¿Qué es phishing?
Definición de phishing
El phishing es un conjunto de técnicas delictivas que engañan a las víctimas haciéndose pasar por una empresa reconocida, una marca o un familiar. A través del envío masivo de correos electrónicos o SMS, los hackers roban los datos personales, contraseñas y detalles bancarios de numerosas personas, las cuales desconocen que están siendo víctimas de un ataque de ingeniería social.
Los delincuentes adoptan diferentes disfraces. Envían correos electrónicos o SMS haciéndose pasar por una empresa de reconocido prestigio, un reclutador de RR. HH. o un amigo en apuros, pero hay algo que siempre se repite: el mensaje va acompañado de un enlace manipulado. El link, aunque vaya precedido de unas frases que invitan a hacer clic, es la puerta a una página web diseñada para robar la información confidencial de la potencial víctima.
INCIBE alerta en su página web oficial de que el phishing es uno de los ciberataques que más afecta a PYMES, multinacionales y particulares en España. El Balance de Ciberseguridad relativo al año 2023 señala que se registraron alrededor de 14 000 casos de suplantación de la identidad a través del correo electrónico, pero, sin duda, el número de víctimas de ataques phishing es mayor.
El Código Penal español cataloga el phishing como un delito de estafa (art. 249) y de usurpación de la identidad (art. 401). Las penas o sanciones se calculan según los daños causados, pero en cualquier caso, el phishing es un ciberdelito y los marcos legales se están actualizando para combatirlo.
Para ampliar la información sobre qué es el phishing y por qué necesitas detectar estos mensajes antes de que sea demasiado tarde, puedes ver el siguiente vídeo en inglés:
Ejemplos de phishing
Esta técnica de ingeniería social ha evolucionado, y no siempre es sencillo identificar un mail phishing. En rasgos generales, estos son algunos ejemplos de phishing:
Ofertas y promociones falsas diseñadas para robar tus datos
Ningún negocio regala grandes cantidades de productos ni rebaja sus precios de la noche a la mañana. Quizá esta es la trampa phishing más conocida, pero sigue siendo muy peligrosa porque los hackers saben esconder la mentira para que parezca un anuncio real: copian logos homologados, imitan el tono de voz de la marca o se valen de bots para enviar varios mensajes diferentes en un período de tiempo más largo para que sea más realista.
Si llevas tiempo echándole un vistazo a los anuncios de tu marca favorita, lo más probable es que sepas cuál es el rango de precios que maneja. Al recibir un mail, supuestamente de esta empresa, en la que te proponen comprar uno de sus artículos por menos de 20 euros, antes de pulsar el botón “Comprar ahora”, verifica la dirección de correo electrónico desde el que se envía y otros elementos para determinar si es una estafa de spam o un correo real.
Recaudaciones para causas benéficas que son mentira
Los hackers especializados en phishing manipulan los sentimientos de las víctimas. Se aprovechan de la buena fe de millones de personas en todo el mundo para robar. Los mensajes phishing que se envían por WhatsApp, Facebook, Telegram o Gmail suelen hablar de una ONG que necesita fondos para llevar a cabo su programa. El lenguaje que emplean muestra que es urgente ayudar.
Sin embargo, el link adjunto lo más probable es que te lleve a un sitio web malicioso que actuará como espejo cuando teclees los dígitos de tu tarjeta. Una vez capturados los datos bancarios, los estafadores robarán los fondos de tus cuentas o usarán esta información en futuros ciberdelitos.
Es crucial comprobar que la ONG que se pone en contacto contigo es real. Asimismo, aunque el logo de Cruz Roja sea idéntico al oficial, puede haber sido manipulado por IA, así que no bajes la guardia.
Ofertas de empleo para puestos que no existen
El phishing conoce cuáles son las preocupaciones de los españoles y adapta sus campañas a estas preferencias. Las ofertas falsas de empleo proliferan en apps como LinkedIn o Indeed, y llegan hasta la bandeja de entrada de miles de usuarios. Según datos del CIS, en abril del 2014, un 13,9 % de los encuestados afirmaron estar preocupados por la calidad del empleo en nuestro país.
En las semanas previas a la Navidad o los meses de verano, aumentan las estafas phishing en las que los delincuentes se hacen pasar por reclutadores. Si recibes un mensaje con una oferta de empleo muy atractiva, no te apresures, recuerda esto: el SEPE no envía correos electrónicos con sus vacantes, InfoJobs utiliza sus propios cauces y las estafas en LinkedIn tienen unas características concretas que debes considerar.
Amigos y familiares con supuestos problemas económicos
En las redes sociales circulan ciberataques phishing camuflados en mensajes de amigos y familiares que, en teoría, necesitan tu ayuda para saldar una deuda. A veces, los estafadores logran las credenciales de un perfil de Instagram (o cualquier red social) y roban su cuenta para iniciar conversaciones con sus contactos y expandir sus enlaces fraudulentos. En otras ocasiones, como en las estafas del príncipe de Nigeria, los mensajes llegan en nombre de un desconocido que necesita que le eches una mano.
Atención: el phishing no solo se presenta en forma de mensaje pidiendo ayuda para pagar el alquiler o saldar una deuda con un seguro médico. Los enlaces más peligrosos son los que tienen aspecto inofensivo, como una felicitación navideña. No abras enlaces con una URL fuera de lo normal, con caracteres especiales u otros elementos extraños, aunque te lo haya enviado un conocido porque quizá estés ante una página web phishing.
Anuncios de pisos en alquiler falsos
Las estafas de phishing en Idealista y otros portales inmobiliarios también son un problema en España. Los estafadores envían correos electrónicos haciéndose pasar por agentes o alguien que busca compañero de apartamento. Por supuesto, es un engaño que viene acompañado de un enlace diseñado para robar datos y dinero.
Desconfía de los anuncios o mails con pisos demasiado baratos o con excesivas faltas de ortografía. Son dos señales muy típicas del phishing. La vivienda es un tema que preocupa a muchos españoles y existe una enorme demanda en las grandes ciudades, también por parte de los turistas, por eso el phishing ha llegado a los anuncios de pisos y casas en alquiler o venta.
¿Cómo funciona el phishing?
El phishing funciona con técnicas de persuasión para que las víctimas abran los correos electrónicos o mensajes en redes sociales y abran enlaces envenenados. El link lleva al usuario a una página web falsa, creada para robar información confidencial. Este es el modus operandi de los expertos en phishing para que las víctimas piquen:
- Paso 1: la información (cebo). Para preparar un ataque de phishing, lo primero es redactar un mensaje irresistible. Los hackers eligen un tema que llame la atención, por ejemplo, una oferta de trabajo para un puesto en Suiza con un salario muy superior al español. Este es el cebo. El correo electrónico estará firmado por un supuesto reclutador de InfoJobs y la redacción intentará ser lo más realista posible, en la que contará el horario, una breve descripción y la duración del contrato.
- Paso 2: la promesa (anzuelo). La víctima empieza a pensar que está ante una gran oportunidad, un salto en su carrera, ya que en esta supuesta oferta de empleo dan razones de peso para aceptar: flexibilidad para la conciliación familiar y la posibilidad de un ascenso. Estas “promesas” apelan a emociones fuertes y juegan con la ilusión del lector. Por supuesto, se afirma que la vacante debe estar cubierta en el plazo de dos días, así que hay que tomar una decisión rápidamente.
- Paso 3: el ataque (captura). La estafa phishing es un éxito cuando la víctima abre el enlace adjunto. Este simple gesto se traduce en la descarga involuntaria de malware o en el aterrizaje en una página web falsa, aunque tal vez parezca un formulario de solicitud de empleo de una empresa grande de Suiza. Para seguir con el proceso, se solicitan datos personales como el nombre completo, dirección de correo electrónico o el número del pasaporte. Desafortunadamente, este anuncio es falso y la víctima no firmará un contrato de empleo.
Este método delictivo de phishing adopta diferentes formas. En las apps de citas, por ejemplo, se han reportado intentos de phishing. El cebo puede ser un galán con un perfil muy interesante y que te ha enviado un match. Una prometedora cita en el centro de la ciudad será el anzuelo y el ataque, un enlace a la página web del restaurante al que te quiere llevar a cenar. No obstante, la sorpresa será muy desagradable, la descarga de un software malicioso en tu móvil o el robo de información confidencial.
Email phishing
¿En qué consiste un email phishing? Esta es una definición simplificada de qué es este tipo de phishing.
Definición de un email phishing
Un correo electrónico enviado por hackers especializados en phishing está manipulado para que la víctima, después de abrir un determinado enlace, vaya a parar a un sitio web inseguro que está pensado para robar datos y dinero.
El phishing por email es la técnica delictiva principal de estos hackers. A menudo, a la hora de definir qué es el phishing en informática, se hace referencia a los mensajes manipulados que llegan a las bandejas de entrada de las víctimas. Para que sea más creíble, los estafadores se hacen pasar por empresas o personas respetables que, de forma totalmente inocente, están intentando mantener un contacto legítimo con la futura víctima.
Nada más lejos de la realidad. La URL adjunta es el gancho de una estafa, al hacer clic, la víctima podría descargar malware phishing sin querer o perder parte de su información confidencial.
Spear phishing
Definición de un spear phishing
El spear phishing es un ataque informático que consiste en poner en el punto de mira a un objetivo en concreto para conseguir que comporta información confidencial, como direcciones de correo electrónicos o los dígitos de sus tarjetas de crédito. Los mensajes enviados por los estafadores están tan planificados que parecerán reales.
Entonces, ¿cuál es la diferencia entre un email phishing convencional vs. spear phishing? El nivel de personalización. Las víctimas de spear phishing no son accidentales. Los mensajes enviados por estafadores del método spear phishing conocen más datos sobre sus futuras víctimas, por ejemplo, la Agencia Tributaria española. Se hacen pasar por empleados de sus oficinas que están enviado correos electrónicos a los ciudadanos para confirmar cierta información, adjunto habrá un enlace a una plataforma, supuestamente, autorizada por la institución pública.
Son capaces de copiar el tono de voz del organismo que administra los impuestos de nuestro país, dirigirse a la víctima por su nombre completo e imitar los logos oficiales en sus correos electrónicos. Sin duda, el spear phishing es un tipo de phishing que en ciberseguridad se estudia desde hace años para desactivarlo.
Smishing and vishing
El phishing por SMS y el phishing por voz son dos métodos que están en auge gracias al desarrollo de la inteligencia artificial. Pasemos a ver cuál es la definición de este phishing en español y sus características principales.
Definición de smishing
El phishing por SMS, conocido también como smishing, es un ciberataque que se lleva a cabo a través de mensajes SMS. Con frecuencia, los estafadores fingen ser repartidores de Correos o empleados de una empresa que necesitan confirmar algunos datos, por eso adjuntan un correo al debido formulario. Al abrir el link, la víctima tendrá muchos problemas de ciberseguridad.
¿Dónde se consiguen los números de teléfono de las víctimas de smishing? En el mercado de la web oscura, por ejemplo. Las brechas en seguridad dejan al descubierto información confidencial como los números de móvil de millones de personas en el mundo. La lista Robinson es una medida que trata de protegernos de estas amenazas cibernéticas.
Ahora que hemos explicado en qué consiste el phishing por SMS, veamos cómo operan los engaños de voz.
Definición de vishing
El phishing por voz, vishing (de la combinación de voice y phishing, en inglés) es una estafa que consiste en realizar llamadas telefónicas falsas, adoptando el rol de un funcionario o empleado que necesita cierta información. Para engañar fácilmente a la víctima, probablemente use datos obtenidos de forma ilegítima con anterioridad, y la IA sirve para imitar voces que parecen reales.
El phishing bancario suele ir acompañado del método vishing, por eso cabe destacar que ninguna sucursal contacta a sus clientes para confirmar datos extremadamente sensibles por teléfono. Para tramitar una hipoteca o cancelar un crédito, se debe acudir a las oficinas y ocuparse de los trámites en persona.
La Brigada contra el Fraude de la Unidad Central de Ciberdelincuencia de la Policía Nacional en España ha alertado en sus redes sociales de algunas estafas phishing, por ejemplo, las relacionadas con errores en las facturas del agua o la luz. Las personas más vulnerables son aquellas con menos conocimientos informáticos y con dificultades para definir qué es un ciberataque, a menudo, las que tienen edades más avanzadas. El proveedor de la luz o el agua tiene su propio canal de comunicación, que desde luego no se corresponde con un prefijo diferente al +34.
Whaling o whale phishing
Definición de whaling
El whaling es un tipo de phishing que consiste en atrapar cargos directivos con correos electrónicos, SMS o llamadas telefónicas manipuladas. El objetivo de los estafadores es ganarse la confianza de las personas que ocupan puestos de dirección para acceder, sin autorización previa, a información confidencial de dicha empresa o instalar malware phishing en los dispositivos electrónicos de los empleados.
Bajo el titular “Historias reales”, la página web oficial de INCIBE muestra varios ejemplos de whaling. Uno de ellos señala la posibilidad de caer en la trampa porque el estafador suplanta la identidad de un jefe de equipo. Esto lo consigue con el hackeo de la cuenta profesional de dicha persona, alguien a quien conoces, y que conoce ciertos datos confidenciales de la empresa. Esta clase de phishing es muy peligroso, por eso es fundamental identificarlo antes de que sea tarde.
Pharming o el phishing sin señuelo
El pharming es un término informático que nace a raíz de dos palabras inglesas: phishing y farming. Su definición es similar al phishing, aunque existen varias diferencias importantes.
Definición de pharming
El pharming es un método de phishing que consiste en el acceso sin autorización a dispositivos de terceras personas. Una vez dentro del sistema operativo, los hackers instalan malware y manipulan el código para robar información personal de las víctimas. La diferencia principal entre phishing vs. pharming es que el segundo no emplea ningún señuelo, por ejemplo, un correo electrónico con un enlace incrustado.
El phishing sin señuelo acecha los sitios web de descargas no autorizadas o las páginas inseguras. Los enlaces manipulados se instalan en numerosos lugares de internet, sobre todo en los que parecen más inofensivos, para que un usuario, por error, los abra y descargue malware phishing en su dispositivo.
HTTPS phishing
Definición de HTTPS phishing
El phishing HTTPS es un ataque informático que manipula a sus víctimas mediante un sitio web que parece confiable, aprobado por el protocolo HTTPS. En la página web se instala un formulario o un chat en vivo en el que los estafadores se las ingenian para que las víctimas proporcionen información privada.
El protocolo HTTPS es la prueba del algodón de que un visitante está en un sitio web de confianza. Los hackers también conocen este método y su popularidad, por eso están incorporando este elemento a sus ciberengaños. Además de tener presentes las diferencias entre HTTP y HTTPS, analiza si estás frente a un intento de phishing.
Search Engine phishing o phishing en los motores de búsqueda
El phishing en los buscadores corresponde a un SEO envenenado, que está causado por sitios web falsos que logran ser visibles en las páginas de resultados de los motores de búsqueda. Esta es la definición básica del Search Engine phishing.
Definición de phishing en los motores de búsqueda
El phishing en buscadores, también conocido como envenenamiento SEO o troyanos SEO, significa que los hackers tratan de aparecer en los primeros resultados de una búsqueda realizada a través de Google (entre otros navegadores). Los titulares y las meta descripciones serán muy parecidas a las legítimas. Cuando la víctima abre el enlace, se dirige al sitio web hackeado.
Los ciberdelincuentes que se dedican al SEO phishing, roban información y fragmentos de sitios web conocidos para que sus páginas falsas sean lo más realistas posibles. Esta especie de páginas espejo son un auténtico peligro para los cibernautas.
Man-in-the-middle (MITM) phishing
Denifinión de Man-in-the-middle-phishing
El phishing MITM se da cuando un hacker logra interponerse entre un usuario y su app, por ejemplo, un buscador. El objetivo del delincuente es escuchar conversaciones privadas, registrar el tráfico online o robar otro tipo de información confidencial sin que la víctima se dé cuenta de lo que está pasando. Esto ocurre, por citar solo un caso, en redes wifi públicas con escasas medidas de seguridad.
La operación “Osgiliath” (2024) concluyó con la detención de treinta personas acusadas de robar más de un millón y medio de euros usando ataques MITM. Los ciberdelincuentes lograron registrar conversaciones privadas de las víctimas y hacerse con datos personales suficientes para abrir cuentas bancarias falsas. En la página oficial del Ministerio del Interior se señala que las víctimas eran captadas a través de ofertas de empleo falsas, y este delito no solo se cometió en nuestro país, hubo personas afectadas en Andorra, Finlandia, Portugal o Ecuador, entre otros.
Es esencial denunciar los casos de phishing, incluso si se trata de una cantidad de dinero pequeña, ya que estas bandas operan a gran escala y el phishing bancario se traduce en estafas millonarias.
Pop-up phishing o el phishing de las ventanas emergentes
Definición de pop-up phishing
Los hackers especializados en pop-up atacan sitios web con malware hasta lograr introducir ventanas emergentes en sus páginas. Los mensajes falsos adoptan forma de chat de asistencia técnica, ofertas exclusivas y otros textos que llaman la atención de las víctimas que, al hacer clic en el botón, son redirigidas a un sitio web phishing preparado para robar datos o propagar código malicioso o en el dispositivo de la víctima.
Las tiendas de comercio electrónico son cada vez más populares en España. Por mencionar solo una de las más conocidas, Temu es una plataforma segura, pero es imprescindible verificar que los anuncios que vemos en pantalla son de este gigante del retail y no de una banda de hackers especialistas en pop-up phishing.
Evil Twin phishing
Definición de Evil Twin phishing
El phishing del “gemelo malvado” es un ciberataque que opera de la siguiente manera: crea un punto de acceso a internet falso al que se conecta una víctima para, acto seguido, robar su información personal o instalar malware sin autorización en su móvil o portátil. El Evil Twin es una de las amenazas cibernéticas más frecuentes en las redes públicas de internet.
En las universidades, centros comerciales o espacios de coworking deben protegerse las redes wifi para evitar esta clase de problemas informáticos. Los puntos de acceso inventados por hackers de Evil Twin son muy parecidos a los nombres de las redes inofensivas, por ejemplo, lo que supone un riesgo elevado para los usuarios que se conectan.
Angler phishing
Definición de Angler phishing
El Angler phishing es una estafa online que consiste en pretender ser un empleado del equipo de Atención al cliente de una marca. Tratan de captar víctimas a través de las redes sociales y otras plataformas digitales, y llegan a alegar que se han dado cuenta de un error y necesitan información para solucionarlo o que tienen una oferta increíble solo para ti.
¿Cómo reconocer el phishing?
Puedes identificar los rasgos característicos del phishing antes de caer en la trampa. Esta es la lista básica que debes tener en cuenta:
- Presta atención a la ortografía y la concordancia del mensaje. Dirigirse a ti por otro nombre, los errores gramaticales o el uso excesivo de mayúsculas y verbos que invitan a la acción inmediata son tres rasgos característicos del phishing. Otra clave para identificar el phishing es reflexionar si tiene sentido el idioma del correo electrónico, si tu cuenta de InfoJobs está en español y solo buscas empleo en nuestro país, las propuestas laborales deberían ser en castellano.
- Verifica la dirección de correo electrónico o el número de teléfono antes de abrir el mensaje. Cualquier empleado de una empresa, ya sea del departamento de Atención al cliente o ventas, debe usar un dominio corporativo. Fíjate en los caracteres del email y qué aparece después de @. Asimismo, no respondas llamadas con prefijos de países con los que no tienes relación, podría ser un intento de vishing.
- Si suena demasiado bien, toma precauciones. Las ofertas por tiempo limitado con las que se pueden comprar un coche con un descuento desorbitado suelen ser phishing. Aconsejamos comprobar si estas promociones aparecen en el sitio web oficial de la marca, en prensa u otros sitios web.
¿Qué hacer si detecto un ataque phishing?
Reportar los casos de phishing es fundamental para ponerle freno a estas amenazas digitales. Si te encuentras con un email phishing, haz clic en “Reportar como phishing” y “spam”, además de bloquear al usuario que ha intentado engañarte.
Sigue el mismo procedimiento en otras aplicaciones, como en las redes sociales. Denuncia todos los mensajes sospechosos y comentarios susceptibles de ser phishing para investigar si ha sido una falsa alarma o no. Recomendamos reportar, sobre todo, el phishing bancario.
Ante la duda de si se ha frenado a tiempo el phishing o no, bloquea tu tarjeta de crédito y cambia las contraseñas de tus perfiles online. Por ejemplo, si estabas a punto de cerrar una compra online, pero, en el último momento, has pensado que quizá es phishing, ponte en contacto con tu entidad bancaria para evitar posibles robos.
Asimismo, se debe acudir a las autoridades para formular una denuncia formal. El robo de información confidencial, imágenes personales o audios es un ciberdelito y se tienen que denunciar.
¿Qué hacer si soy víctima de phishing?
Tanto a título personal como empresa, debes presentar una denuncia ante las autoridades e intenta aportar el mayor número de pruebas: pantallazos, registros de llamadas o los cargos inesperados en tu cuenta bancaria. Al mismo tiempo, reporta el ataque phishing en la plataforma en la que haya sucedido, ya sea Instagram, WhatsApp o Gmail.
En la página web oficial de la Agencia Española de Protección de Datos se pueden reportar los casos de phishing, y esto es conveniente para investigar su gravedad. Aunque a ti te hayan robado una pequeña cantidad de dinero, quizá esto sea la punta del iceberg.
Una vez presentada la denuncia ante las autoridades, las apps y registrar el caso en la AEPD, comunica a tus contactos lo que ha pasado. Es posible que tu círculo cercano empiece a recibir mensajes con virus phishing y enlaces manipulados, necesitas que estén prevenidos.
¿Cómo evitar el phishing?
Estos son algunos consejos que cualquier usuario, independientemente de su nivel de conocimientos tecnológicos, puede seguir para protegerse online:
- Filtros antispam. No subestimes la bandeja de correo no deseado de Gmail, entre otros. Los mensajes que potencialmente podrían dañar tu dispositivo se envían a este apartado, así que te recomendamos no abrir los mails sospechosos y enviarlos directamente a la carpeta “spam”. Si estás seguro de que es una estafa, porque el titular tiene muchas faltas de ortografía o la dirección de correo es claramente falsa, no abras el mail para reducir los riesgos.
- Activa una VPN para encriptar tu tráfico online. Las VPN sirven para añadir una capa extra de seguridad digital a tus búsquedas en internet y frenar los rastreadores o detectar el malware antes de su descarga. Es una herramienta de ciberseguridad fácil de instalar y que proporciona enormes beneficios. NordVPN, además, ofrece una función antiphishing.
- No accedas a páginas web desconocidas. Antes de hacer clic en una URL, comprueba que no aparezcan caracteres especiales o que, en lugar de Amazon, ponga Amezon o algo similar. Los shortcuts también tienen un aspecto determinado, por eso, si tienes dudas, haz una búsqueda manual en Google para comprobar si el sitio web es legítimo y aparece en la página de resultados.
- No realices pagos fuera de la página web. Ningún portal inmobiliario debería solicitar un adelanto de la fianza por Bizum, al igual que para adquirir una entrada para el teatro, no se debería cerrar la operación en una plataforma de pago que no está integrada en su página web. Estas dos situaciones son dos ejemplos de posibles intentos de phishing. No abras enlaces a otros sitios web, sobre todo si parecen sospechosos de contener malware, si quieres hacer una compra en una plataforma concreta. Por último, los métodos de pago deben estar explicados en el sitio web donde quieres realizar la compra.
- Lee con atención el correo electrónico o SMS antes de abrir un enlace. Los hackers saben cómo manipular a las víctimas con publicidad engañosa o supuestas causas benéficas. Todos queremos encontrarnos con el artículo que llevamos buscando semanas a mitad de precio, pero estas ofertas no siempre son reales.
- No abras archivos adjuntos sospechosos. Los correos electrónicos corporativos también son víctimas de phishing, por ejemplo, spear phishing. Incluso si el correo electrónico procede de un departamento de tu empresa, comprueba que la dirección y el mensaje en sí parezcan de verdad.
- Evita conectarte a redes wifi públicas. A veces es complicado dar con una conexión a internet estable, especialmente cuando se viaja al extranjero, pero desaconsejamos recurrir a redes wifi públicas. El phishing es solo uno de los problemas informáticos que se pueden encontrar en esta clase de conexiones.
