El phishing es una técnica delictiva de ingeniería social que utilizan los ciberdelincuentes para robar información confidencial de otros usuarios. Pero ¿qué datos privados buscan? Claves de acceso, nombres completos, los números de las tarjetas de crédito… Toda la información útil para apropiarse de la identidad de otra persona. ¿Y cómo lo hacen? Envían correos electrónicos con enlaces y textos falsos, diseñados para engañar al lector. Aquí te explicamos qué es el phishing y para qué sirve una VPN.
Tabla de contenidos
El phishing es una técnica de estafa basada en la ingeniería social que utiliza técnicas de suplantación o mensajes falsos para tratar de obtener información –o dinero– a costa de la ingenuidad de quienes caigan en su trampa. Se trata de una de las formas de estafa más extendidas desde que existe internet, hasta el punto de que cada año aumentan los ataques de este tipo. Según los datos de State of the Phish Report 2022, un 86% de las empresas fueron víctimas de ataques phishing.
Existen muy diversos tipos de phishing. Ejemplos de phishing son los correos electrónicos falsos, la suplantación de webs, o los mensajes de texto fraudulentos. Pueden categorizarse de la siguiente manera:
El spear phishing es un tipo de ciberataque que está diseñado para atacar a una víctima en específico, de manera que el atacante realiza un completo estudio sobre la víctima previo al ataque para poder hacerse pasar después por una persona de confianza, quizá un compañero de trabajo, o una plataforma de confianza en la que tenga una cuenta personal.
El whaling es una técnica de phishing en la que el atacante se hace pasar por una persona de alto nivel dentro de una esfera determinada, por ejemplo un directivo, un gran accionista, etcétera. Si un empleado de la empresa o la institución que recibe el ataque cae ante esta estafa, es probable que facilite información o fondos al atacante.
Este tipo de ciberataque se realiza después de obtener información sobre algunos de los correos electrónicos recibidos recientemente por la víctima. El atacante entonces pasa a duplicar uno de estos correos, haciendo ligeras modificaciones para incluir un enlace que conduzca a una descarga de malware, o un link de pago que le permita recibir dinero de su víctima. Bajo el pretexto de que el correo falso es una actualización del anterior, la víctima cae en la trampa y queda infectada o facilita sus datos bancarios.
Se trata de dos tipos de phishing muy similares que se realizan mediante el teléfono, bien a través del SMS –en el caso del smishing– o de una llamada telefónica –en el caso del vishing.
El smishing es un ciberataque que acostumbra a hacerse mediante la inclusión de un enlace en un SMS para que la víctima realice un pago o descargue alguno de los principales tipos de malware. Una estafa reciente de smishing enviaba mensajes haciéndose pasar por empresas de mensajería como MRW o Seur, y reclamaba el pago de una pequeña cantidad de dinero para desbloquear el envío de un pedido online. Cuando la víctima realizaba el pago, los hackers robaban sus datos bancarios y vaciaban su cuenta.
El vishing, por su parte, acostumbra a funcionar mediante una llamada telefónica estresante donde se hace creer a las víctimas que alguien ha tratado de usar su tarjeta de crédito o que han sido víctimas de una filtración de datos por parte de su proveedor de internet. Durante el falso proceso de reparación de este problema, se engatusa a la víctima para que facilite datos con los que luego el atacante podrá robar sus fondos.
El phishing es un tipo de ciberataque diferente a otros. A diferencia del malware, no hay cómo eliminar el phishing con un antivirus. Algunas de las técnicas que puedes usar para protegerte del phishing son: