Digitaliza tu negocio · 9 minutos de lectura

¿Cómo detectar el phishing y qué hacer para evitarlo?

Imagen: Wk1003mike (Shutterstock)

El phishing es el ciberataque más extendido que hay en la actualidad. Todos los días millones de personas en todo el mundo se topan en su bandeja de correo electrónico con mensajes fraudulentos diseñados para robarles información confidencial. En este post te explicamos cómo detectarlos y evitarlos. 

¿Qué es y en qué consiste el phishing?

Como tantos otros términos del mundo tecnológico, phishing viene del inglés, una lengua que facilita como ninguna crear palabras y conceptos nuevos a partir de otros ya existentes. En realidad, la denominación “phishing” viene de “fishing”, que significa “pesca”, y hace alusión al acto de ‘pescar’ usuarios mediante señuelos cada vez más sofisticados. Se trata, por lo tanto, de un ciberataque basado en el engaño y la suplantación de identidad

El phishing es posible porque hay usuarios o empleados ingenuos o despistados que, por ejemplo, abren correos electrónicos que parecen proceder de su banco de confianza, de una oficina del Gobierno o incluso de un amigo. Pero, en realidad, están cocinados por ciberdelincuentes que, por esta vía, llegan a hacerse con información confidencial de la víctima, como el número y el PIN de la tarjeta de crédito o las claves de acceso a su cuenta bancaria, por ejemplo. 

Tipos de phishing: ¿cuáles son los más frecuentes?

Phishing por e-mail

La puerta de entrada más habitual para los atacantes que se valen del phishing para conseguir sus propósitos es el correo electrónico. En los e-mails, el atacante suele pedir a la víctima que pinche en un enlace o que vaya a una página web (falsa) donde dejará la información confidencial (como el número y el PIN de la tarjeta de crédito o las claves de acceso a la cuenta del banco), que luego será usada para robar o vendida a terceros en el mercado negro. 

Un empleado de una empresa recibe decenas (o quizá cientos) de correos todos los días. Y es precisamente esa avalancha y el poco tiempo que hay para gestionarla lo que aprovechan los creadores de las campañas de phishing. Al fin y al cabo, es mucho más fácil abrir y pinchar en todos los enlaces que nos llegan, que estar en guardia y desconfiar de cada comunicación que recibimos, aunque aparentemente provenga de una persona cercana o de un familiar.   

Smishing 

Imagen: Dominik Bruhn (Shutterstock)

En los últimos tiempos están aumentando los ataques masivos basados en SMS (mensajes móviles) fraudulentos. Esta práctica se denomina smishing, una palabra que tiene su origen en la combinación de los términos SMS y phishing. El smishing sirve a los ciberdelincuentes para atacar de forma masiva y dirigida a muchos usuarios mediante el envío de un SMS que simula venir de un destinatario legítimo, como un banco, una red social, una institución pública o una aplicación de uso extendido.

Otra vez los delincuentes se aprovechan de la confianza de la víctima o de sus descuidos. Y, como en el caso del phishing a través del correo electrónico, el objetivo de estos ataques es robar información privada o realizar cargos económicos en las cuentas de la víctima, por ejemplo. Para ello, instan al usuario a acceder a un enlace web falso o a introducir sus credenciales para confirmar su cuenta. 

Vishing 

En el caso del vishing, el vector de ataque es una llamada telefónica. De hecho, la palabra viene de la conjunción de los términos en inglés voice y phishing. En este caso, los atacantes hacen una llamada haciéndose pasar por un banco o un establecimiento y, con la excusa de querer solucionar un problema, piden a la víctima datos financieros o confidenciales. 

También es habitual el llamado “fraude del servicio técnico”, donde los delincuentes fingen llamar para arreglar el ordenador o el teléfono, y solucionar así un problema que en realidad no existe. El fin es entrar en el dispositivo del usuario e instalar un malware que más tarde les permitirá robar datos o pedir un rescate por la información almacenada.   

¿Cómo detectar el phishing?

Aunque el phishing es el ciberataque más popular, y todos los días millones de personas y empresas reciben correos y mensajes sospechosos, hay maneras de detectarlo y hacerle frente. Aquí ofrecemos algunos consejos para que empleados y usuarios se defiendan de esta plaga. 

Fíjate bien en la URL

Imagen: Fizkes (Shutterstock)

Los mensajes de phishing suelen recurrir a URL mal escritas de empresas de confianza, como bancos o servicios de mensajería. 

Atención al remitente del correo 

Hay que fijarse también en este punto porque muchas veces es una dirección de Gmail o Hotmail, y no acaba con el dominio de la empresa que aparentemente lo manda. 

Ojo con el tono dramático

Los mensajes de phishing buscan una reacción rápida y desesperada por parte del receptor. Y por eso recurren a comunicados urgentes y hasta amenazantes. Así, es habitual encontrar frases como “tu cuenta ha caducado, pincha aquí para activarla” o “identifícate para evitar que el servicio se bloquee”.

Desconfía de los que pidan información personal

El objetivo de un ataque de phishing es obtener información muy personal y crítica, como datos bancarios, contraseñas y demás. Un correo que pida directamente esta información ya debería ser automáticamente objeto de sospecha. Y es que ninguna empresa, y menos un banco, solicita una contraseña o el DNI a través de un correo.  

Atención a la redacción y la ortografía 

En muchas ocasiones los mensajes de phishing contienen faltas de ortografía o están redactados con frases incoherentes. La razón es que muchas campañas se originan en el extranjero y recurren a traductores automáticos o personas que no manejan bien el idioma. Un e-mail oficial nunca presentará estos errores. 

Atención al apartado gráfico del mensaje

Es otro indicio de que el correo es fraudulento. Si recibimos un mensaje de una empresa y no aparece el logo, o la imagen del mismo está distorsionada, es bastante probable que sea falso.  

Desconfía de los enlaces

Los correos de phishing casi siempre remiten a otra página a través de un enlace. Nunca son meramente informativos. También son habituales los que van con archivos adjuntos, que contienen la pieza de malware que finalmente infecta el ordenador o el teléfono de la víctima.  

Atención a la firma

Muchos mensajes fraudulentos están firmados con nombres genéricos como “Juan” o “Pedro”, y no con los nombres, apellidos y cargos completos. También los delincuentes suelen recurrir a generalidades como “Departamento de recursos humanos” o “Equipo financiero”. 

¿Cómo evitar el phishing?

Además de extremar las precauciones o aguzar la atención para detectar un correo fraudulento antes de abrirlo y evitar pinchar donde nos indica, también hay medidas que podemos tomar para hacerle frente a este tipo de malware

Una buena forma es utilizar un navegador que bloquee este tipo de amenazas. Hay comparativas que analizan la efectividad de los principales navegadores (Google Chrome, Mozilla Firefox o Microsoft Edge) en este aspecto. 

También es conveniente contar con un buen antivirus o suite de seguridad instalada en el ordenador o en el teléfono. Conviene asegurarse de que el software de seguridad que instalamos tenga anti-phishing y anti-spam, además de ser capaz de detectar virus, proteger pagos, bloquear anuncios y ofrecernos VPN para conexiones en remoto. 

Por último, a la hora de garantizar la seguridad digital de la infraestructura de un negocio, también ayudará mantenerse relativamente informado sobre la actualidad el sector cibernético, así como realizar pequeños test de espacios de confianza que permitan comprobar su nivel de seguridad.

Tu opinión cuenta
¿Te ha resultado útil este contenido?
Lo más visto
Las claves de la ciberseguridad: concienciación, protección y respuesta
Así puedes aumentar las ventas de tu negocio al vender en Instagram
¿Qué es un deepfake? ¿Se puede usar en estafas?
¿Cómo descubrir al cliente de nuestro e-commerce?
¿Cómo saber si una llamada es fraudulenta?

También te interesará…

9 min
22 octubre 2021
¿Qué es el phishing y cómo combatirlo?
Junto con el ransomware, el phishing es el ataque informático más habitual. Suele llegar por el correo electrónico y está basado en el engaño, en hacernos creer lo que no...
  9 min
2 min
21 diciembre 2021
El ABC del ransomware
  2 min
9 min
24 octubre 2021
Trabaja, pero ciberseguro
Imagina por un momento que sobreviene una virulenta oleada de delincuencia, similar a la que vivió España allá por los años de la Transición. Oficinas y negocios son desvalijados cada...
  9 min
Lo más visto
Las claves de la ciberseguridad: concienciación, protección y respuesta
Así puedes aumentar las ventas de tu negocio al vender en Instagram
¿Qué es un deepfake? ¿Se puede usar en estafas?
¿Cómo descubrir al cliente de nuestro e-commerce?
¿Cómo saber si una llamada es fraudulenta?