Categorías
Informática Tecnología

Qué es el phishing y cómo evitarlo

Phishing-que-esEl phishing consiste en el acto de engañar a los usuarios para que proporcionen información personal (generalmente información financiera) mediante una forma de comunicación, como puede ser un SMS o un email.

Una estafa de phishing implica, por norma general, convencer a la víctima de que la forma de comunicación que se está utilizando es un mensaje legítimo de una empresa u órgano gubernamental de confianza.

Según la empresa de seguridad Malwarebytes, la palabra “phishing” alude al uso de mensajes fraudulentos diseñados para atraer y convencer a estas víctimas de que proporcionen su información personal a los estafadores.

El término “phishing” hace alusión al verbo “fishing” que significa “pescar” en inglés. En este caso, el mensaje que contiene la estafa sería el anzuelo y las personas que son víctimas de la estafa los peces que los estafadores están intentando pescar.

Sin embargo, las estafas de phishing no siempre tienen por qué ser vía correo electrónico, sino que estos mensajes fraudulentos pueden aparecer como diferentes tipos de comunicaciones, como mensajes de texto o de voz.

Tipos de estafas de phishing

Como hemos mencionado anteriormente, las estafas de phishing no solo se manifiestan en forma de correos electrónicos. Los estafadores emplean variantes para suplantar identidades y utilizan diferentes vías de comunicación para incitar a las personas a que revelen su información personal.

Estos son algunos de los diferentes tipos de phishing que existen.

Phishing por correo electrónico

Probablemente, el phishing por correo electrónico sea el tipo de phishing con el que más familiarizado estás.

Los correos electrónicos de phishing están diseñados para parecerse a mensajes de organizaciones legítimas tales como bancos u organismos gubernamentales.

Estos emails pueden solicitarnos que proporcionemos información personal a través de un enlace a un sitio web falso. Esta dirección la utilizan para que intentemos acceder con nuestros datos y así obtener nuestro nombre de usuario y contraseña.

Smishing

El smishing es una forma de phishing que emplea mensajes de texto o SMS. Al igual que con los correos electrónicos de phishing, las técnicas de smishing nos pedirán que hagamos clic en un enlace para llevarnos a una web falsa en la que nos pedirán nuestra información personal.

Vishing

El vishing, también conocido como phishing de voz, es aquel que se produce a través de mensajes de audio y llamadas telefónicas.

Básicamente consiste en una estafa telefónica que intenta engañar o asustar a sus víctimas para que proporcionen información personal por teléfono. Dicha información personal robada puede llegar a usarse para suplantar la identidad de la víctima y hacer cosas como dar de alta nuevas tarjetas de crédito falsas.

¿Cómo funcionan las estafas de phishing?

La clave para llevar a cabo una estafa de phishing consiste en crear una réplica de un sitio web seguro que, genere la suficiente confianza para que la mayoría de las personas puedan acabar confiando en él.

En los emails de phishing clásicos cada link que está incluido en el cuerpo del mensaje suele dirigir a la web real (a la que se está suplantando). Sin embargo, uno de ellos, tan solo uno de ellos no lo hace, aquel que te incita a introducir tu nombre de usuario y contraseña para enviarlo a los estafadores.

Este enlace intenta parecerse lo máximo posible al original para parecer legítimo y hacernos caer en la trampa. Por ejemplo, en lugar de paypal.com pueden aparecer URL como pyapal.com o paypal.security.reset.com.

Sin embargo, no todas las páginas de phishing están bien hechas (lo cierto es que hay mucho chapuza por ahí). Y es que nos encontramos con que algunas utilizan colores diferentes a los originales, otras tienen URL completamente irreconocibles o que saltan a la vista como admin.dentistry.com/forms, o X8el87.journal.com, etc. Sin embargo, incluso estas web son capaces de engañar a los internautas más incautos.

Al introducir tu usuario y contraseña en una web de phishing los propietarios de esa web falsa consiguen acceso inmediato y absoluto a tu cuenta. Y, como están utilizando credenciales reales para acceder, a ojos de cualquiera parecerá que te has identificado con normalidad. Solo te darás cuenta de que has sido estafado cuando veas tu cuenta del banco a 0 o cuando tus amigos te digan que están recibiendo spam desde tu dirección de correo.

¿Cómo reconocer una estafa de phishing?

Los estafadores de internet utilizan generalmente el correo electrónico o los mensajes de texto para intentar engañarnos y así proporcionarles nuestra información personal. Gracias al phishing, estos estafadores pueden robar información tan comprometedora como contraseñas, números de cuentas bancaria, etc.

Para ello, los estafadores que usan técnicas de phishing lanzan miles de ataques todos los días y, por desgracia, suelen tener éxito. Además, estas técnicas están en constante evolución, por lo que cada poco tiempo actualizan sus métodos de phishing para así lograr sus maliciosos objetivos.

Los correos electrónicos y los mensajes de texto de phishing pueden parecer de una empresa que conoces o en la que confías, como un banco, una compañía de tarjetas de crédito, una red social o web de e-commerce que tenga pagos en línea.

Lo más común es que estos mensajes de texto o correos electrónicos que utilizan técnicas de phishing es que vengan acompañados de una historia para engañarnos y empujarnos a hacer clic sobre los enlaces que los acompañan o abrir un archivo adjunto. Los emails de phishing más comunes son los siguientes:

  • Se ha notado una actividad sospechosa o intento de inicio de sesión.
  • Hay un problema con tu cuenta o tu información de pago.
  • Se debe confirmar cierta información personal.
  • Incluyen una factura falsa.
  • Quieren que hagamos clic en un enlace para finalizar un pago.
  • Nos dicen que hemos sido elegidos para que nos devuelvan un dinero.
  • Ofrecen un cupón para obtener descuentos o cosas gratis.

Veamos un ejemplo concreto de un email de phishing.

ejemplo de un email de phishing

Imagina que te encuentras este email en tu bandeja de entrada. ¿Sabrías reconocer si es una estafa? Echémosle un vistazo a su contenido:

  • El email parece provenir de una compañía que conoces y que te inspira confianza: Netflix. Incluso utiliza el logo de Netflix y su cabecera.
  • El contenido del email dice que tu cuenta ha sido bloqueada debido a un problema con el pago.
  • El email tiene un saludo genérico “Hi Dear”. Si tú tienes una cuenta en cualquier empresa, lo más normal es que en sus emails se dirijan directamente a ti por tu nombre o apellido y prescindan de saludos genéricos que generan desconfianza.
  • El email te incita a hacer clic en un link para actualizar tus datos de pago.

Pues bien, aunque a simple vista este email pueda parecer real, no lo es y los estafadores que envían este tipo de email poco o nada tienen que ver con las empresas a las que hacen referencia.

Los emails de phishing pueden llegar a tener consecuencias reales y muy negativas para aquellos que pican y acaban dando su información a estos estafadores, además de que dañan la reputación de las empresas cuya identidad están suplantando.

¿Cómo protegerse te los ataques de phishing?

Los proveedores de correo electrónico como Gmail o Hotmail cuentan con filtros anti phishing para intentar alejar a los estafadores de nuestras bandejas de entrada. Sin embargo, estos estafadores están continuamente ideando nuevas técnicas y tácticas para saltarse esos filtros y colarnos alguno de sus emails, por lo que no es mala idea añadir algunas capas de seguridad extra.

Aquí te dejamos cuatro cosas que puedes hacer ahora mismo para evitar ataques de phishing.

Protege tu ordenador utilizando software de seguridad. Si no tienes conocimientos técnicos de experto te recomendamos además que configures las actualizaciones automáticas de los software de protección.

Protege tu smartphone configurando la actualización automática de las aplicaciones. Estas actualizaciones proporcionan un extra de protección contra las intenciones maliciosas de los estafadores que utilizan técnicas de phishing.

Protege todas tus cuentas utilizando autenticación múltiple. Algunos proveedores ofrecen interesantes opciones de seguridad extra al requerir dos o más credenciales para poder acceder a tus cuentas. A esto se le llama autenticación multifactor y existen dos categorías en cuanto al tipo de credenciales adicionales que necesitas para poder identificarte:

  • Algo que está en tu poder: como un código temporal que recibes al momento vía SMS o vía app.
  • Algo que tú eres: datos biométricos como el escaneo de tu huella dactilar, tu retina o tu cara.

Esta autenticación multifactor les pone las cosas un poco más difíciles a los estafadores a la hora de acceder a tus cuentas si consiguen tu información de usuario y contraseña.

Protege tus datos haciendo una copia de seguridad y asegúrate de que esos datos no están conectados a la red de tu hogar. Por ejemplo, puedes copiar los datos de tu PC a un disco duro externo o subirlos a la nube. Del mismo modo, puedes hacer copias de seguridad de los datos de tu smartphone para mantenerlos lejos del alcance de los estafadores.

Qué hacer si sospechas que has sido víctima de un ataque de phishing

Si recibes un email o un mensaje de texto que te incita a hacer clic en un enlace o a abrir un documento adjunto, intenta dar respuesta a la siguiente pregunta: ¿Tengo una cuenta en la compañía que se está intentando poner en contacto conmigo?

Si la respuesta es “No”, claramente podría ser un intento de estafa por phishing. Revisa las indicaciones anteriores sobre cómo reconocer una estafa de phishing y elimina el mensaje.

Si la respuesta es “Sí”, a continuación, veremos una serie de buenas prácticas que nos ayudarán a identificar estafas de phishing.

Aléjate de webs sospechosas

Existen muchas páginas falsas que están tan pobremente implementadas que no convencerían a nadie de que se tratan de una web legítima y de confianza.

Si crees que estás frente a una de ellas prueba a pulsar Ctrl + F5 para actualizar la página correctamente. Si al cargar de nuevo ves cosas extrañas como que la URL cambia o que la composición de la imagen es diferente o está descuadrada, aléjate de ahí.

Comprueba también si notas algo raro en el encabezado de la página. Si el formato es extraño y se va volviendo cada vez más raro conforme cambias de navegador o minimizas la ventana y ocurren cosas como que los campos para introducir los datos no se cargan donde deberían, lo más probable es que estés frente a un intento de estafa por phishing.

webs sospechosas pishing

A la hora de crear una página para phishing la verosimilitud es esencial. La mayoría de ellas utilizan servicios de hosting gratuitos que dejan un banner del servidor en la parte superior o incluyen su nombre en la URL. Por eso es tan importante comprobar que la URL proviene de un servidor legítimo. ¿Quién podría creer que Facebook utiliza el dominio 000webhostapp.com?

Facebook utiliza el dominio 000webhostapp

Busca el candado

El sistema de comunicaciones HyperText Transfer Protocol, que reconocerás por sus siglas HTTP se ha utilizado desde los albores de internet y a lo largo y ancho de toda la web.

Sin embargo, el protocolo HTTP no es seguro porque en sus inicios nadie se imaginaba que pudiera utilizarse para hacer el mal.

Sin embargo, con el avance de internet las malas intenciones acabaron llegando a la red y por eso las webs se han ido adaptando a un nuevo protocolo, más seguro que el anterior, el protocolo HTTPS.

Para identificar las páginas que utilizan este protocolo y que, por lo tanto, son más seguras, tan solo debes observar en la parte superior de tu navegador. Este mostrará un candado junto a la URL que te indicará que el sitio es seguro. También podrás comprobarlo haciendo doble clic sobre la URL para verla completa, y podrás comprobar que comienza por “https”.

A día de hoy todas las páginas legítimas utilizan el protocolo seguro HTTPS y si te encuentras con alguna que te pide que te identifiques sin tener el pequeño candado junto la URL, lo mejor que puedes hacer es cerrarla y no volver nunca más, puesto que lo más probable es que sea una web de phishing.

protocolo seguro HTTPS contra pishing

En este ejemplo podríamos no caer en que el dominio de la página es .ru y por ello podría parecer una web legítima. Sin embargo, fíjate que no tiene el icono del candado ni protocolo https, por lo que concluimos que esta web no es de fiar.

Ten en cuenta la fuente

Seguro que has oído cientos de miles de veces que no se deben abrir emails de gente que no conocemos, ¿verdad? Pues todavía debemos dar un paso más allá y no abrir enlaces de emails de gente que sí conocemos y que nos parezcan sospechosos, puesto que es posible que la dirección desde la que se ha enviado haya sido hackeada.

Hacer clic sobre un enlace poco fiable podría hacerte caer en una página fraudulenta como, por ejemplo, de phishing. Si ese enlace te lleva a una página que te pide que te identifiques, desconfía.

Pero, ¿qué ocurre si tu banco u otro proveedor de servicios como Paypal realmente requiere este tipo de información? La solución es fácil: simplemente olvídate del email que acabas de recibir y ve directamente a la web de tu banco de la manera que lo haces habitualmente, identifícate y resuelve la incidencia dentro de su plataforma.

Obtén algo de ayuda extra para combatir el phishing

Todas las buenas prácticas para combatir el phishing que hemos visto anteriormente podrían parecer suficientes si no fuera porque las tácticas de los estafadores están en constate evolución. Es por ello que es también es bueno contar con herramientas que nos faciliten la tarea.

Por ejemplo, el uso de un administrador de contraseñas también te ayudará a mantenerte alejado de las estafas por phishing.

Gracias a un administrador de contraseñas no tendrás que introducir tu contraseña cada vez que accedas a un sitio, si no que éste lo hará por ti. Esto es una gran ventaja porque al tratarse de una base de datos de nuestros sitios y contraseñas reales, si accedemos a un sitio que creemos de confianza y nuestro administrador no rellena de manera automática los datos, es porque no es de fiar.

Los cibernautas más expertos utilizan redes privadas virtuales, o VPN para sus actividades en línea. Gracias a las VPN protegen su actividad ya que los datos viajan de manera encriptada al servidor VPN. También ofrecen cierta protección contra el acoso cibernético, porque simulan que el tráfico proviene del servidor VPN, no de nuestra dirección IP local.

Sin embargo, enrutar el tráfico web a través de una VPN no ayuda en absoluto contra el phishing. Cuando le estás dando tus datos de acceso a los propietarios de un sitio de phishing, no importa cómo llegaste hasta ahí, puesto que los ataques de phishing se dirigen a los usuarios , no a sus dispositivos o sistemas de comunicación.

Conclusión

Para evitar el riesgo de verte involucrado en una estafa de phishing o los dolores de cabeza que te pueden provocar el proporcionar datos sensibles a una fuente fraudulenta, haz uso del sentido común y de las técnicas que hemos mencionado anteriormente para localizar y evitar el phishing.

También te recomendamos que hagas uso de herramientas como gestores de contraseñas o sistemas de detección de phishing integrados en tu antivirus.

Mantén siempre los ojos abiertos para detectar este tipo de acciones fraudulentas. Si la página viene de un enlace sospechoso, si no tiene el candado junto a su URL, no encuentras las siglas HTTPS en la barra de direcciones o localizas fallos exagerados en la composición y el diseño de la web, no toques nada y aléjate de ella lo más rápido posible.

También te puede interesar…