¿Qué es el phishing y cómo se puede prevenir?

¿Qué es el phishing?

El phishing es un tipo de fraude online donde los atacantes se hacen pasar por una persona u organización de confianza y tratan de engañarle para que les facilite sus datos personales, como contraseñas, información financiera, o números de identificación personal. Pueden hacerlo enviándole un correo electrónico, un SMS, o un mensaje en las redes sociales que parezca proceder de una fuente legítima, pero que en realidad es falso.

Este tipo de estafa suele apelar a las emociones de la gente, nublando su buen juicio. Las estafas de phishing existen desde los primeros días de internet, y siguen siendo una de las formas más extendidas de ciberataque: solo en 2022 se produjeron más de 225 millones de ataques de phishing por correo electrónico en todo el mundo.

Los atacantes suelen usar tácticas de phishing para conseguir dinero. Puede ser algo tan simple como engañar a una persona para que realice una transferencia bancaria. Pero algunos ciberdelincuentes hacen uso del malware para obtener más información sobre una persona o una empresa, y venderla online. Los correos electrónicos son la forma más popular de phishing: algunos están tan minuciosamente estudiados y bien diseñados que resulta muy difícil detectarlos.

Si quiere saber más, mire nuestro video de YouTube donde explicamos cómo funciona un ataque de phishing:

¿Cómo funciona el phishing?

Hay muchas formas en las que los ‘phishers’ pueden tratar de engañarle para darles información confidencial o facilitarles el acceso a sus dispositivos. Pueden utilizar el phishing de URL para engañarle y que haga clic en un enlace o descargue un archivo adjunto infectado con malware o spyware, lo que puede darles acceso a su ordenador o teléfono. Y también pueden tratar de que introduzca su información confidencial en una web falsa que tendrá un aspecto legítimo, pero que está controlada por los ciberatacantes.

Es importante manejarse con precaución al recibir solicitudes inusuales de información personal, si le piden que haga clic en un enlace, o si lo invitan a descargar un archivo adjunto.

Estas son las principales técnicas de manipulación que usan los phishers para hacerle caer en sus trampas:

• Ingeniería social. Los ataques de ingeniería social se basan en la interacción humana para engañar a la gente. Intentarán que desarticule sus propios sistemas de seguridad, o que les facilite datos confidenciales. Esta forma de manipulación psicológica tiene como objetivo influir en una persona para que haga algo que no le conviene.
• Manipulación de enlaces. En este tipo de ataque se manipula el aspecto de un enlace malicioso para engañar o confundir a las víctimas del hacker. El objetivo es que la víctima haga clic en un enlace que de otro modo no pulsaría.
• Evasión de filtros. Se trata de una técnica para eludir o evitar los filtros que bloquean o restringen el acceso a determinados contenidos en internet.

Los peligros del phishing

El número de ataques peligrosos de phishing aumenta espectacularmente cada año. El motivo es que cuesta muy poco elaborar las estafas de phishing, pero son extraordinariamente eficaces, así que generan muchos beneficios económicos.

Vamos a revisar más en detalle los peligros del phishing:

• Robo de identidad. Si un phisher obtiene su información personal, puede usarla para robar su identidad y cometer fraudes financieros.
• Pérdida de dinero. Los phishers pueden engañarle para que les dé acceso a sus cuentas bancarias o tarjetas de crédito, que luego usarán para robar su dinero o hacer compras no autorizadas.
• Daños a la reputación. Cuando un phisher se hace con información sensible, puede utilizarla para dañar la reputación de una empresa o de una persona.
• Pérdida de datos sensibles. Los phishers también pueden tener como objetivo robar datos sensibles, como secretos comerciales o propiedad intelectual. Luego pueden venderlos al mejor postor o empezar a extorsionar.
• Instalación de malware. Algunos ataques de phishing pueden engañar a la gente para que descargue malware. Luego, este malware puede emplearse para acceder a sus dispositivos y robar información.

Adopte precauciones ante los peligros del phishing, y navegue de forma responsable. Tenga cuidado al hacer clic en enlaces a webs maliciosas o al descargar archivos adjuntos de fuentes no confirmadas. Utilice robustas y únicas, y manténgase siempre alerta.

Cómo reconocer un ataque de phishing

Los phishers tienen métodos para engañar a sus víctimas para que hagan clic en un enlace o descarguen un archivo malicioso. Pero usted puede ir un paso por delante de los ciberdelincuentes si se mantiene alerta. Hay varias formas de reconocer un ataque de phishing:

• Pregúntese si hay una sensación de urgencia en el mensaje. La mayoría de los ataques de phishing se apoyan en el miedo de la gente a cometer un error o a dejar pasar algo bueno, para incitarlos a tomar decisiones cuestionables. Una buena oferta disponible durante muy poco tiempo puede llevar a un fan incondicional de una marca a hacer clic en el enlace de su correo electrónico o SMS sin detenerse a comprobar si es legítimo.
• Compruebe si hay errores ortográficos y gramaticales. ¿El texto presenta errores gramaticales? ¿El tono general del mensaje parece extraño? Estos signos apuntan a una posible estafa de phishing. Las empresas y organizaciones legítimas normalmente le harán llegar comunicaciones bien escritas y sin errores.
• Desconfíe de archivos adjuntos o enlaces inesperados. Es poco probable que las empresas envíen boletines, correos electrónicos de alerta u otros mensajes con archivos adjuntos: no tienen motivos para hacerlo. Y tenga cuidado con los enlaces maliciosos, sobre todo en un correo electrónico que no esperaba. No descargue estos archivos ni haga clic en los enlaces.
• Recele de los saludos genéricos. Los correos electrónicos maliciosos suelen enviarse a grandes grupos de gente y pueden usar saludos genéricos como ‘querido cliente’ en lugar de su nombre.
• Asegúrese de que conoce al remitente. Si un servicio concreto nunca se había comunicado antes con usted sobre cambios de contraseñas ni le habían enviado ofertas especiales que parecen demasiado buenas para ser verdad, es probable que no sea este remitente quien se ponga en contacto con usted ahora con estos pretextos.

Recuerde: los estafadores son cada vez más sofisticados, y estos métodos de reconocimiento manual no siempre funcionan. Mantenga siempre el escepticismo cuando reciba correos electrónicos, mensajes o llamadas no solicitadas, por más tentadores que parezcan. Y, si lo prefiere, también puede ir un paso más allá y utilizar herramientas de detección de phishing para protegerse de manera más abarcadora.

Diferentes tipos de ataques de phishing

Los estafadores usan muchas técnicas de phishing para engañar a sus víctimas y hacerse con su información personal. Los principales tipos de phishing son:

Phishing por correo electrónico

El phishing por correo electrónico es un tipo de ciberataque que usa el correo electrónico como herramienta para llevar a cabo la estafa. Suele tener como objetivo engañar al destinatario para que realice una acción, como hacer clic en un enlace, descargar un archivo adjunto, o facilitar su información personal.

Spear phishing

Los ataques adaptados y dirigidos a un individuo concreto se denominan ataques de ‘spear phishing’. En estos casos, el hacker investiga en profundidad a su objetivo antes de enviar el correo electrónico de phishing. Esto incluye información de sus cuentas públicas, filtraciones de datos de las que pueda haber formado parte, y cualquier cosa que el hacker pueda encontrar sobre la víctima o la empresa donde trabaja. Con toda esta información, el ciberdelincuente puede pretender ser alguien de fiar, por ejemplo, haciéndose pasar por un compañero de trabajo, un viejo amigo, o un agente de un servicio que la víctima usa a menudo.

Whaling

El whaling es otra forma de phishing donde el atacante se hace pasar por un miembro de alto rango de una empresa: puede ser un director general, un miembro del consejo de administración, un accionista principal, etc. La identidad de estas personas es más difícil de recrear, así que el ciberdelincuente debe esforzarse mucho más para que su estafa resulte creíble. Sin embargo, como los altos cargos tienen más influencia en una empresa, las ganancias que pueden obtenerse con estos ataques suelen ser mucho mayores. Sus empleados y empleadas pueden transferir fondos o enviar información confidencial sin hacer preguntas.

Phishing clon

El atacante necesita una forma de monitorear de cerca la bandeja de entrada de su víctima para que este tipo de phishing funcione. El objetivo consiste en tomar un correo electrónico recibido recientemente –preferiblemente con un enlace o un archivo adjunto– y clonarlo. El nuevo correo se verá idéntico al original, pero el archivo adjunto contendrá malware, o el enlace redirigirá a la víctima hacia una página web falsa.

Vishing

Los ataques de vishing se basan en gran medida en la ingeniería social, y buscan crear situaciones estresantes para empujar a la gente a actuar de forma irreflexiva. Los atacantes pueden asustar a sus víctimas afirmando que alguien trató de usar su tarjeta de crédito, que se olvidaron de pagar una multa, o cualquier otra historia similar. Por desgracia, a menudo consiguen su objetivo. Cuando una persona deja que las emociones nublen su juicio, puede facilitar sus datos bancarios y otros detalles personales sin pensarlo dos veces.

Smishing

El smishing –o phishing por SMS– es una técnica de suplantación de identidad donde un estafador envía un mensaje SMS que parece proceder de una organización de confianza. El mensaje puede pedir al destinatario que haga clic en un enlace para dar información personal o confirmar su información bancaria. Entonces se redirige a la víctima a una web que parece legítima, pero que en realidad es una web de phishing diseñada para robar información.

Angler phishing

El ‘angler phishing’ es una nueva técnica de phishing usada por las redes sociales. Con ella, atacantes se hacen pasar por agentes de servicio de atención al cliente de la plataforma para estafar a las víctimas y robarles sus datos personales o los detalles de sus cuentas.

Phishing de calendario

El phishing de calendario engaña a la gente mediante el envío de invitaciones de calendario para que hagan clic en un enlace malicioso. El enlace conduce a una web de phishing o procede a instalar malware en el dispositivo de la víctima.

Qué hacer en caso de phishing

Si ha sido víctima de una estafa de phishing –o si sospecha que lo ha sido–, debe actuar lo antes posible. A continuación le mostramos lo que debe hacer si recibe un correo electrónico de phishing o si cae víctima de alguna estafa de este tipo:

¿Qué hacer si sospecha de un intento de phishing?

Si recibe un correo electrónico o un mensaje donde se le pide que haga clic en un enlace o que descargue un archivo adjunto, asegúrese de que conoce al remitente o a la empresa que trata de ponerse en contacto con usted, y proceda solo después de verificar que todo esté en orden.

Por ejemplo, si recibe un correo electrónico de una empresa que conoce, trate de ponerse en contacto con ellos por otros medios. Busque su número de teléfono o una dirección de correo electrónico oficial, y pregunte si la solicitud que ha recibido es legítima.

Por otro lado, si no tiene ninguna relación con la empresa que le ha enviado el mensaje, consulte el párrafo anterior sobre ‘¿Cómo reconocer un ataque de phishing?’ y trate de identificar algunos signos de un ataque de phishing. Si el mensaje es sospechoso, asegúrese de informar del intento de phishing y elimine el mensaje. Si abre un correo electrónico de phishing por accidente, no haga clic en ningún enlace: solo notifíquelo y pulse eliminar de inmediato.

¿Qué hacer si es víctima de phishing?

Aunque se haya familiarizado con las señales de phishing más comunes, algunas webs falsas son tan sofisticadas que pueden robar su información personal o financiera sin que usted se dé cuenta de que se trata de una estafa.

Debe reaccionar de inmediato si ha introducido sus datos bancarios en una web maliciosa desde un correo electrónico de phishing. Póngase en contacto con el servicio de atención al cliente de su banco e informe del incidente. Ellos adoptarán las medidas necesarias para prevenir el uso ilegal de sus datos.

Por último, si ha facilitado otros datos personales como su número de la Seguridad Social, sus datos de contacto o la dirección de su hogar, visite la web RoboDeIdentidad.gov. Allí encontrará información sobre cómo debe proceder.

¿Cómo protegerse ante el phishing?

• Utilice filtros antispam. La mejor forma de evitar los correos electrónicos de phishing pasa por prevenir que lleguen a su bandeja de entrada. Esto prevendrá la apertura por accidente de un correo electrónico con enlaces y archivos adjuntos maliciosos. Para mayor seguridad, las herramientas anti-phishing pueden ayudarle a identificar y bloquear de forma automática este tipo de contenidos.
• Obtenga un filtro de archivos adjuntos. La función de Protección contra amenazas Pro de NordVPN está diseñada para protegerlo ante intentos de phishing. Es una función de seguridad que le mantiene a salvo al navegar, y además le protege frente al malware. Protección contra amenazas Pro analiza sus archivos durante la descarga, y bloquea el contenido malicioso antes de que llegue a su dispositivo.
• Aprenda a reconocerlo. Puede aprender a detectar fácilmente los correos electrónicos de phishing con un poco de práctica. Incluso los pequeños detalles importan. Si su jefe siempre firma sus correos electrónicos diciendo ‘¡Gracias!’, pero de pronto firma diciendo ‘Saludos cordiales’, es mejor que verifique la autenticidad del correo. Toda precaución es poca cuando hay dinero o secretos de la empresa en juego.
• Mantenga su software actualizado. Mantener su software actualizado es esencial para protegerse frente a las vulnerabilidades de seguridad y los ciberataques. Las actualizaciones de software suelen incluir una protección contra los últimos factores de amenaza, así que asegúrese de instalarlas en cuanto estén disponibles.
• Utilice un gestor de contraseñas. Cree y almacene contraseñas complejas y únicas para cada una de sus cuentas online.
• Manténgase alerta. Adopte una actitud escéptica, y no dude en comprobar la autenticidad de cualquier correo electrónico o página web. Si tiene dudas, póngase en contacto por medios alternativos con la empresa o la persona de la que supuestamente procede el correo electrónico, y verifique su autenticidad.