datos. Algunos hackers llegan incluso a crear perfiles falsos en redes sociales, invierten un tiempo en desarrollar una relación con las posibles víctimas y esperan a que exista confianza para hacer que caigan en la trampa sin sospechas. 


¿Cuáles son los distintos tipos de estafa de phishing?

  • Redes sociales: algunos atacantes pueden forzar a la gente a enviar enlaces maliciosos a sus amigos, al colarse en distintas redes sociales con perfiles falsos y engañando a sus víctimas.
  • Smishing: funciona mediante SMS. Al recibir un mensaje de texto donde se te pide hacer clic en un enlace o descargues una aplicación, ten cuidado. Es posible que descargues en tu teléfono un malware que puede captar tu información personal y enviarla al atacante.
  • Vishing: es la abreviatura de voice pishing. El atacante intenta convencerte por teléfono para que reveles tu información personal que pueda utilizarse más adelante para el robo de identidad.
  • Phishing por medio de sitios web: conocidos como sitios falsificados, son copias falsas de sitios web que conoces y en los que confías. Los hackers crean estos sitios para engañarte de modo que introduzcas tus credenciales de inicio de sesión, que a continuación utilizan para conectarse a tus cuentas. Las ventanas emergentes son otra fuente habitual de phishing por sitio web.

Correo electrónico: la principal vía para phishing

Como lo hemos visto, los mensajes de phishing mas frecuentes son a través del correo electrónico y a continuación te damos ejemplos de los temas más comunes:

  • PROBLEMAS DE FACTURACIÓN: se indica que algo que has comprado en línea recientemente no se puede enviar por un problema en la factura. Al hacer clic, te lleva a una página falsificada donde deberás introducir tus datos financieros.
  • LAS AUTORIDADES VAN POR TI: estos correos electrónicos apelan a que tu los creas y obedezcas las solicitudes de las autoridades. Normalmente son de naturaleza amenazadora y suelen prometer alguna temible penalización si no proporcionas tus datos personales que te solicitan.
  • LAS AUTORIDADES QUIEREN DARTE DINERO: suelen aparecer durante la campaña de la declaración de Hacienda y te ofrecen una devolución si confirma rápidamente tus datos financieros.
  • UNA SÚPLICA DE AYUDA:  los phishers se hacen pasar por tu amigo o familiar y te explican que están en una situación desesperada, por lo que te suplican ayuda económica. Es muy triste, pero estas estafas se perpetran a menudo contra gente mayor y mediante llamadas de vishing.
  • ALERTA DE BANCO: muchas entidades bancarias alertan a sus clientes si detectan cualquier actividad sospechosa o si una cuenta está a punto de quedar en descubierto. Los phishers se aprovechan de estos servicios útiles e intentan convencer a sus objetivos para que «confirmen» los datos de la cuenta bancaria. Información que una institución no te solicita por ningún medio.
  • GANASTE UN GRAN PREMIO: la fortuna ha hecho que sea tú el muy especial ganador de un premio increíble. Lo único que tiene que hacer es introducir sus datos. Si quiere más referencias, vea los casos de las estafas del Mundial  del 2018 celebrado en Rusia.
  • NEGOCIO URGENTE: ya sea con una oferta limitada demasiado buena para ser cierta o con la amenaza de cerrarte la cuenta salvo que actúes de inmediato. Su objetivo es hacerte que reveles información personal lo antes posible.

Un correo electrónico puede ser phishing si:

  1. El correo no está dirigido a ti y utiliza frases genéricas como "Estimado cliente".
  2. Contiene enlaces cortados o con errores. Siempre verifica que las URL´s son legitimas.
  3. Contiene mensajes mal escritos, con faltas de ortografía y errores gramaticales.
  4. Contiene archivos adjuntos y no son de una persona de confianza.
  5. Lo envía una empresa de la cual no eres cliente o no tienes conocimiento de ella.

Last modified: Tuesday, 18 May 2021, 1:15 PM