¿Qué es el phishing y cómo se puede prevenir?

¿Qué es el phishing?

Usualmente, el engaño se hace a través de emails, SMS, mensajes directos en redes sociales (como Facebook o Instagram), Whatsapp o llamadas telefónicas. Este tipo de estafa usa la ingeniería social para generar una sensación de urgencia y jugar con las emociones de las personas. Las estafas de phishing existen desde los primeros días de internet y siguen siendo una de las formas más extendidas de ciberataques. Solo en el 2024, se estima que hubo alrededor de 31.000 intentos de ataques diarios únicamente por correo electrónico.

¿Cuál es el objetivo de un ataque de phishing?

El objetivo de los ciberdelincuentes suele ser conseguir dinero. Puede ser desde engañar a una persona para que realice una transferencia bancaria, u obtener los datos de una tarjeta de crédito. Pero su objetivo también puede ser obtener valiosa información personal o empresarial. En estos casos, los atacantes pueden engañar a un usuario para instalar software malicioso e ingresar a su computador. Así obtendrá información valiosa de una persona o empresa.

Si quieres saber más, mira nuestro video en YouTube donde te explicamos cómo funciona un ciberataque de phishing:

¿Cómo funciona el phishing?

La estrategia general del phishing es la suplantación de identidad, ya sea empresas, personas o entidades. Los emails falsos, por ejemplo, son una de las formas más comunes de este tipo de estafa. Algunos están tan minuciosamente creados y tan bien diseñados, que es difícil para un usuario común darse cuenta de que es una trampa.

También pueden utilizar el phishing de URL para engañarte y hacer click en un link peligroso. Este te lleva a una página web falsa donde te invitan a llenar un formulario fraudulento o a descargar un archivo adjunto infectado con malware, dándoles acceso a tu computador o celular.

Las llamadas y los mensajes por redes sociales o Whatsapp también son una de las estrategias de phishing que los ciberdelincuentes suelen usar.

Es importante analizar y pensar muy bien al recibir solicitudes inusuales de información personal, sobre todo si te piden que abras un link, hay una sensación de urgencia, una promoción que suena demasiado bien para ser verdad o si te invitan a descargar un archivo adjunto.

Técnicas comunes de phishing

En el phishing se usan diferentes tipos de malware para atacar a las víctimas. Estos son los más comunes:

• Ransomware - El secuestrador digital: es como un criminal que entra a tu casa y pone todas tus pertenencias bajo llave. Así funciona el ransomware. Encripta tus archivos y te deja una nota pidiendo dinero para devolverte el acceso. Es como tener a tus documentos como rehenes hasta que pagues el rescate.
• Spyware - El espía invisible: imagina tener un detective siguiéndote todo el día sin que lo notes. El spyware es exactamente eso, un espía silencioso instalado en tu dispositivo que observa todo lo que haces, desde las contraseñas que escribes hasta las páginas web que visitas, coleccionando toda tu actividad e información confidencial.
• Bots - Los títeres digitales: piensa en un titiritero controlando miles de marionetas desde un solo teatro. Los bots convierten tu dispositivo en una marioneta más, manejada por ciberdelincuetes a través de servidores. Sin que lo sepas, tu computador podría estar bailando al ritmo de los hilos invisibles de los cibercriminales, participando en ataques con otros "títeres".
• Troyanos - La trampa virtual: al igual que el famoso caballo de Troya, estos programas llegan disfrazados de regalos. Puede ser un juego gratuito, una app útil o un programa que llame la atención. Una vez que los dejas entrar, abren las puertas de tu sistema para que entren más invitados peligrosos.
• Virus - El resfriado en dispositivos: los virus informáticos se hacen pasar por archivos comunes y afectan todo tu sistema. Cada vez que abres un documento o programa infectado, el virus se reproduce y busca más víctimas, expandiéndose como una epidemia en tu computador o tu celular.

Consecuencias del phishing

El número de ataques peligrosos de phishing aumenta cada año. El motivo es que cuesta muy poco elaborar las estafas de phishing, pero son muy eficaces, así que generan muchos beneficios económicos.

Revisemos más en detalle sus peligros:

• Robo de identidad. Si un phisher obtiene tu información personal, puede usarla para robar tu identidad y cometer fraudes financieros.
• Pérdida de dinero. Los phishers pueden engañarte para que otorgues acceso a tus cuentas bancarias o tarjetas de crédito, que luego usarán para robar tu dinero o hacer compras no autorizadas.
• Daños a la reputación. Cuando un ciberdelincuente consigue tu información personal, puede utilizarla para dañar la reputación de una empresa o un individuo.
• Pérdida de datos sensibles. Los phishers también pueden tener como objetivo robar datos sensibles, como secretos comerciales empresariales o propiedad intelectual. Luego pueden venderlos al mejor postor o usarlos para extorsionar al propietario.
• Instalación de malware. Algunos ataques de phishing pueden engañar a la gente para que descargue malware. Luego, este software dañino puede emplearse para acceder a los dispositivos personales, como computadores o celulares, y robar información en un ataque de ransomware.

Protégete de los peligros del phishing y navega de forma responsable. Ten cuidado al hacer click en links a páginas sospechosas o al descargar archivos adjuntos de fuentes o remitentes de poca confianza. Utiliza contraseñas robustas y distintas para cada cuenta y mantente siempre alerta.

Tipos de ataques de phishing

Existen diversas técnicas y escenarios donde los delincuentes pueden aprovechar para engañar a sus víctimas y obtener lo que buscan. Estos son algunos ejemplos de phishing:

Phishing por correo electrónico

Usando emails falsos como herramienta, suele tener como objetivo engañar al destinatario para que realice una acción, como hacer click en un link que lleve a páginas peligrosas, descargar un archivo adjunto o conseguir una respuesta al correo develando información personal.

Spear phishing

Los ataques creados y dirigidos a un individuo en concreto se denominan ataques de spear phishing. Para diseñarlos, el delincuente investiga a profundidad a su objetivo antes de enviar el correo electrónico falso o compartir la página para hacer phishing. Recopila información de sus redes sociales o cuentas públicas, o aprovecha filtraciones de datos donde la víctima haya formado parte. También puede usar datos que pueda encontrar sobre la empresa donde trabaja. Con este conocimiento, el ciberdelincuente puede pretender ser alguien de fiar, y hacerse pasar por un compañero de trabajo, un viejo amigo, o un agente de algún servicio que la víctima usa a menudo.

Whaling

Con esta técnica, el atacante se hace pasar por un miembro de alto rango de una empresa, como un director general, un miembro del consejo de administración, un accionista principal, etc. La identidad de estas personas es más difícil de recrear, así que el ciberdelincuente debe esforzarse mucho más para que su estafa resulte creíble. Como los altos cargos tienen más influencia en una empresa, las ganancias que pueden llegar a obtener con estos ataques suelen ser mucho mayores. Si el engaño logra realizarse, los empleados pueden transferir fondos o enviar información confidencial sin hacer preguntas.

Phishing clon

El atacante necesita monitorear de cerca la bandeja de entrada de su víctima para que este tipo de phishing funcione. Consiste en tomar un correo electrónico recibido recientemente, de preferencia con un enlace o un archivo adjunto, y clonarlo. El nuevo correo se verá idéntico al original, pero el archivo adjunto contendrá malware, o el enlace redirigirá a la víctima hacia una página web falsa.

Vishing

Los ataques de vishing se basan en gran medida en la ingeniería social, y buscan crear situaciones estresantes para empujar a la gente a actuar sin pensar dos veces. Los atacantes pueden asustar a sus víctimas afirmando que alguien trató de usar su tarjeta de crédito, que olvidaron pagar una multa, o cualquier otra historia que cause un impacto similar. Por desgracia, a menudo esta técnica consigue su objetivo. Una persona bajo este tipo de estrés, puede facilitar sus datos bancarios y otros detalles personales sin pensarlo.

Smishing

El smishing, o phishing por SMS, es una técnica de suplantación de identidad donde un estafador envía un mensaje SMS que parece proceder de una organización de confianza. El mensaje puede pedir al destinatario que haga click en un enlace para dar información personal o confirmar su información bancaria. Entonces redirige a la víctima a una página que parece legítima, pero que en realidad es una web de phishing diseñada para robar información.

Phishing en Facebook

Los estafadores usan esta plataforma para hacerse pasar por contactos cercanos o de confianza, para contactar con sus víctimas a través de un mensaje directo falso. Es posible que, aprovechando que la víctima confía en el perfil, exija información personal importante (como datos bancarios), pida una transferencia de dinero de emergencia o inclusive sus credenciales de acceso a cuentas. Este ataque se realiza a través de perfiles robados, haciendo uso de la técnica del robo de identidad, o a través de un perfil falso. Es posible que esta técnica no sea exclusiva de Facebook, y pueda extenderse a otras redes como Instagram o LinkedIn.

Angler phishing

El angler phishing es también una técnica de phishing usada en redes sociales. Esta vez los atacantes se hacen pasar por agentes de servicio de atención al cliente de la plataforma para estafar a las víctimas y robarles sus datos personales o los accesos a sus cuentas. Así, podrán robar sus perfiles y utilizarlos para realizar más estafas.

Phishing de calendario

El phishing de calendario engaña a la gente mediante el envío de invitaciones en sus calendarios digitales para que hagan click en un enlace peligroso. Este link conduce a una página para hacer phishing o incluso puede llegar a instalar malware en el dispositivo de la víctima.

Ejemplos reales de phishing

Una de las estrategias comunes de phishing es cuando le envían al usuario un email diciendo que se ganó un premio. En este caso, los cibercriminales se hicieron pasar por Amazon y el regalo era un smartphone nuevo.

El usuario se dio cuenta de que era demasiado buena para ser real, publicó su sospecha en redes sociales y Amazon confirmó la estafa.

Una vez más, los ciberdelincuentes se hacen pasar por Amazon. Este mensaje de Whatsapp que asegura una recompensa es más sencillo de identificar porque la URL es bastante sospechosa.

En la industria de los videojuegos online, hay muchas recompensas y microtransacciones. Los usuarios suelen buscar códigos y métodos que les ayuden a ahorrar algo de dinero, pero eso también es aprovechado por los cibercriminales.

En este caso, se trata de una página que dice que se pueden conseguir skins y recompensas de Fortnite con códigos o a mejor precio. Si miras la URL, no tiene mucha relación con el juego. Además, si la analizas con un link checker, la señala como una página de phishing.

Señales de un ataque de phishing

Los cibercriminales tienen métodos muy elaborados para engañar a las víctimas. Por eso es importante que vayas un paso por delante de los ciberdelincuentes. Aquí te compartimos varias formas de reconocer un ataque de phishing.

Urgencia y presión en el mensaje

Los ataques de phishing usualmente crean una sensación falsa de urgencia para presionar a las víctimas. Las asustan diciendo que "su cuenta será cerrada en 24 horas" o que es necesaria una "acción inmediata". Estas son señales comunes. Las organizaciones legítimas raramente exigen acciones inmediatas a través de emails no solicitados.

Errores ortográficos y gramaticales

Los mensajes de phishing suelen tener errores de escritura, gramática o traducciones automáticas mal hechas. Las empresas legítimas mantienen estándares profesionales de calidad en sus comunicaciones oficiales, así que los errores evidentes pueden indicar un intento de estafa.

Saludo genérico en el mensaje

Los correos legítimos de organizaciones con las que tienes relación comercial generalmente incluyen tu nombre completo. Saludos genéricos como "Estimado cliente" o "Usuario de servicios bancarios" pueden ser una estafa.

Archivos adjuntos o links aleatorios

Desconfía de mails inesperados que incluyen archivos adjuntos o links, especialmente si provienen de remitentes desconocidos y te piden una acción, como hacer click o descargar. Los archivos pueden contener malware, mientras que los enlaces pueden dirigir a páginas peligrosas hechas para robar información.

URL y direcciones de email sospechosas

Revisa con cuidado las direcciones de email y las URL. Los ciberatacantes utilizan dominios que imitan los originales con pequeñas variaciones como "arnazon.com" en lugar de "amazon.com" o "paypa1.com" con el número 1 en lugar de la letra L. Para aprender más sobre este tema, consulta nuestra guía sobre cómo detectar páginas web falsas.

Qué hacer en caso de phishing

Si ya has sido víctima de una estafa de phishing, o sospechas que lo has sido, debes actuar lo antes posible. A continuación te mostramos lo que debes hacer si recibes un correo electrónico de phishing o si eres víctima de alguna estafa de este tipo:

¿Qué hacer si sospechas de un intento de phishing?

Si recibes un correo electrónico o mensaje donde se te pide que hagas click en un link o que descargues un archivo adjunto, asegúrate de reconocer al remitente o a la empresa que trata de ponerse en contacto contigo. Abre el enlace solo después de verificar que todo esté en orden.

Un ejemplo claro: si recibes un correo electrónico de una empresa que conoces, trata de ponerte en contacto con ellos por otros medios, como por vía telefónica. Así podrás conifrmar que la solicitud que has recibido es legítima.

Por otro lado, si no tienes ninguna relación con la empresa emisora del mensaje, trata de identificar los signos de un ataque de phishing. Si el mensaje es sospechoso, asegúrate de informar del intento de phishing a la empresa oficial y elimina el mensaje. Si abres un correo electrónico de phishing por accidente, no hagas click en ningún enlace. Solo notifícalo y elimínalo de inmediato.

¿Qué hacer si eres víctima de phishing?

Aunque te hayas familiarizado con las señales de phishing más comunes, algunas páginas falsas son tan sofisticadas que pueden robar tu información personal o financiera sin que te des cuenta de que se trata de una estafa.

Debes reaccionar de inmediato si has introducido datos bancarios en un sitio sospechoso desde un correo electrónico falso. Ponte en contacto con el servicio de atención al cliente de tu banco e informa del incidente. Ellos adoptarán las medidas necesarias para prevenir el uso ilegal de datos.

Por último, si vives en México y has facilitado otros datos personales como tu número de seguridad social, contactos personales o la dirección de tu hogar, visita la página del INAI. Allí encontrarás información sobre cómo debes proceder.

¿Cómo evitar el phishing?

La mejor forma de protegerte ante el phishing es combinar herramientas tecnológicas con educación y buenos hábitos de seguridad online.

• Utiliza filtros antispam. Lo primero es prevenir que lleguen mails de phishing a tu bandeja de entrada. Ten cuidado para evitar abrir por accidente un correo electrónico con enlaces y archivos adjuntos peligrosos. Para mayor seguridad, usar herramientas antiphising. NordVPN ofrece más que una VPN con la Protección contra amenazas Pro™, que puede ayudarte a identificar y bloquear de forma automática este tipo de contenidos.
• Obtén un filtro de archivos adjuntos. Además de contar con una función antiphishing, la Protección contra amenazas Pro™ de NordVPN está diseñada para protegerte ante diversos tipos e intentos de phishing. Es una función de seguridad que te mantiene a salvo al navegar, y además te protege frente al malware. Esta herramienta de ciberseguridad analiza tus archivos durante la descarga, y bloquea el contenido malicioso antes de que llegue a tu dispositivo.
• Aprende a reconocerlo. Puedes aprender a detectar fácilmente los correos electrónicos maliciosos con un poco de práctica. Incluso los pequeños detalles importan. Si tu jefe siempre firma sus correos electrónicos diciendo ‘¡Gracias!’, pero de pronto firma diciendo ‘Saludos cordiales’, es mejor que verifiques la autenticidad del correo. Toda precaución es poca cuando hay dinero o secretos de empresa en juego.
• Mantén tu software actualizado. Mantener el software actualizado es esencial para protegerse frente a las vulnerabilidades de seguridad y los ciberataques. Las actualizaciones de software suelen incluir protección contra los últimos factores de amenaza, así que asegúrate de instalarlas en cuanto estén disponibles.
• Utiliza un gestor de contraseñas. Crea y almacena contraseñas complejas y únicas para cada una de tus cuentas online con un gestor de contraseñas como NordPass.
• Mantente alerta. Adopta una actitud escéptica, y no dudes en comprobar la autenticidad de cualquier correo electrónico o página web. Si tienes dudas, ponte en contacto a través de medios alternativos con la empresa o la persona emisora del correo electrónico, y verifica su autenticidad.

Tendencias recientes de phishing

El phishing y las otras amenazas digitales evolucionan constantemente y a toda velocidad, a medida que los cibercriminales utilizan nuevas tecnologías y desarrollan métodos más sofisticados para evadir las medidas de seguridad tradicionales.

Phishing potenciado por IA

Los avances en inteligencia artificial han ayudado a los ciberdelincuentes a crear ataques más convincentes y personalizados. La IA puede crear contenido de phishing que imita perfectamente el estilo de escritura de individuos u organizaciones, haciendo que los mensajes fraudulentos sean mucho más complicados de identificar.

Los deepfakes y el video phishing son nuevas amenazas que ya han tenido consecuencias. Los estafadores pueden crear videos falsos de personas de autoridad solicitando transferencias de dinero o información confidencial, utilizando tecnología para imitar la voz e imágenes muy realistas.

Business Email Compromise (BEC)

Los ataques BEC han experimentado un crecimiento exponencial, con pérdidas que superan los 50 mil millones de dólares globalmente en 2024, según el FBI. Estos ataques se dirigen específicamente a organizaciones, con estafadores que se hacen pasar por ejecutivos para solicitar transferencias o acceso a información confidencial.

La alta tasa de éxito de estos ataques se debe a los ataques dirigidos y a la investigación que realizan los atacantes sobre sus objetivos. Las grandes ganancias en términos monetarios han motivado el desarrollo de operaciones BEC cada vez más sofisticadas.

Phishing híbrido

Los ataques modernos combinan varias técnicas para crear estrategias que ayudan a evitar las medidas de seguridad tradicionales. Estas campañas pueden comenzar con un correo de phishing que instala malware, seguido de llamadas de vishing para validar información robada, y terminan con ataques de ransomware.

Un buen ejemplo es la combinación de phishing por email seguido de confirmación telefónica. Los cibercriminales primero obtienen información básica a través de una página falsa y luego llaman a la víctima haciéndose pasar por un departamento de seguridad (o similar) para solicitar códigos de autenticación y confirmar los datos.