¿Qué es el phishing y cómo evitarlo?

Uno de los ciberataques más comunes es el phishing. En nuestro #juevesdeblog vamos a explicar en qué consiste, por qué es tan fácil caer en él y cómo puedes evitarlo.

¿Qué es?

El phishing es una estafa informática en la que se utilizan técnicas y trucos de fraude para obtener los datos privados de las víctimas. De distintas formas, que explicaremos más adelante, se engaña a un usuario para conseguir que revele información personal como sus contraseñas o el número de la tarjeta de crédito.

El nombre phishing proviene de la voz anglosajona fishing (pesca), cuya pronunciación es idéntica en inglés. Hace referencia al acto de “picar en el anzuelo” por parte del usuario y dar acceso así a datos privados de gran valor para los delincuentes.

¿Cómo se lleva a cabo?

Los delincuentes llevan a cabo este ciberataque de varias maneras. Es muy común que lo hagan a través del correo electrónico, de las redes sociales y con mensajes SMS, aunque cualquier sistema de interacción con el usuario, también una llamada de teléfono, puede servir a su meta. El objetivo es persuadir a su víctima para conseguir que entre en un enlace, descargue un archivo o complete algún pago creyendo que la operación es segura.

Para ello, utilizan mensajes convincentes en los que se hacen pasar por una persona o una institución de confianza. El engaño depende de la imaginación y habilidad del ciberdelincuente. Tratará de mandar un mensaje adaptado y lo más creíble posible en función de las necesidades y circunstancias de la víctima para que sea más fácil que caiga en el fraude.

Los ciberdelincuentes, entre otras cosas, tratan de despertar la curiosidad con algún mensaje atractivo o de poner bajo presión al usuario con alguna amenaza relacionada con un pedido o algún pago sin realizar.

Tipos de phishing

Es importante conocer con más detalle las formas más comunes en las que puede producirse el phishing para prestar atención y evitar caer en la trampa:

  • Por correo electrónico: Los correos electrónicos son, sin lugar a duda, el método más común de hacer phishing. Lo más frecuente es que incluyan una llamada a la acción donde hacer clic o que inciten a descargar algún archivo adjunto infectado con malware.

 

Dentro del phishing por correo electrónico podemos encontrar varios tipos de engaño:

  • Whaling: Se dirige específicamente a individuos y ejecutivos de alto perfil con información valiosa.
  • Spear phishing: El atacante selecciona una organización o un individuo específico para obtener acceso a datos confidenciales.
  • El fraude del CEO: El ciberdelincuente envía un correo electrónico a un empleado de una empresa haciéndose pasar por el CEO y solicita una transferencia de fondos o acceso a información esencial.

 

  • Por teléfono: Otra forma de realizar este tipo de ataques es por llamada. También se conoce como vishing, que proviene de la unión de las palabras voice y phising. El delincuente trata de persuadir a su víctima por teléfono para conseguir información ganándose su confianza.
  • Por SMS: El usuario recibe un SMS donde se le pide que haga clic en un enlace o que descargue un archivo. El mensaje suele imitar a otro tipo de SMS habitual y reconocible, por ejemplo, de un banco. Por eso, es fundamental revisar la procedencia. A esto lo llamamos smshing.
  • Por redes sociales: Hoy en día todo el mundo utiliza las redes sociales, incluidas las empresas, para llevar a cabo acciones de marketing y ventas. Por ello, se han convertido en una plataforma muy atractiva para los ataques de phishing. A través de ellas, los delincuentes pueden recopilar datos de gran interés como las contraseñas de esas redes sociales o información personal para llevar a cabo otros ataques.
  • Por sitio web: Los ciberdelincuentes diseñan páginas web falsas copiando el diseño de otras empresas conocidas para generar confianza en el usuario y pedir datos o incluso ingresos de dinero. Es fácil caer en este tipo de sitios web si no se presta atención.
  • Por QR: Con la pandemia de la COVID-19, la utilización de QR se ha disparado y, con ella, otro medio con el que recopilar datos redireccionando la información de destino del QR a un sitio fraudulento.

 

Ahora que ya conoces formas habituales de phishing con las que los ciberdelincuentes roban información relevante y personal a través de Internet, nuestra recomendación es que prestes mucha atención siempre y nunca aceptes un archivo o hagas clic en un enlace si no sabes con seguridad cuál es su procedencia.

Recuerda, además, que Transparent Edge Services está para apoyarte. La formación y la concienciación -no nos cansaremos de decirlo- son un eslabón muy importante de toda estrategia de ciberseguridad.