Ciberseguridad · 9 minutos de lectura

¿Qué es el phishing y cómo combatirlo?

El phishing es un tipo de ataque informático basado en el engaño que tiene como objetivo sustraer información.
Imagen: Peter Dazeley (Getty Images)

El phishing es uno de los ataques informáticos más habituales. Suele llegar por correo electrónico y está basado en el engaño, en hacer creer lo que no es para sustraer información confidencial.  

En los últimos tiempos, los ataques informáticos a empresas y organismos públicos se han hecho habituales en diarios de información general y televisiones. Importantes compañías energéticas o el mismo Servicio Público de Empleo Estatal (SEPE) han tenido que suspender su operativa durante horas y días por culpa del chantaje de los ciberdelincuentes. 

Términos como ransomware, phishing, troyano, spyware o malware están dejando de formar parte de la jerga incomprensible de los informáticos y ya se cuelan en las conversaciones cotidianas. Pero conviene precisar lo más posible qué es cada uno, para reconocerlo y saber a qué nos enfrentamos. 

En este post vamos a desentrañar qué hay detrás de la palabra phishing y cómo se extiende este tipo de ataque. También hablaremos de las diferentes modalidades de ataques de phishing que podemos encontrarnos y, sobre todo, cómo prevenirlos. El objetivo siempre será garantizar un negocio seguro.  

Índice:

  1. Qué es el phishing: origen y significado
  2. ¿En qué consiste un ataque de phishing? Así es cómo funciona
  3. Tipos de phishing: ¿cuáles son los más frecuentes?
  4. Los momentos más peligrosos del año
  5. ¿Cómo evitar el phishing y qué debes hacer para protegerte?
  6. Ejemplos de ataques de phishing

Qué es el phishing: origen y significado

La denominación “phishing” viene del inglés “fishing”, que significa “pesca”. Y hace alusión al acto de ‘pescar’ usuarios mediante señuelos cada vez más sofisticados. Este ciberataque está basado en el engaño y la suplantación de identidad. Es lo que los expertos encuadran en “ataque e ingeniería social”.

¿Están tus empleados preparados para responder ante un ataque de ingeniería social?

¿En qué consiste un ataque de phishing? Así es cómo funciona

El phishing es uno de los ataques más efectivos que hay pero, al mismo tiempo, es el menos sofisticado. Por ejemplo, no requiere conocimientos técnicos sobre las vulnerabilidades de un sistema operativo o de una aplicación. Se basa más bien en fabricar un mensaje falso de la manera más convincente posible. Está dirigido al eslabón más débil de la cadena: el ser humano. De ahí que sea muy conveniente que en las empresas, todo el personal esté informado sobre la naturaleza de este tipo de agresión y sospeche por defecto de cualquier correo electrónico recibido. 

Tipos de phishing: ¿cuáles son los más frecuentes?

Phishing por email

La puerta de entrada más habitual para los atacantes que se valen del phishing para conseguir sus propósitos es el correo electrónico. En los emails, el atacante suele pedir a la víctima que pinche en un enlace o que vaya a una página web (falsa) donde dejará la información confidencial (como el número y el PIN de la tarjeta de crédito o las claves de acceso a la cuenta del banco), que luego será usada para robar o vendida a terceros en el mercado negro. 

Un empleado de una empresa recibe decenas (o quizá cientos) de correos todos los días. Y es precisamente esa avalancha y el poco tiempo que hay para gestionarla lo que aprovechan los creadores de las campañas de phishing. Al fin y al cabo, es mucho más fácil abrir y pinchar en todos los enlaces que nos llegan, que estar en guardia y desconfiar de cada comunicación que recibimos, aunque aparentemente provenga de una persona cercana o de un familiar.   

Spear phishing

El spear phishing es un tipo de ataque sofisticado que se hace pasar por una fuente confiable y dirige su atención a personas concretas. De hecho, los ciberdelincuentes han desarrollado una nueva técnica de este tipo de ataques que se dirige a empleados de todo tipo de empresas. En los casos más recientes de los que se tiene conocimiento, el remitente se hace pasar por alguien con quien el destinatario ha interactuado en el pasado comprometiendo su bandeja de correo y apropiándose de hilos de emails que provienen de un remitente externo. Un ejemplo sencillo sería recibir un correo electrónico que en apariencia procede de un compañero y en realidad es un intento de hackeo. Por eso, es importante tener cuidado con los nuevos emails que parecen de compañeros y buzones internos, para evitar caer en este tipo de engaños. Y es aquí cuando surge la gran pregunta: ¿cómo reconocerlo? ¿Cómo funciona esta técnica?

El asunto y el texto del phishing se extraen de un correo electrónico legítimo, y lo que se intercambian son el remitente que se está suplantando y el empleado al que se dirige, dotando de gran realismo la comunicación. El objetivo de los atacantes es hacer que el empleado se sienta seguro al conocer a la persona que le envía el email y el asunto, por lo que será más probable que caiga en la trampa y haga clic en la URL maliciosa o descargue el archivo adjunto. Por ello, antes de pinchar en el enlace y seguir las instrucciones marcadas en el correo es importante realizarse la siguiente pregunta: ¿estabas esperando este mensaje? Sigue tu instinto y piensa antes de hacer clic o descargar un archivo. Es importante validar siempre el mensaje utilizando la información a nuestro alcance en lugar de aquella que solo aparece en el email.

Smishing 

Qué es el smishing
Imagen: Dominik Bruhn (Shutterstock)

En los últimos tiempos están aumentando los ataques masivos basados en SMS (mensajes móviles) fraudulentos. Esta práctica se denomina smishing, una palabra que tiene su origen en la combinación de los términos SMS y phishing. El smishing sirve a los ciberdelincuentes para atacar de forma masiva y dirigida a muchos usuarios mediante el envío de un SMS que simula venir de un destinatario legítimo, como un banco, una red social, una institución pública o una aplicación de uso extendido.

Otra vez los delincuentes se aprovechan de la confianza de la víctima o de sus descuidos. Y, como en el caso del phishing a través del correo electrónico, el objetivo de estos ataques es robar información privada o realizar cargos económicos en las cuentas de la víctima, por ejemplo. Para ello, instan al usuario a acceder a un enlace web falso o a introducir sus credenciales para confirmar su cuenta. 

Vishing 

En el caso del vishing, el vector de ataque es una llamada telefónica. De hecho, la palabra viene de la conjunción de los términos en inglés voice y phishing. En este caso, los atacantes hacen una llamada haciéndose pasar por un banco o un establecimiento y, con la excusa de querer solucionar un problema, piden a la víctima datos financieros o confidenciales. 

También es habitual el llamado “fraude del servicio técnico”, donde los delincuentes fingen llamar para arreglar el ordenador o el teléfono, y solucionar así un problema que en realidad no existe. El fin es entrar en el dispositivo del usuario e instalar un malware que más tarde les permitirá robar datos o pedir un rescate por la información almacenada.   

¿Qué es un deepfake? ¿Se puede usar en estafas?

Los momentos más peligrosos del año

El ejemplo más habitual de phishing es el envío de correos electrónicos fraudulentos
Imagen: Peter Dazeley (Getty Images)

Durante todo el año hay campañas de phishing que afectan a millones de usuarios en España y en todo el mundo. Los delincuentes intentan aprovechar el interés generalizado en algo para que piquemos en su anzuelo. El cibercrimen prolifera en periodos de mucha actividad comercial, por ejemplo. O durante la campaña de la declaración de la Renta, donde los delincuentes imitan las comunicaciones de la Agencia Tributaria.  

Por ejemplo, cuando llega el Black Friday, es habitual el envío de correos electrónicos donde alguien se hace pasar por Amazon o una compañía de mensajería, como Correos, FedEx, Seur o DHL. En ese mensaje nos dirán que hay “problemas con la entrega de la mercancía” y nos pedirán que demos nuestra información personal, o incluso que paguemos para recibir el envío. También son frecuentes durante las campañas comerciales los mensajes con descuentos especiales que, obviamente, son falsos. 

En las empresas también circula el phishing. Y lo hace en forma de correos de desconocidos que aparentan estar enviados por un cargo muy importante de la compañía y donde se convoca a la víctima a una reunión por Teams o Zoom a través de un enlace. También existe el llamado “fraude del CEO”, un phishing muy selectivo donde los delincuentes se hacen pasar por el director general y piden a un empleado información confidencial o reclaman al jefe financiero que abone ciertos pagos a la mayor brevedad. 

Así son las campañas de fraudes CEO vía WhatsApp

¿Cómo reconocer un mensaje de phishing?

Aunque el phishing es el ciberataque más popular, y todos los días millones de personas y empresas reciben correos y mensajes sospechosos, hay maneras de detectarlo y hacerle frente. Aquí ofrecemos algunos consejos para que empleados y usuarios se defiendan de esta plaga. 

Fíjate bien en la URL

Imagen: Fizkes (Shutterstock)

Los mensajes de phishing suelen recurrir a URL mal escritas de empresas de confianza, como bancos o servicios de mensajería. 

Atención al remitente del correo 

Hay que fijarse también en este punto porque muchas veces es una dirección de Gmail o Hotmail, y no acaba con el dominio de la empresa que aparentemente lo manda. 

Ojo con el tono dramático

Los mensajes de phishing buscan una reacción rápida y desesperada por parte del receptor. Por eso recurren a comunicados urgentes y hasta amenazantes. Así, es habitual encontrar frases como “tu cuenta ha caducado, pincha aquí para activarla” o “identifícate para evitar que el servicio se bloquee”.

Desconfía de los que pidan información personal

El objetivo de un ataque de phishing es obtener información muy personal y crítica, como datos bancarios, contraseñas y demás. Un correo que pida directamente esta información ya debería ser automáticamente objeto de sospecha. Y es que ninguna empresa, y menos un banco, solicita una contraseña o el DNI a través de un correo.  

Las claves de la ciberseguridad: concienciación, protección y respuesta

Atención a la redacción y la ortografía 

En muchas ocasiones los mensajes de phishing contienen faltas de ortografía o están redactados con frases incoherentes. La razón es que muchas campañas se originan en el extranjero y recurren a traductores automáticos o personas que no manejan bien el idioma. Un email oficial nunca presentará estos errores. 

Atención al apartado gráfico del mensaje

Es otro indicio de que el correo es fraudulento. Si recibimos un mensaje de una empresa y no aparece el logo, o la imagen del mismo está distorsionada, es bastante probable que sea falso.  

Desconfía de los enlaces

Los correos de phishing casi siempre remiten a otra página a través de un enlace. Nunca son meramente informativos. También son habituales los que van con archivos adjuntos, que contienen la pieza de malware que finalmente infecta el ordenador o el teléfono de la víctima.  

Atención a la firma

Muchos mensajes fraudulentos están firmados con nombres genéricos como “Juan” o “Pedro”, y no con los nombres, apellidos y cargos completos. También los delincuentes suelen recurrir a generalidades como “Departamento de recursos humanos” o “Equipo financiero”. 

¿Cómo evitar el phishing y qué debes hacer para protegerte?

Además de extremar las precauciones o aguzar la atención para detectar un correo fraudulento antes de abrirlo y evitar pinchar donde nos indica, también hay medidas que se pueden adoptar para hacer frente a este tipo de malware

Usar un navegador seguro puede ayudar a detectar el phishing. Entre Google Chrome, Mozilla Firefox, Apple Safari y Microsoft Edge hay diferencias en cuanto a capacidad de bloqueo de este tipo de ataque. Además, es recomendable tener un buen antivirus o una suite de seguridad instalada. En cualquier herramienta de pago o gratuita, el antiphishing es un clásico. Sin olvidar que, si en casa o en la empresa se es víctima de un ataque de suplantación de identidad y se han facilitado los datos personales, hay que cambiar cuanto antes la contraseña del servicio afectado, o llamar al proveedor para avisarle del problema, sobre todo si es el banco.

Por último, a la hora de garantizar la seguridad digital de la infraestructura de un negocio, también ayudará mantenerse relativamente informado sobre la actualidad el sector cibernético, así como realizar pequeños test de espacios de confianza que permitan comprobar su nivel de seguridad.

Ejemplos de ataques de phishing

Supuestos muy habituales de esta técnica son los envíos de correos electrónicos que parecen proceder de nuestro banco de confianza, de una oficina del Gobierno o incluso de un amigo. Como hemos comentado en líneas anteriores, en esos emails el atacante suele pedir a la víctima que pinche en un enlace o que vaya a una página web (falsa) donde dejará la información confidencial (como el número y el PIN de la tarjeta de crédito o las claves de acceso a la cuenta del banco) que luego será usada para robar o vendida a terceros en el mercado negro. Por eso el phishing también se suele denominar “ataque de suplantación de identidad”. Alguien se hace pasar por quien no es con fines maliciosos.  

Tu opinión cuenta
¿Te ha resultado útil este contenido?
Lo más visto
Credential stuffing: qué es y cómo funciona este ataque
¿Qué es el quishing y cómo funciona?
Nuevas campañas de phishing relacionadas con la interrupción de Crowdstrike
Ciberataques: ¿cuánto le puede costar a tu empresa?
Consejos de ciberseguridad en el teletrabajo

También te interesará…

6 min
15 febrero 2023
El llamado phishing, que podría traducirse como ‘pesca’, es una de las formas de estafa digital más antiguas y extendidas. Consiste en el envío de mails que simulan provenir de...
  6 min
7 min
11 noviembre 2022
Internet se ha convertido para las empresas en un canal fundamental para su estrategia de negocio. Ya sea para comunicarse con sus clientes o dar a conocer productos y servicios,...
  7 min
6 min
10 mayo 2022
La ciberseguridad es para las empresas mucho más que una cuestión de futuro o una de las facetas de la transformación digital; es una necesidad vital de la que ningún...
  6 min
Lo más visto
Credential stuffing: qué es y cómo funciona este ataque
¿Qué es el quishing y cómo funciona?
Nuevas campañas de phishing relacionadas con la interrupción de Crowdstrike
Ciberataques: ¿cuánto le puede costar a tu empresa?
Consejos de ciberseguridad en el teletrabajo
LinkedIn Twitter Facebook Whatsapp Email