¿Qué es el phishing y cómo protegerse de este ciberataque?

Cuando navegamos por la red estamos expuestos a todo tipo de peligros. Conociéndolos de antemano, podemos tomar las precauciones correspondientes para tratar de evitarlos.


El phishing es uno de los ataques más habituales que podemos encontrar en la red y puede tener consecuencias desastrosas si no se evita a tiempo.



Resumen del post

  1. ¿Qué es el phishing?

  2. Historia del phishing

  3. Tipos de ataques de phishing

  4. ¿Cómo identificar un ataque de phishing?

  5. ¿Cómo protegerse del phishing?


1. ¿Qué es el phishing?


El phishing es un tipo de ataque informático que se relaciona con el envío de emails que buscan manipularnos con el objetivo de acceder a nuestra información confidencial.


Para ello, el correo electrónico se habrá modificado de tal forma que parezca una fuente de referencia: el banco al que pertenecemos, la compañía de electricidad o incluso la Agencia Tributaria.


Bajo esta apariencia de seguridad se esconderá un enlace que será el verdadero protagonista del phishing.


En el momento en el que haga clic sobre el mismo, el ataque podrá acceder a nuestros datos personales.




2. Historia del phishing


Para conocer mejor el phishing es necesario trasladarse por el tiempo hasta la década de los 90.


Por aquel entonces, los crackers (que son personas que se dedican a romper la seguridad) tenían por objetivo hacerse con las cuentas de la compañía AOL, que era la que suministraba Internet en Nueva York por aquel entonces.


Su plan era hacerse pasar por un empleado de la compañía y enviar un correo electrónico a los pobres incautos. El correo electrónico estaba compuesto por los datos personales de un pedido, de tal forma que el usuario terminaría revelando algunos datos personales, como su contraseña.


Esta sería exigida con la excusa de que había que verificar la cuenta o confirmar la información de la factura.


Cuando el atacante recibía la contraseña, este podría hacerse con la cuenta y darle el uso que se le antojase. Por supuesto, a partir de ese momento se ha ido mejorando el phishing, hasta convertirse en una herramienta cada vez más sofisticada.





3. Tipos de ataque de phishing


Por lo general, un ataque de phishing suele comprender una gran estructura de estafa por correo electrónico que buscan a cualquier persona con criterio en concreto (por ejemplo, aquellos que cuenten con una cuenta de PayPal, para conseguir acceder a los datos de la misma, o hace que el usuario lleve a cabo un determinado pago).


Pero también es posible encontrar phishing personalizado para una determinada persona.


Para ello, el e-mail estará totalmente personalizado, añadiendo información que solo conozca la persona atacada. Por ejemplo, algunas bases de datos de ciertas webs han sido vulneradas y millones de claves han sido robadas.


Muchos atacantes utilizan estas claves para chantajear a los usuarios: les indican que se saben la clave y les exigen un determinado pago que normalmente se llevará a cabo a través de criptomonedas.


Sin embargo, no hay garantías del retorno de la cuenta.


Teniendo en cuenta esta información sobre el phishing, podemos identificar 3 tipos de ataque:


  • Spear Phishing.

El spear phishing es un tipo de ataque que se orienta a un determinado grupo de personas.



Por ejemplo, podríamos estar hablando de los empleados de X empresa. Se crea un mensaje personalizado en el que se indicará la industria en la que trabaja el empleado, se informará sobre la urgencia de la solicitud que se está tratando y aparecerá un enlace de descarga en el que se pretenderá que el usuario haga clic.


  • Whaling

La principal particularidad del whaling phishing es el objeto del ataque. Lo más habitual es que vaya dirigido a una persona más importante, como podría ser el CEO de la empresa.




También podría centrarse en una empresa o industria en especial. Un buen ejemplo de este tipo de engaño podría ser con un e-mail donde se informa a la empresa de que se enfrentarán a acciones legales por un determinado evento y que podrán recibir más información si hacen clic en el enlace especificado.


Al hacer clic en el enlace podrían llegar a una landing en donde tendrían que introducir información importante sobre la empresa, incluso hasta datos bancarios.


  • Smishing

Por desgracia, el smishing es un tipo de ataque de Phishing que estamos muy acostumbrados a encontrarnos.



El objetivo de esta técnica es hacer el envío de un SMS a un teléfono móvil. En el mensaje habrá un enlace para pulsar sobre el mismo y así proceder al engaño.


El timo también podría estar en devolver la llamada al número de teléfono. Uno de los ejemplos más habituales de smishing es aquel en el que se envía un mensaje en el que se informa al receptor de que su cuenta bancaria ha sido comprometida y que debe responder de inmediato.


Para ello, tendrá que verificar algún dato, como un PIN, o su número de tarjeta.



  • Vishing

El Vishing es un ataque que se lleva a cabo utilizando una llamada de voz. Se recibe una llamada de alguien que dice llamar de un lugar importante, como podría ser un representante de Microsoft.



Podría indicar, por ejemplo, que se ha detectado un virus en el ordenador del atacante y pedirle la información de su tarjeta de crédito, así como cualquier otra variación.




4. ¿Cómo identificar un ataque de phishing?


Presta atención a las diferentes formas de detectarlo en tu día a día:


  • Sentido común: es prácticamente imposible que una empresa de confianza (como puede ser tu banco, la empresa con la que has contratado internet, o tu compañía eléctrica) se ponga en contacto por correo electrónico para pedirte datos personales. Por muy elaborado que sea el e-mail, el simple hecho de que esto ocurra ya es sospechoso.


  • Detección de errores: los phishers dedican mucho tiempo a reproducir los mensajes de cualquier entidad. Sin embargo, siempre puede haber ciertos errores que los delante, como podría ser errores tipográficos, incoherencias, faltas ortográficas, así como cualquier otro. Leeremos atentamente cualquier e-mail antes de abrir ningún link.


  • Cuidado con operar desde el móvil: cada vez usamos más el teléfono móvil para hacer todo tipo de operaciones, incluso las bancarias. Es importante tener cuidado al operar desde el teléfono móvil, ya que la pantalla es más pequeña y podríamos cometer un error de base (como abrir un enlace sin querer).



5. ¿Cómo protegerse del phishing?


Mantente alerta de diferentes consejos con los que protegerte de este mal virtual:


  • No abras ningún enlace: si realmente la empresa es quien dice ser, lo más recomendable es entrar a su página directamente a través del navegador. Accede a tu espacio personal de la forma convencional.


  • Antivirus actualizado: no solo te hace falta contar con un antivirus, sino que tendrás que asegurarte de que sea bueno, de que esté entre los mejores antivirus recomendados. Además, debes asegurarte de que esté activado, que tenga función anti phishing y que esté actualizado; de lo contrario, no servirá de nada.


  • Solo opera en webs seguras: tendrás que comprobar que el sitio web sea seguro antes de introducir ningún dato personal en el mismo. Para ello, debe empezar por https://. Además, tendrá que aparecer el icono de un candado cerrado.


  • Revisión: además, revisa de forma detenida las facturas y tus cuentas bancarias, para detectar cualquier tipo de irregularidad. Ante cualquier cosa rara, no dudes en reclamar o informar a las autoridades pertinentes.


Ahora que ya sabes que es phishing y cómo protegerte ante él, es el momento de ponerte manos a la obra.