¿Qué es el phishing y cómo se puede prevenir?

¿Qué es el phishing?

El engaño por lo general se realiza a través de emails, SMS, mensajes directos en redes sociales (como Facebook) o a través de llamadas telefónicas. Este tipo de estafa usa la ingeniería social para jugar con el sentido de urgencia y las emociones de las personas. Las estafas de phishing existen desde los primeros días de internet y siguen siendo una de las formas más extendidas de ciberataques. Solo en el 2022 se produjeron más de 225 millones de ataques de phishing por correo electrónico en todo el mundo.

¿Cuál es el objetivo de un ataque de phishing?

El objetivo de los ciberdelincuentes suele ser conseguir dinero. Puede ser desde engañar a una persona para que realice una transferencia bancaria, u obtener los datos de una tarjeta de crédito. Pero su objetivo también puede ser obtener valiosa información personal o empresarial. En estos casos, los atacantes pueden engañar a un usuario para instalar software malicioso e ingresar a su computador. Así obtendrá información valiosa de una persona o empresa.

Si quieres saber más, mira nuestro video en YouTube donde te explicamos cómo funciona un ataque de phishing:

¿Cómo funciona el phishing?

Hay muchas formas en las que los phishers pueden hacernos morder el anzuelo. Los correos electrónicos falsos son una de las formas más populares. Algunos están tan minuciosamente creados, y tan bien diseñados, que resulta difícil para un usuario promedio detectar la trampa.

También pueden utilizar el phishing de URL para engañarte y hacer que des clic en un enlace malicioso. O hacer que descargues un archivo adjunto infectado con malware o spyware, dándoles acceso a tu computadora o teléfono. También pueden hacer que introduzcas tu información confidencial en una web falsa, que tendrá un aspecto legítimo, pero que en realidad está controlada por ciberdelincuentes.

Es importante manejarse con precaución al recibir solicitudes inusuales de información personal, sobre todo si te piden que des clic en un enlace o si te invitan a descargar un archivo adjunto.

Ejemplos de técnicas phishing

Estas son algunas de las principales técnicas de manipulación que usan los ciberdelincuentes para intentar estafarte:

• Ingeniería social. Los ataques de ingeniería social se basan en la interacción humana para engañar a las personas. Esta forma de manipulación psicológica tiene como objetivo influir en una persona para que haga algo que no le conviene. Los delincuentes intentarán que bajes tus sistemas de seguridad, o que les facilites datos confidenciales o claves de acceso haciéndose pasar por entidades (bancos o empresas), organizaciones (administraciones públicas y federales) o una persona de tu confianza.
• Manipulación de enlaces. En este tipo de ataque se manipula el aspecto de un enlace malicioso para engañar o confundir a las víctimas del hacker. El objetivo es que la víctima dé clic en un enlace al que de otro modo jamás ingresaría. Estos enlaces por lo general redirigen a páginas web fraudulentas o peligrosas
• Evasión de filtros. Con esta técnica los delincuentes buscan evadir los mecanismos de seguridad y filtros diseñados para detectar y bloquear correos electrónicos o mensajes falsos. Estos filtros suelen estar presentes en servidores de correo electrónico, navegadores y sistemas de seguridad que buscan patrones o comportamientos sospechosos que puedan avisarnos sobre un intento de phishing.

Consecuencias del phishing

El número de ataques peligrosos de phishing aumenta cada año. El motivo es que cuesta muy poco elaborar las estafas de phishing, pero son muy eficaces, así que generan muchos beneficios económicos.

Revisemos más en detalle sus peligros:

• Robo de identidad. Si un phisher obtiene tu información personal, puede usarla para robar tu identidad y cometer fraudes financieros.
• Pérdida de dinero. Los phishers pueden engañarte para que otorgues acceso a tus cuentas bancarias o tarjetas de crédito, que luego usarán para robar tu dinero o hacer compras no autorizadas.
• Daños a la reputación. Cuando un ciberdelincuente consigue tu información personal, puede utilizarla para dañar la reputación de una empresa o un individuo.
• Pérdida de datos sensibles. Los phishers también pueden tener como objetivo robar datos sensibles, como secretos comerciales empresariales o propiedad intelectual. Luego pueden venderlos al mejor postor o usarlos para extorsionar al propietario.
• Instalación de malware. Algunos ataques de phishing pueden engañar a la gente para que descargue malware. Luego, este software dañino puede emplearse para acceder a los dispositivos personales, como computadores o celulares, y robar información en un ataque de ransomware.

Protégete de los peligros del phishing y navega de forma responsable. Ten cuidado al hacer clic en enlaces a webs sospechosas o al descargar archivos adjuntos de fuentes o remitentes de poca confianza. Utiliza contraseñas robustas y diferenciadas para cada cuenta y mantente siempre alerta.

Cómo reconocer un ataque de phishing

Los phishers tienen métodos muy elaborados para engañar a las víctimas. Por eso es importante que vayas un paso por delante de los ciberdelincuentes. Aquí te compartimos varias formas de reconocer un ataque de phishing:

• Pregúntate si están creando una sensación de urgencia en el mensaje. La mayoría de los ataques de phishing se apoyan en el miedo de la gente a cometer un error o a dejar pasar algo importante, moviéndolos a tomar decisiones poco planificadas. Una excelente oferta disponible por muy poco tiempo limitado, puede llevar a un comprador interesado en el producto a hacer clic en un enlace sin detenerse a comprobar si este es legítimo. Piensa si quizá la oferta es demasiado buena para ser cierta antes de proceder.
• Comprueba si hay errores ortográficos y gramaticales. ¿El texto tiene faltas de ortografía? ¿El tono general del mensaje suena algo extraño? Quizá se trate de una estafa de phishing. Las empresas y organizaciones legítimas normalmente te harán llegar comunicaciones bien escritas y sin errores.
• Desconfía de archivos adjuntos o enlaces inesperados. Es poco probable que las empresas te envíen boletines, correos electrónicos de alerta u otros mensajes con archivos adjuntos. Ten cuidado con los enlaces sospechosos dentro de correos, sobre todo si vienen de un remitente desconocido o inesperado. No descargues archivos ni hagas clic en esos enlaces.
• Desconfía de los saludos genéricos. Los correos electrónicos maliciosos suelen enviarse a grandes grupos de gente y pueden usar saludos genéricos como ‘querido cliente’ en lugar de tu nombre.
• Asegúrate de que conoces al remitente. Si un servicio en concreto nunca se había comunicado antes contigo sobre cambios de contraseñas, ni te habían enviado ofertas especiales, es probable que no sea el remitente oficial quien se esté poniendo en contacto contigo, sino más bien un ciberdelincuente.

Recuerda que los estafadores son cada vez más ingeniosos y sus técnicas más sofisticadas. Estos métodos de reconocimiento no siempre funcionan y es posible que el ataque de phishing sea indetectable por un usuario promedio. Manténte siempre escéptico cuando recibas correos electrónicos, mensajes o llamadas no solicitadas, por más tentadoras que parezcan. Pero también puedes ir un paso más allá y utilizar herramientas de detección de phishing para mantenerte mucho más protegido.

Ejemplos de ataques phishing

Existen diversas técnicas y escenarios donde los delincuentes pueden aprovechar para engañar a sus víctimas y obtener lo que buscan. Estos son algunos ejemplos de phishing:

Phishing por correo electrónico

Usando emails falsos como herramienta, suele tener como objetivo engañar al destinatario para que realice una acción, como hacer clic en un enlace que lleve a páginas maliciosas, descargar un archivo adjunto o conseguir una respuesta al correo develando información personal.

Spear phishing

Los ataques creados y dirigidos a un individuo en concreto se denominan ataques de spear phishing. Para diseñarlos, el delincuente investiga a profundidad a su objetivo antes de enviar el correo electrónico falso o compartir la página para hacer phishing. Recopilará información en sus redes sociales o cuentas públicas o aprovechará filtraciones de datos donde la víctima haya formado parte. También puede usar datos que pueda encontrar sobre la empresa donde trabaja. Con este conocimiento, el ciberdelincuente puede pretender ser alguien de fiar, y hacerse pasar por un compañero de trabajo, un viejo amigo, o un agente de algún servicio que la víctima usa a menudo.

Whaling

Con esta técnica, el atacante se hace pasar por un miembro de alto rango de una empresa, como un director general, un miembro del consejo de administración, un accionista principal, etc. La identidad de estas personas es más difícil de recrear, así que el ciberdelincuente debe esforzarse mucho más para que su estafa resulte creíble. Como los altos cargos tienen más influencia en una empresa, las ganancias que pueden llegar a obtener con estos ataques suelen ser mucho mayores. Si el engaño logra realizarse, los empleados pueden transferir fondos o enviar información confidencial sin hacer preguntas.

Phishing clon

El atacante necesita monitorear de cerca la bandeja de entrada de su víctima para que este tipo de phishing funcione. Consiste en tomar un correo electrónico recibido recientemente, de preferencia con un enlace o un archivo adjunto, y clonarlo. El nuevo correo se verá idéntico al original, pero el archivo adjunto contendrá malware, o el enlace redirigirá a la víctima hacia una página web falsa.

Vishing

Los ataques de vishing se basan en gran medida en la ingeniería social, y buscan crear situaciones estresantes para empujar a la gente a actuar sin pensar dos veces. Los atacantes pueden asustar a sus víctimas afirmando que alguien trató de usar su tarjeta de crédito, que olvidaron pagar una multa, o cualquier otra historia que cause un impacto similar. Por desgracia, a menudo esta técnica consigue su objetivo. Una persona bajo este tipo de estrés, puede facilitar sus datos bancarios y otros detalles personales sin pensarlo.

Smishing

El smishing, o phishing por SMS, es una técnica de suplantación de identidad donde un estafador envía un mensaje SMS que parece proceder de una organización de confianza. El mensaje puede pedir al destinatario que haga clic en un enlace para dar información personal o confirmar su información bancaria. Entonces redirige a la víctima a una web que parece legítima, pero que en realidad es una web de phishing diseñada para robar información.

Phishing en Facebook

Los estafadores usan esta plataforma para hacerse pasar por contactos cercanos o de confianza, para contactar con sus víctimas a través de un mensaje directo falso. Es posible que, aprovechando que la víctima confía en el perfil, exija información personal importante (como datos bancarios), pida una transferencia de dinero de emergencia o inclusive sus credenciales de acceso a cuentas. Este ataque se realiza a través de perfiles robados, haciendo uso de la técnica del robo de identidad, o a través de un perfil falso. Es posible que esta técnica no sea exclusiva de Facebook, y pueda extenderse a otras redes como Instagram o LinkedIn.

Angler phishing

El angler phishing es también una técnica de phishing usada en redes sociales. Esta vez los atacantes se hacen pasar por agentes de servicio de atención al cliente de la plataforma para estafar a las víctimas y robarles sus datos personales o los accesos a sus cuentas. Así, podrán robar sus perfiles y utilizarlos para realizar más estafas.

Phishing de calendario

El phishing de calendario engaña a la gente mediante el envío de invitaciones en sus calendarios digitales para que hagan clic a un enlace malicioso. Este link conduce a una página para hacer phishing o incluso puede llegar a instalar malware en el dispositivo de la víctima.

Qué hacer en caso de phishing

Si ya has sido víctima de una estafa de phishing, o sospechas que lo has sido, debes actuar lo antes posible. A continuación te mostramos lo que debes hacer si recibes un correo electrónico de phishing o si eres víctima de alguna estafa de este tipo:

¿Qué hacer si sospechas de un intento de phishing?

Si recibes un correo electrónico o mensaje donde se te pide que hagas clic en un link o que descargues un archivo adjunto, asegúrate de reconocer al remitente o a la empresa que trata de ponerse en contacto contigo. Procede a dar clic solo después de verificar que todo esté en orden.

Un ejemplo claro: si recibes un correo electrónico de una empresa que conoces, trata de ponerte en contacto con ellos por otros medios, como por vía telefónica. Así podrás conifrmar que la solicitud que has recibido es legítima.

Por otro lado, si no tienes ninguna relación con la empresa emisora del mensaje, trata de identificar los signos de un ataque de phishing. Si el mensaje es sospechoso, asegúrate de informar del intento de phishing a la empresa oficial y elimina el mensaje. Si abres un correo electrónico de phishing por accidente, no hagas clic en ningún enlace. Solo notifícalo y pulsa eliminar de inmediato.

¿Qué hacer si eres víctima de phishing?

Aunque te hayas familiarizado con las señales de phishing más comunes, algunas webs falsas son tan sofisticadas que pueden robar tu información personal o financiera sin que te des cuenta de que se trata de una estafa.

Debes reaccionar de inmediato si has introducido datos bancarios en una web maliciosa desde un correo electrónico falso. Ponte en contacto con el servicio de atención al cliente de tu banco e informe del incidente. Ellos adoptarán las medidas necesarias para prevenir el uso ilegal de datos.

Por último, si vives en México y has facilitado otros datos personales como tu número de seguridad social o afiliación, contactos personales o la dirección de tu hogar, visita la web del INAI. Allí encontrarás información sobre cómo debes proceder.

¿Cómo protegerse ante el phishing?

• Utiliza filtros antispam. La mejor forma de evitar los correos electrónicos phishing pasa por prevenir que lleguen a tu bandeja de entrada. Esto te prevendrá a abrir por accidente un correo electrónico con enlaces y archivos adjuntos peligrosos. Para mayor seguridad, usar herramientas antiphising como la Protección contra amenazas Pro de NordVPN pueden ayudarte a identificar y bloquear de forma automática este tipo de contenidos.
• Obtén un filtro de archivos adjuntos. Además de contar con una función antiphishing, la Protección contra amenazas Pro de NordVPN está diseñada para protegerte ante diversos tipos e intentos de phishing. Es una función de seguridad que te mantiene a salvo al navegar, y además te protege frente al malware. Esta herramienta de ciberseguridad analiza tus archivos durante la descarga, y bloquea el contenido malicioso antes de que llegue a tu dispositivo.
• Aprende a reconocerlo. Puedes aprender a detectar fácilmente los correos electrónicos maliciosos con un poco de práctica. Incluso los pequeños detalles importan. Si tu jefe siempre firma sus correos electrónicos diciendo ‘¡Gracias!’, pero de pronto firma diciendo ‘Saludos cordiales’, es mejor que verifiques la autenticidad del correo. Toda precaución es poca cuando hay dinero o secretos de empresa en juego.
• Mantén tu software actualizado. Mantener el software actualizado es esencial para protegerse frente a las vulnerabilidades de seguridad y los ciberataques. Las actualizaciones de software suelen incluir protección contra los últimos factores de amenaza, así que asegúrate de instalarlas en cuanto estén disponibles.
• Utiliza un gestor de contraseñas. Crea y almacena contraseñas complejas y únicas para cada una de tus cuentas online con un gestor de contraseñas como NordPass.
• Mantente alerta. Adopta una actitud escéptica, y no dudes en comprobar la autenticidad de cualquier correo electrónico o página web. Si tienes dudas, ponte en contacto a través de medios alternativos con la empresa o la persona emisora del correo electrónico, y verifica su autenticidad.

Preguntas frecuentes

¿Qué es el phishing y cuál es su objetivo?

El phishing es un tipo de fraude online donde los atacantes se hacen pasar por personas u organizaciones de confianza para engañar a las víctimas y obtener sus datos personales, como contraseñas e información financiera. Este tipo de ataques suelen utilizar correos electrónicos, SMS o mensajes en redes sociales que parecen legítimos para incitar a la gente a hacer clic en enlaces o descargar archivos maliciosos.

¿Qué tipos de phishing hay?

Son muchas las técnicas usadas por los delincuentes. Algunos tipos de ataques de phishing más extendidos, incluyen el phishing por correo electrónico, el spear phishing (ataques personalizados), el whaling (dirigido a altos cargos de empresas), el vishing (phishing por llamadas), el smishing (phishing por SMS), phishing en facebook y el angler phishing (phishing en redes sociales). Cada tipo utiliza distintas técnicas para engañar a las víctimas y robar información. Con el avance de la tecnología, los métodos de engaño van en aumento.

¿Qué es lo más peligroso del phishing?

El aspecto más peligroso del phishing es su capacidad para engañar a las víctimas a proporcionar información personal o financiera, como contraseñas, datos bancarios o transferencias de dinero falsas. Esto puede llevar a robos de identidad, pérdidas económicas importantes y comprometer cuentas personales o profesionales, así como daño a la reputación. La sofisticación de algunas campañas de phishing puede hacer que incluso personas con experiencia en ciberseguridad caigan en la trampa.

¿Cómo puedo evitar el phishing?

Para protegerte del phishing, utiliza filtros antispam y herramientas de protección contra amenazas, mantén tu software actualizado, y aprende a identificar correos electrónicos sospechosos. Además, evita hacer clic en enlaces o descargar archivos de fuentes desconocidas y utiliza contraseñas únicas y seguras para cada cuenta.