¿Qué es el Phishing?
Phishing es uno de los ciberriesgos más comunes en la actualidad. Descubre en qué consiste, cómo funciona y cómo prevenirlo.
El termino Phishing, también conocido como suplantación de identidad, es un termino informático que define los actos de abuso informáticos. Es una técnica de ingeniería social utilizada para obtener información confidencial. Consiste en los métodos que utilizan los delincuentes cibernéticos para obtener y robar información de forma fraudulenta como lo pueden ser contraseñas, nombres de usuario, números de tarjetas de crédito, información bancaria de las víctimas…
El término es derivado del inglés y combina la palabra “fishing” (pescando) con el “ph”, la manera en que los hackers sustituyen la letra f. Hace alusión a que el atacante “está pescando a una víctima” para robar su información.
La persona que practica el phishing se le denomina phisher. Los ataques de phishing, como ya hemos dicho, son mensajes fraudulentos que simulan proceder de sitios web legítimos. Normalmente se hacen pasar por una persona o empresa de confianza y se ponen en contacto con la víctima a través de una aparente comunicación oficial electrónica. También lo pueden hacer mediante el correo electrónico, sistemas de mensajería instantáneas, redes sociales, malwares…
De dónde procede el phishing
Normalmente los mensajes de phishing fingen provenir de organizaciones o sitios legítimos como lo puede ser PayPal, UPS, una agencia gubernamental o su propio banco. Las técnicas utilizadas para el fraude hacen que el engaño parezca real, pero sin embargo, todo son imitaciones.
Los delincuentes cibernéticos acostumbran a enviar correos electrónicos donde se solicita de forma cordial y amable que actualices, valides o confirmes la información de una cuenta, afirmando que ha habido algún error o que requiere actualizaciones. Al acceder se habré otra página web (página web duplicada para hacer creer al visitante que se encuentra en el sitio web original) donde se acostumbra a pedir información sobre la cuenta, lo que puede provocar el robo de la identidad e información confidencial.
Para evitar fraudes y robos se recomienda sospechar de aquellos correos electrónicos que soliciten información confidencial de forma urgente.
Excusas más utilizadas para estafar a las víctimas
- Cambios en la normativa del banco, servicio, páginas web…
- Cierre incorrecto de la sesión del usuario
- Mejoras de seguridad
- Bloqueos de tus cuentas por motivos de seguridad
- Actualizaciones
Tipos de Phishing
- Phishing tradicional: vinculado a la copia de un sitio conocido por la víctima, en la cual, se cambia la dirección a donde llegan los datos que te hacen ingresar. El ciberdelincuente roba información confidencial. Esta ligado a un solo sitio web en el cual se alojan todos los contenidos del portal falso.
- Phishing redirector: se realiza en campañas masivas. Utiliza dos o más sitios o dominios para realizar la estafa.
- Smishing (SMS): este tipo de phishing está vinculado con el uso de otro canal digital como lo son los teléfonos móviles. Se realiza el fraude a través de SMS o Whatsapp. El delincuente se hace pasar por marcas de ropa, supermercados, agencias ofreciendo vales y descuentos.
- Vishing: se realiza el fraude por medio de llamadas telefónicas. Supuestas y encubiertas operadoras de telefonías móviles o agentes bancarios o vendedores llaman para que realices encuestas donde se te pide información de tus datos bancarios.
- Spear phishing: es una ciberamenaza dirigida a personas o grupos reducidos, como empresas o organizaciones. Acostumbran a ser campañas personificadas y con un porcentaje mayor de victimas. En este caso, la comunicación que reciben las víctimas llega personalizada. Por lo tanto, los delincuentes obtienen información antes de enviar la comunicación.
- Whaling: phishing dirigido a individuos específicos y planeados, normalmente altos ejecutivos o personas con perfiles públicos relevantes.
Consejos para evitar y prevenir el Phishing
- No abrir o responder correos sospechosos
- Verificar la fuente de información de los correos que nos llegan. Los bancos nunca te pedirán que les envíes tus claves o datos personales por correo.
- Nunca entres en la web de tu banco pulsando en links incluidos en correos electrónicos
- Evita el SPAM
- No respondas a solicitudes de información que lleguen por e-mail
- No proporciones información confidencial a nadie por teléfono, en persona o a través del correo electrónico
- Compruebe la URL del sitio (dirección web)
- Usa antivirus
- Mantén actualizado tu navegador y aplica los parches de seguridad
- No compartas información personal o confidencial
- No hagas click en ligas o sofwtares desconocidos
- Introduce tus datos confidenciales únicamente en webs seguras
- Los mensajes de correo electrónico de Phishing no suelen estar personalizados, mientras que los mensajes de las entidades de las que somos clientes sí suelen estarlo.
- Revisa periódicamente tus cuentas
- Evitar rellenar formularios en correos que te soliciten información financiera personal
Para saber más sobre seguridad informática, visite la escuela de informática en Barcelona