¿Qué es el phishing?

¿Qué es exactamente el phishing?

El phishing es una de las estafas más antiguas y mejor conocidas de Internet. Podemos definirlo como un tipo de fraude en las telecomunicaciones que emplea trucos de ingeniería social para obtener datos privados de sus víctimas.

Un ataque de phishing tiene tres componentes:

  1. El ataque se realiza mediante comunicaciones electrónicas, como un correo electrónico o una llamada de teléfono.
  2. El atacante se hace pasar por una persona u organización de confianza.
  3. El objetivo es obtener información personal confidencial, como credenciales de inicio de sesión o números de tarjeta de crédito.

Este es el engaño del que el phishing obtiene su nombre: el ciberdelincuente sale de «pesca» («fishing», en inglés, con la misma pronunciación que «phishing») con un «cebo» atractivo para ver si alguna víctima pica en el vasto «océano» de los usuarios de Internet. Las letras ph de «phishing» proceden de una afición de mediados del siglo XX, el llamado «phone phreaking», que consistía en experimentar con las redes de telecomunicaciones para averiguar su funcionamiento. Phreaking + fishing = phishing.

Fundamentos del phishing por correo electrónico

La enorme mayoría de los ataques de phishing se perpetra a través del correo electrónico. ¿Quiere aprender cómo funcionan estos mensajes? Vamos a ello.

¿Cuáles son los correos electrónicos de phishing más comunes?

La mayoría de los mensajes de phishing pueden clasificarse en distintas categorías. Aquí tiene algunas de las que verá con más frecuencia:

  • Problemas de facturación: se le indica que algo que ha comprado en línea recientemente no se puede enviar por un problema en la factura. Al hacer clic, se le lleva a una página falsificada donde deberá introducir sus datos financieros, con lo que los phishers se hacen con ellos.
  • Las autoridades van a por usted: estos correos electrónicos apelan a su disposición a creer (y obedecer) las solicitudes de las autoridades. Normalmente son de naturaleza amenazadora y suelen prometer alguna temible penalización si no proporciona los datos personales que se solicitan.
  • Las autoridades quieren darle dinero: puede considerarlo la versión inversa del ejemplo anterior. Suelen aparecer durante la campaña de la declaración de Hacienda y le ofrecen una devolución si confirma rápidamente sus datos financieros.
  • Una súplica de ayuda: los phishers se hacen pasar por un amigo o familiar y le explican que están en una situación desesperada, por lo que le suplican ayuda económica. Es muy triste, pero estas estafas se perpetran a menudo contra gente mayor y mediante llamadas de vishing.
  • La alerta del banco: muchas entidades bancarias alertan a los clientes si detectan cualquier actividad sospechosa o si una cuenta está a punto de quedar en descubierto. Los phishers se aprovechan de estos servicios útiles e intentan convencer a sus objetivos para que «confirmen» los datos de la cuenta bancaria.
  • Ha ganado un gran premio: la fortuna ha hecho que sea usted el muy especial ganador de un premio increíble. Lo único que tiene que hacer es introducir sus datos. Si quiere más referencias, vea las estafas del Mundial anteriores.
  • Negocio urgente: a los phishers les encanta utilizar la urgencia para hacerle tomar malas decisiones. Ya sea con una oferta limitada demasiado buena para ser cierta o con la amenaza de cerrarle la cuenta salvo que actúe de inmediato. Su objetivo es hacerle revelar su información personal lo antes posible.

¿Qué aspecto tiene un correo electrónico de phishing?

Aunque los hay de todas las formas y tamaños, es posible aprender a reconocer los mensajes de phishing. A continuación damos un repaso a sus rasgos comunes más frecuentes. Las soluciones de ciberseguridad fiables realizan la mayor parte del trabajo a la hora de protegerlo del phishing, pero esté atento a las siguientes señales de alarma y contará con una excelente primera línea de defensa.

  • El correo electrónico no está dirigido a usted: muchos tipos de phishing, incluidos los del tipo «engaño» estándar, utilizan una red de arrastre para atrapar a cuantos puedan. Por ese motivo el mensaje no está personalizado con el nombre del destinatario, sino que saluda de forma vaga, por ejemplo con «Estimado cliente», aunque puede llegar a utilizar el nombre de usuario de correo electrónico. La correspondencia oficial de empresas legítimas se dirigirá a usted por su nombre.
  • Una oferta que no puede rechazar: sí que puede (y debe) rechazarla. Si le llega una oferta o ganga que parece demasiado buena para ser cierta, probablemente no sea cierta. No deje que los timadores le engañen con ofertas tentadoras. Sea lo que sea lo que le prometen, estará perfectamente sin ello. Y tampoco lo iba a conseguir, por supuesto. Las ofertas de phishing no son reales. Jamás.
  • Debe actuar de inmediato: como se ha dicho anteriormente, a los phishers les encanta jugar con la urgencia. No caiga en el síndrome FOMO (siglas en inglés de «miedo a perderse algo»), no se crea las amenazas y, lo que es más importante, conserve la calma. Ninguna entidad legítima, ni gubernamental, ni empresarial ni de ninguna clase, le dará una única y urgentísima posibilidad antes de cerrarle la puerta.
  • Enlaces acortados: busque enlaces maliciosos ocultos tras los servicios de acortamiento de URL. Como regla general, pase el cursor sobre cualquier enlace antes de hacer clic en él. Dado que la mayoría de las interfaces móviles no ofrecen esta funcionalidad, sea doblemente suspicaz con los enlaces cuando consulte el correo electrónico con su teléfono.
  • Enlaces con errores: los hackers crean versiones falsificadas de sitios legítimos con URL que son casi idénticas, y le animan en sus mensajes de phishing a hacer clic en estos enlaces. Esté atento a los errores deliberados, ya sean tipográficos (los hackers intentarán engañarlo con versiones ligeramente incorrectas de las URL legítimas) u ortográficos (cuando se hace uso de letras y caracteres de aspecto similar). Lea atentamente los enlaces antes de hacer clic en ellos.
  • Mensajes escritos de forma incorrecta: el banco no envía correos electrónicos llenos de faltas de ortografía y errores gramaticales. Un phisher sí que puede, y a menudo lo hace. Descuidos como estos son claras indicaciones de un mensaje de phishing.
  • Archivos adjuntos: los archivos adjuntos no tienen nada de malo en sí mismos… si los espera y proceden de alguien de confianza. Fuera de este contexto, aléjese de los archivos adjuntos desconocidos. Los estafadores pueden incluso ocultar malware en archivos de contenido enriquecido, como los PDF.
  • Solicitudes de información personal: los phishers van detrás de sus datos. Si recibe un correo electrónico donde se le pide que confirme su información de cuenta, las credenciales de inicio de sesión u otros datos personales, es probable que se trate de una estafa.
  • No utiliza esa empresa o servicio: los phishers no suelen tener acceso a las bases de datos de usuarios de las empresas por las que se hacen pasar, así que envían sus correos electrónicos de phishing a cualquiera que se ponga a tiro. Si recibe un mensaje de Servicios de Streaming A, pero usted es un fiel cliente de Servicios de Streaming B o C, se trata de phishing.

El mensaje anterior es un ejemplo que recibí en mi buzón personal. Imagino que, si picara y respondiera, me pedirían que proporcionara las credenciales de inicio de sesión de mi cuenta de Google. Si se fija, contiene muchas de las señales de advertencia que hemos visto:

  1. Asunto escrito de manera informal
  2. Enviado desde una cuenta sospechosa
  3. El destinatario no es su dirección de correo electrónico
  4. El mensaje no nombra al destinatario
  5. Errores gramaticales y de otro tipo en el contenido
  6. Se requiere una acción inmediata
  7. Falta el contenido de firma típico que cabría esperar de un correo electrónico oficial

¿Qué hay que hacer con los correos electrónicos de phishing?

Es sencillo: ¡denúncielos y bórrelos!

Redirija los mensajes a la Federal Trade Comission (FTC, en la dirección spam@uce.gov) y al Anti-Phishing Working Group (reportphishing@apwg.org). Denuncie también su experiencia en el sitio web de quejas de la FTC.

Por último, póngase en contacto con la empresa suplantada para que sepan que un phisher está utilizando su marca para intentar estafar a la gente.

Principales recomendaciones para prevenir el phishing

Una buena educación de los usuarios y un software antiphishing forman una doble barrera contra el phishing en el nivel empresarial. Las empresas deberían invertir en programas de formación integral para enseñar a sus empleados cómo se reconoce el phishing y por qué deben estar prevenidos. Los equipos de seguridad pueden reforzar estas directrices con eficaces contramedidas de software que bloqueen las estafas de phishing, independientemente de si un objetivo pica o no.

Desde el punto de vista personal, esto es lo que puede hacer para no caer víctima del phishing:

  • Fórmese: la buena noticia es que ya lo ha hecho al leer este artículo. Manténgase un paso por delante de los phishers profundizando en su conocimiento de las estafas más recientes.
  • Sea escéptico: peque por el lado de la prudencia ante cualquier correo electrónico sospechoso. Antes de hacer clic en cualquier enlace o de descargar cualquier archivo adjunto, revise las señales de alerta de phishing que hemos mencionado en el artículo. Si cualquiera de esas señales se aplica al mensaje en cuestión, denúncielo y bórrelo.
  • Confirme antes de actuar: las empresas auténticas nunca se pondrán en contacto con usted por correo electrónico o teléfono para solicitarle datos personales. Si sucediera, llame usted mismo a la empresa con los datos de contacto que aparecen en su sitio web legítimo para confirmar cualquier cosa que se le haya dicho en el correo electrónico o la llamada. No responda directamente a los correos electrónicos sospechosos. Comience siempre una nueva comunicación mediante los canales de atención oficiales de la empresa.
    Verifique los certificados de seguridad: no envíe ninguna información personal que no quisiera que tuviera un hacker salvo que esté convencido de que un sitio web es seguro. Verifique que la URL comienza con HTTPS y busque un icono de candado junto a la URL.
  • Cambie las contraseñas con regularidad: los phishers no pueden hacer mucho con sus contraseñas si ya no son válidas. Actualice las contraseñas de vez en cuando y emplee un administrador de contraseñas para que sean seguras y queden almacenadas de forma segura.
  • Examine sus cuentas: Revise escrupulosamente todos los extractos bancarios. Si no lo hace, podría pasar por alto un cargo fraudulento. A los bancos y a las tarjetas de crédito se les suele dar bien detectar fraudes, pero usted también debe prestar mucha atención a sus cuentas y extractos.
  • Utilice un bloqueador de anuncios: este consejo también podría titularse «no haga clic en ventanas emergentes», pero si utiliza un bloqueador de anuncios, este detendrá la mayor parte de los anuncios emergentes. Las ventanas emergentes son vectores de phishing frecuentes: si ve una, nunca haga clic en el anuncio, aunque haya un gran botón donde pone «Cerrar». Utilice siempre la pequeña X en la esquina.
  • Lea los correos electrónicos como texto sin formato: este un buen truco que ayuda a detectar estafas de phishing por correo electrónico. Convierta un mensaje a texto sin formato y podrá detectar URL de imágenes ocultas que no serían visibles en modo HTML.