¿Qué es Phishing?

Definición de Phishing

El phishing (del inglés “fishing”, en español, “pescar”, haciendo referencia al hecho de hacer a alguien “morder el anzuelo” mientras el otro aguarda), se trata de un delito de estafa, penado por el artículo 248.2 de nuestro Código Penal, que consiste en un mecanismo de estafa a través de correo electrónico, teléfono o vía mensajes de texto/SMS, en donde se engaña a la víctima para que le facilite al estafador (“phisher”) información personal, tales como contraseñas o acceso a sus cuentas bancarias.

Lo más común en este tipo de estafa es que el estafador, previa solicitud a la víctima, se haga pasar por una entidad de confianza, normalmente una con la que la víctima suela relacionarse, que induce a la otra parte a hacer lo que se solicita a través del medio.

Por ejemplo, el caso más reciente que se está teniendo sobre este tipo tiene lugar a través de SMS, donde se te indica que te han dejado un mensaje de voz y un enlace donde poder escucharlo. Una vez dentro del enlace, te hace descargarte una aplicación para poder escucharlo, y ahí ya es donde el hacker se ha metido dentro de tu teléfono y tiene acceso a todo el contenido de tu dispositivo (contraseñas, cuentas bancarias, aplicaciones, teléfono…).

Tipos de Phishing


En la actualidad, hay bastantes variantes, entre las cuales las más conocidas son:

  • Spear phishing. Aquí suele centrarse en dirigirse un grupo determinado de personas o empresas con ciertas características en común entre sí.

  • Whaling. Referido al término en inglés “whale”, en español “ballena”, alude a que se encuentra dirigido hacía los “peces grandes” tales como CEO de empresas (directores ejecutivos) o jefe de financias o empresario de una industria o empresa determinada. Es similar en cuanto al concepto y métodos empleados en el phishing, la principal diferencia se encuentra en que, a parte de que no solo va a por los cargos más altos, también hace parecer que el correo o mensaje proviene de una persona con influencia o superioridad a nivel laboral.
    De hecho, a continuación, dejamos un artículo sobre como, hasta la misma aplicación y red social Snapchat sufrió un ataque de estos en 2016: https://www.theguardian.com/technology/2016/feb/29/snapchat-leaks-employee-data-ceo-scam-email

  • Smishing. Es una de las múltiples formas que presenta el “phishing”, en este caso, consiste en el envío de un mensaje de texto o SMS al teléfono, en el que te piden introducirte dentro de un enlace o llamar a un determinado número de teléfono.
    Si ves que te pasa esto, en ningún momento has de contestar al mensaje, llamar al teléfono, meterte al enlace si lo tuviera, o enviárselo a otra persona. Ignóralo.

  • Vishing. Exactamente igual que los anteriores, únicamente que esta vez tiene lugar a través de una llamada telefónica. Lo que se pretende en este tipo, es la suplantación de la entidad (principalmente entidades bancarias) a través de VoIP (Voice Over IP), que consiste en la recreación de la voz automatizada emitida en dichas empresas a fin de realizar una suplantación de su identidad.
    El supuesto más común es cuando se envía un mensaje de texto por “la entidad bancaria” diciendo que se ha empleado su tarjeta en un determinado establecimiento y que pulse el enlace que le llevará a la “página del banco” o que llame al “teléfono” que envía dicho mensaje. Una vez completado la primera fase, la voz automatizada de la llamada le pregunta por su DNI y credenciales bancarias, y ahí se acaba todo. ¿Cómo hacer si pasa esto? Ignora el mensaje y, si no puedes, antes de nada, no reacciones a la primera, comprueba en internet la verdadera página del banco o llama al teléfono dispuesto para ello para comprobar si verdaderamente ha sucedido eso o no.
  • Email-phishing. El más común y el que todos conocemos. Este es simple, envía correos masivos a todos los usuarios que puede localizar.
    Si prestas atención, este también es más fácil de detectar que los demás. Por un lado, notarás un dominio del idioma bastante pobre. Esto se debe a que el texto ha sido traducido a varios idiomas simultáneamente y de forma masiva, por lo que puede presentar muchas erratas. Por otro lado, muchos de ellos suelen empezar de forma genérica, por ejemplo, con “Estimado cliente”; o empiezan directamente poniendo tu correo electrónico, por ejemplo, si mi correo es “janedoe@gmail.com”, el correo suele nombrarme como “Hola, janedoe” o lo mismo, pero con la dirección completa del correo. Otra característica que presenta es que te mete prisa por actuar, como si la oferta que te ofrecen o el supuesto de hecho que te plantea corriese de urgencia o se acabase si no actúas dentro de un determinado margen de tiempo. También muchas veces puedes ver que las imágenes que te comparten no son del mismo año si quiera. Al final de este artículo puedes encontrar varios ejemplos y más ideas sobre como poder detectar estos ataques. Aunque en otras ocasiones puede no llegar a ser tan sencillo. Cuando esto sucede y no sabes si se trata o no de un intento de phishing, tienes dos opciones: por un lado, mira la dirección que te envía el correo, suelen ser palabras aleatorias, o incluso aparece el nombre de la empresa en el primer lado, pero a continuación del @ no es una dirección normal de correo. Por otro lado, tienes que prestar también atención a los vínculos e hipervínculos que te posicionan para que te metas en ellos. Pero OJO, muchas veces imitan perfectamente el enlace, siguiendo el ejemplo anterior de la entidad bancaria, salvo por una palabra o pequeño cambio, de esta forma, en lugar de “www.bankia.es”, es “www.bamkia.es” por dar una idea sobre ello. Un ejemplo más reciente es el intento de phishing a BBVA, en donde, como podemos observar en la imagen del interior de la noticia, el enlace es CASI el mismo, solo que con una “a” de más: https://maldita.es/malditobulo/20210716/sms-suplanta-bbva-cuenta-bloqueada/.

  • Engine phishing. Por último, este tipo de estafa consiste en el posicionamiento web por parte de los hackers en buscadores como google o similares, de tal forma que, al momento de entrar a la página, entras en el dominio del hacker. Desde el momento en el que interactúas, tus datos pertenecen al hacker. Suele simular ser bancos, PayPal, redes sociales e incluso tiendas de ropa.

¿Qué características en común presentan todos?

      • Muchas veces es demasiado bueno para ser verdad. ¿A qué se refiere? No será la primera ni la última vez que os han llegado correos diciendo que habéis ganado un iPhone 12 por arte de magia ¿cierto? En eso consiste. Son mensajes que te llaman la atención desde el primer momento, porque son diseñados para eso, para atraernos inmediatamente.

      • Necesidad de urgencia. Esto ya se ha comentado antes, son ofertas que están limitadas a un espacio de tiempo muy reducido.

      • Hipervínculos. De nuevo, ya se ha comentado previamente cuando hemos hablado del phishing en correos electrónicos. Para saber si verdaderamente es una URL correcta (porque muchas veces aparece un nombre o descripción para pulsar, no siempre la misma dirección), solamente tenemos que desplazar el cursor del ratón del ordenador sobre el enlace y veremos el verdadero. Recordemos que muchas veces pueden ser prácticamente idénticos, pero para ello es necesario siempre prestar atención a los pequeños detalles como colocar una “n” en lugar de “m” o similares.

      • Archivos adjuntos. Nunca abrirlos. Solamente existe verdadera certidumbre en que son seguros en aquellos que acaban en “.txt”, que hace referencia a que únicamente se trata de un archivo de texto, a diferencia de otros como “.zip” “.rar”.

      • Emisor inusual. Alguien con quien no sueles mantener relación o que directamente desconoces, aunque no siempre es así.
  • ¿Cómo evitar el Phishing?

    Para evitar el phishing hay varias maneras:

    • Autentificación de dos factores.

    • Contraseñas fuertes y distintas. No uses contraseñas que sean fáciles de averiguar, en su lugar combina mayúsculas con minúsculas y números, incluso con signos tales como @, = o ¡!, nunca con puntos o comas. Tampoco uses la misma contraseña para todas tus cuentas, combínalas.
    • Protégete de los correos spam. Muchos servicios de correo electrónico ponen a tu disposición una serie de filtros de spam, los cuales suelen ser bastante efectivos como regla general, pero tampoco lo son 100% puesto que alguna vez puede llevarse a la papelera correos que no lo son.
    • Cambia los ajustes de tu buscador habitual. Ya uses Chrome, Safari, Mozilla FireFox o cualquier otro, puedes prevenir el acceso a páginas que no sean seguras o que resulten objeto de phishing y solo permitir el acceso a aquellas validadas o seguras.
    • Las páginas que requieren mucho el acceso o registro de clientes o usuarios son muy susceptibles de ciberataques como el phishing. Para protegernos de ello: cambia tu contraseña cada cierto tiempo; no uses la misma contraseña en varias cuentas o páginas; y, como página, puedes usar un sistema CAPTCHA para reforzar aún más la seguridad del sitio.
    • Los bancos y empresas financieras suelen usar sus propios sistemas para prevenir este tipo de estafas. También ten en cuenta que un banco nunca te pedirá información personal a través del correo o suspender tu cuenta si no actualizas determinados datos en un periodo determinado de tiempo.
    • Comprueba la verdadera URL del enlace. Como hemos dicho antes, solamente desplaza el cursor del ratón sobre el enlace y te aparecerá la verdadera dirección, que puede llegar a ser distinta de la que te colocan.
    • Mantente informado sobre las últimas noticias sobre el phishing y sus nuevos tipos.
    • Verifica la veracidad del sitio web. No solo comprueba que tenga “https”, también comprueba que tienen junto a ello el candado, donde clicándole puede comprobar que la página tenga certificado de seguridad.
    • Mantén actualizado tu buscador habitual. Los buscadores suelen estar actualizándose cada poco tiempo, en respuesta de los vacíos en seguridad descubiertos y aprovechados por los hackers.
    • Usa firewalls. Hay dos tipos: uno de escritorio y otro de red. Si usas ambos, se reducen bastante las posibilidades de que alguien se meta en tu ordenador.
    • Lleva cuidado con los Pop-Ups. Estas son las pequeñas ventanas que te aparecen en la página o cuando estas a punto de salir de ella, comprueba sobre todo que pulsas el correcto botón de cerrar, porque en él puede estar el virus.
    • Nunca des información personal a través de internet.

    • Usa un software antivirus.
     
    A continuación os dejamos un esquema sobre los elementos esenciales que puede presentar en vuestro correo:

    ¿Cómo denunciar el intento de phishing?

    Aquí en España hay dos formas para denunciarlo:

    Ejemplos de Phishing

    Estos son los más comunes que seguro que encontraréis en vuestros buzones de spam en el correo y, como observaréis reúnen los elementos esenciales todos sus elementos esenciales:

    Previous
    Next

    Si deseas más información para tu empresa, de cómo prevenir los daños y perjuicios del phising, puedes contactar con AUDIDATA CLOUD SERVICES en www.audidata.es/contacto o llamarnos al 968 19 02 99

    Deja un comentario

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *