¿Qué es phishing?

Actualizado el noviembre 4 2017 | Tiempo de lectura: 8 min

¿Qué es PHishing?

El phishing es un tipo de ataque cibernético en el que una persona suplanta una identidad, generalmente de una empresa, y, a través de técnicas de ingeniería social, de manera fraudulenta obtiene información confidencial de los usuarios, como contraseñas o datos bancarios. Por tanto, este término hace referencia al robo de contenido privado con desconocimiento de su propietario y, para combatirlo con efectividad, es recomendable disponer de un programa de antivirus con software específico antiphishing.

Por ejemplo, imaginemos que recibimos un correo electrónico que, supuestamente, es enviado por nuestra entidad financiera. En dicho mensaje nos piden encarecidamente que entremos en el enlace adjunto para verificar nuestra información personal. Detrás de esta supuesta solicitud se esconde una persona que, al entrar en el link e introducir nuestros datos, ya nos habrá robado nuestras credenciales personales. Te recomendamos que eches un vistazo al caso de phishing de Trusted Bank.

El phiser, o cibercriminal que desarrolla una acción como ésta, puede robar al usuario datos personales (dirección de correo electrónico, número del documento de identidad o datos de contacto y localización), contraseñas de acceso a sus redes sociales o cuentas de email e información bancaria (número de las tarjetas de crédito, número de la cuenta o información de comercio online). Dichos datos pueden obtenerse desde distintas plataformas:

  • Correo electrónico: es el método más empleado. Los phisers envían correos masivos no solicitados por los usuarios (spam) haciéndose pasar por una empresa u organismo con la finalidad de obtener ciertos datos privados de la persona. Generalmente, para lograrlo, emplean excusas relacionadas con motivos de seguridad, mantenimiento de la entidad o mejora del servicio. Asimismo, en la mayoría de las ocasiones, el mensaje trae consigo un enlace falso.
  • Redes sociales: se han convertido, en los últimos años, en uno de los lugares preferidos de los cibercriminales para robar información de los usuarios, movidos además los atacantes por el gran éxito que suelen obtener en estas plataformas.
  • SMS/MMS: el usuario recibe un mensaje de texto en su dispositivo móvil en el que se le solicitan datos de carácter personal.
  • Llamadas telefónicas: el emisor de la llamada se hace pasar por el empleado de un organismo, ya sea público o privado, y reclama al receptor información confidencial.
  • Infección de malware (ordenadores y otros dispositivos electrónicos): códigos maliciosos (como virus o spyware), que son capaces de robar datos privados.
  • Ventanas emergentes en sitios web: en algunas de ellas, los phisers también se hacen pasar por falsas compañías para la obtención de información personal del usuario.

Tipos y técnicas de phishing

El phishing, como ya hemos explicado, no es más que un fraude con el que engañar a los usuarios para robar sus datos confidenciales. Pero dentro de esta práctica fraudulenta existen numerosos tipos o modelos. Veamos unos cuantos de ellos:

  • Cartas nigerianas: el usuario recibe un email que ofrece una gran suma de dinero en una divisa extranjera. Para conseguir ese dinero, el phiser reclama la cuenta bancaria, el nombre, el DNI, etc.
  • Hoax: son peticiones de donaciones solidarias aprovechando, por ejemplo, sucesos de actualidad (como terremotos, guerras o catástrofes). Para ello, se demandan los datos bancarios con la finalidad de poder llevar a cabo dicha “donación”.
  • Vishing: la víctima recibe un mensaje en que se pide que llame a un número de teléfono concreto para obtener un regalo u otra información. En la práctica, sin embargo, se estará contactando con falsos centros de atención telefónica que reclamarán datos privados.
  • Mulas: es, en esencia, utilizar al usuario para blanquear el dinero obtenido del phishing. Este último recibe un email que, de manera persuasiva, alerta de la posibilidad de ganar un porcentaje de dinero con, tan sólo, realizar una transferencia económica de una cuenta a otra y quedarse él con una “comisión”.
  • Keyloggers y screenloggers: el phiser emplea este tipo de herramientas para registrar las pulsaciones que el usuario hace sobre las teclas (keys), o capturar imágenes de pantalla (screen), y, de esta manera, conocer sus claves o contraseñas.
  • Malware-based phishing: se refiere a aquel delito que, sirviéndose del phishing, hace que se ejecute un código malicioso o virus en un ordenador.
  • Man-in-the-middle phishing: se produce cuando el ciberdelincuente es capaz de situarse entre el usuario y el servidor para obtener información personal.
  • Smishing SMS: los atacantes suplantan la identidad de alguna compañía o empresa y envían mensajes de texto al teléfono móvil de algún ciudadano, reclamándole a éste datos confidenciales. Los phisers también pueden engañar al incauto usuario diciéndole que ha ganado un premio y que, para obtenerlo, es necesario responder con un código; en caso de que la persona conteste, el delincuente recibe una compensación económica por el envío de dicho SMS… mientras que el infortunado ganador, claro está, se queda sin su premio.
  • Spear phishing: son aquellas campañas que también se realizan por correo electrónico para obtener información confidencial y privada, pero, en este caso, el fraude va dirigido a grupos reducidos y específicos, por lo que no es de carácter masivo.

Funcionamiento del phishing

El primer paso corre a cargo del delincuente, por supuesto, que se encarga de falsificar y suplantar la identidad de una entidad o compañía de confianza para, posteriormente, enviar mensajes de forma masiva a través del correo electrónico (o también por mensajería instantánea). En el interior de dichos mensajes se encuentra, en numerosas ocasiones, un enlace, sobre el que un porcentaje de usuarios, que confía en el remitente, hace clic. Sin embargo, el link dirige a las víctimas, sin que ellas lo sepan, a un falso sitio web y en el cual ingresan sus datos confidenciales, que quedan almacenados en una base de datos a entera disposición de los phisers.

Consecuencias del phishing

Los daños que ocasiona esta práctica informática fraudulenta van desde que la víctima se vea privada del correo electrónico, hasta la pérdida por parte de ésta de los ingresos depositados en un banco. En concreto, los phisers pueden hacerse con el número de una tarjeta de crédito o una cuenta bancaria, a la vez que entran en posesión de las claves secretas de ambas o alguna de las dos, utilizando estos datos para el gasto del dinero del usuario o la creación de falsas cuentas. Asimismo, para las empresas, el phishing se traduce en un destacado consumo de sus recursos, como son la banda ancha o el email, entre otros.

¿Cómo combatir el phishing?

A continuación, os damos algunos consejos para tratar de hacer frente al phishing:

  • No respondas ningún correo electrónico en el que se te solicite información personal.
  • Ten presente que las entidades no suelen pedir contraseñas, credenciales ni números de cuenta a través de este medio.
  • Visita los sitios web introduciendo la URL en la barra del navegador y, por tanto, evita los enlaces de redirección (pueden conducir a websites falsos).
  • No hagas clic en el enlace si se te presenta una mínima duda de su veracidad.
  • Cambia de inmediato tus contraseñas si tienes la sospecha de que has sido víctima de este ataque.

300.000 personas son víctimas de piratas informáticos cada día

¿Estás portegido?

Mejores Antivirus 2019

Protege tu vida digital para poder disfrutar de ella

Mejores VPN 2019

Navega anónimamente y desbloquea contenidos

Mejores Hosting Barato 2019

Crea el sitio web perfecto fácil, seguro y rápido

300.000 personas son víctimas de piratas informáticos cada día

¿Has protegido tu vida digital?