El phishing es una de las estafas más antiguas y mejor conocidas de Internet. Podemos definirlo como un tipo de fraude en las telecomunicaciones que emplea trucos de ingeniería social para obtener datos privados de sus víctimas.¿Qué es exactamente el phishing?
Un ataque de phishing tiene tres componentes:
El ataque se realiza mediante comunicaciones electrónicas, como un correo electrónico o una llamada de teléfono.
El atacante se hace pasar por una persona u organización de confianza.
El objetivo es obtener información personal confidencial, como credenciales de inicio de sesión o números de tarjeta de crédito.
Este es el engaño del que el phishing obtiene su nombre: el ciberdelincuente sale de «pesca» («fishing», en inglés, con la misma pronunciación que «phishing») con un «cebo» atractivo para ver si alguna víctima pica en el vasto «océano» de los usuarios de Internet. Las letras ph de «phishing» proceden de una afición de mediados del sigloXX, el llamado «phone phreaking», que consistía en experimentar con las redes de telecomunicaciones para averiguar su funcionamiento. Phreaking + fishing = phishing.
Spam frente a phishing
Si tenemos que elegir, es preferible el spam. La principal diferencia entre ambos es que los spammers no tratan de perjudicar al destinatario. El spam es correo basura: no es más que un montón de anuncios no deseados. Quien recurre al phishing quiere robar sus datos y utilizarlos contra usted. Más adelante, en este mismo artículo, examinaremos exactamente qué buscan los especialistas de esta técnica, y cómo lo hacen.
Por tanto, por molesto que pueda resultar el spam, y siguiendo con la analogía de la pesca, recuerde la siguiente rima: El spam es delicioso, el «phescado» es malicioso.
¿Cómo funciona el phishing?
Independientemente de si se desarrollan por correo electrónico, por redes sociales, por SMS o mediante cualquier otro sistema, todos los ataques de phishing siguen los mismos principios básicos. El atacante envía una comunicación dirigida con el fin de persuadir a la víctima para que haga clic en un enlace, descargue un archivo adjunto o envíe una información solicitada, o incluso para que complete un pago.
La naturaleza del engaño queda a la imaginación y la habilidad del atacante. Con la llegada de las redes sociales, los «phishers» tienen acceso a más información personal que nunca sobre sus objetivos. Armados con estos datos, pueden personalizar al detalle los ataques según las necesidades, deseos y circunstancias vitales del objetivo, y así crear una propuesta mucho más atractiva. En estos casos, las redes sociales hacen posible una ingeniería social mucho más potente.
¿Cuáles son los efectos del phishing?
La mayor parte del phishing puede dar como resultado el robo de identidades o de dinero, y también es una técnica eficaz para el espionaje industrial y el robo de datos. Algunos hackers llegan incluso a crear perfiles falsos en redes sociales, invierten un tiempo en desarrollar una relación con las posibles víctimas y esperan a que exista confianza para hacer saltar la trampa. ¿Cuál es el coste del phishing? No solo hay daños financieros: en estos casos también se produce una pérdida de confianza. No es nada agradable ser estafado por alguien en quien creíamos poder confiar; además, la recuperación puede ser lenta.
¿Cuáles son los distintos tipos de estafa de phishing?
Vamos a profundizar un poco: ¿cómo funciona el phishing? ¿De dónde puede proceder un ataque y qué forma puede adoptar? Vamos a obtener algunas respuestas.
Vectores de phishing: más allá del correo electrónico
Phishing por correo electrónico: los mensajes de correo electrónico son, de largo, el método más común para entregar el cebo del phishing. Estos mensajes suelen contener enlaces que llevan hasta sitios web maliciosos o archivos adjuntos infectados con malware. Más adelante en este artículo veremos qué aspecto puede tener un correo electrónico de phishing, para que sepa qué mensajes debe evitar.
Phishing por sitio web: los sitios web de phishing, también conocidos como sitios falsificados, son copias falsas de sitios web que conoce y en los que confía. Los hackers crean estos sitios para engañarlo de modo que introduzca sus credenciales de inicio de sesión, que a continuación utilizarán para conectarse a sus cuentas. Las ventanas emergentes son otra fuente habitual de phishing por sitio web.
Vishing: esta abreviatura de «voice phishing» (phishing de voz) hace referencia a la versión sonora del phishing de Internet. El atacante intenta convencer por teléfono a las víctimas para que revelen información personal que pueda utilizarse más adelante para el robo de identidad. Muchas robollamadas son intentos de vishing.
Smishing: el smishing es phishing mediante SMS. Recibe un mensaje de texto donde se le pide que haga clic en un enlace o descargue una aplicación. Sin embargo, al hacerlo se le engaña para que descargue en su teléfono un malware que puede captar su información personal y enviarla al atacante.
Phishing por redes sociales: algunos atacantes pueden colarse en las cuentas de redes sociales y forzar a la gente a enviar enlaces maliciosos a sus amigos. Otros crean perfiles falsos y los utilizan para engañar a sus víctimas.
Estrategias habituales de phishing
Por medio de los vectores principales de phishing que hemos expuesto, los hackers pueden lanzar una amplia gama de ataques que van desde lo técnicamente admirable hasta el timo más clásico. No deje que le suceda nada de lo siguiente:
Phishing de engaño: un momento... ¿No llevamos desde el principio diciendo que todo el phishing es un engaño? Vale, sí. El phishing siempre trata de engañarlo. Pero «phishing de engaño» es un término que se refiere específicamente al intento de los hackers por hacerse pasar por empresas o personas legítimas con el fin de obtener su confianza.
Phishing personalizado: las campañas de phishing a gran escala son como barcos pesqueros industriales que intentan capturar todo lo que pueden con sus redes de arrastre. Por el contrario, el phishing personalizado adapta sus ataques a cada objetivo concreto. Redes sociales profesionales como LinkedIn han popularizado el phishing personalizado dirigido contra empresas, ya que los hackers pueden encontrar fácilmente y en un mismo sitio toda su información laboral.
Whaling: para completar las metáforas náuticas tenemos el whaling («pesca de ballenas»), que consiste en ataques de phishing dirigido contra una personas concreta de alto valor. Es igual que el phishing personalizado, pero con objetivos mucho más ambiciosos. Ni siquiera los grandes ejecutivos son inmunes a los ataques de whaling.
Fraude de CEO: los phishers se hacen pasar por el director ejecutivo (CEO) o por cualquier otro alto cargo de una empresa con el fin de obtener un pago o información sobre los empleados. Las campañas de fraude de CEO son habituales tras un ataque de whaling, pues el atacante ya ha obtenido las credenciales del directivo.
Pharming: los ataques de pharming (combinación de «phishing» y «farming», «cultivo») utilizan trucos tecnológicos para engañarlo, en sustitución del cebo habitual. Por ejemplo, la suplantación de identidad de DNS, también conocida como envenenamiento de la memoria caché de DNS, es una técnica de pharming que puede redirigirlo hasta la versión falsificada de un sitio web. Si no presta atención, no notará el engaño hasta que sea demasiado tarde.
Phishing por Dropbox y por Google Docs: los servicios de cloud populares son objetivos atractivos para el phishing. Los atacantes apañan versiones falsificadas de las pantallas de inicio de sesión, consiguen las credenciales del destinatario cuando las introduce y, a continuación, se dan un buen atracón con sus archivos y datos.
Phishing de clonación: los atacantes toman un correo electrónico legítimo, lo «clonan» y envían una copia exacta a todos los destinatarios previos, con un cambio fundamental: ahora los enlaces son maliciosos.
Manipulación de enlaces: los phishers envían enlaces que parecen conducir a una dirección URL, pero al hacer clic en ellos lo llevan a otra parte. Entre los trucos habituales están los errores ortográficos deliberados (p.ej., «luna» y «Iuna» parecen iguales, pero el segundo emplea una i mayúscula) o el uso del nombre de un sitio web de confianza como texto visible de un enlace. Estos ataques también se conocen como homógrafos.
Scripting entre sitios: phishers sofisticados pueden aprovechar debilidades en los scripts de un sitio web para secuestrarlo y emplearlo con distintos fines. El scripting entre sitios es difícil de detectar porque en el sitio web todo parece legítimo, desde la URL hasta los certificados de seguridad.
Protéjase del phishing con Avast Free Antivirus
Avast Free Antivirus hace mucho más que protegerlo de los virus. Nuestra detección de amenazas inteligente puede detectar y notificar los enlaces maliciosos y los archivos adjuntos infectados que a los phishers tanto les gusta emplear contra usted. Si los phishers no logran engañarlo, no podrán robarle sus datos, y estamos centrados en evitar que lo consigan.
Algunos ejemplos de ataques de phishing
Aquí podríamos rellenar tomos y tomos, y eso aunque nos centráramos únicamente en los casos más destacados. Veamos una muestra de los grandes éxitos del phishing:
Phishing desatado durante el Mundial de 2018
Antes del Mundial FIFA de 2018, celebrado en Rusia, el mundo del fútbol internacional se inundó de estafas de phishing. Se tentaba a las víctimas con entradas gratis, ofertas hoteleras de última hora y productos de las selecciones.
Un grupo de atacantes se coló en las bases de datos de hoteles asociados con Booking.com y lanzó una campaña de smishing contra los usuarios del sitio por medio de WhatsApp y SMS. El phishing relacionado con el Mundial se hizo tan intenso que la Federal Trade Commission (FTC) de los Estados Unidos se vio obligada a publicar un aviso oficial.
Operación «Phish Phry»
La Operación «Phish Phry», iniciada en 2007, fue creciendo durante dos años hasta convertirse en su momento en la investigación de ciberdelincuencia internacional más grande del FBI. Su objetivo era acabar con una organización de phishing que engañaba a sus víctimas para obtener números de cuenta, contraseñas y códigos PIN mediante correos electrónicos y sitios web falsificados.
Para cuando la investigación concluyó, los ciberdelincuentes habían logrado transferir aproximadamente 1,5millones de dólares de las víctimas a cuentas en EE.UU., pero el FBI y las autoridades de Egipto fueron capaces de procesar a más de 100sospechosos en ambos países.
La filtración de datos de Target en 2013 (cortesía del phishing)
Target sufrió un gran revés global en 2013 a causa de una filtración de datos que afectó a 110millones de clientes. Aunque el gigante del comercio minorista aún no ha revelado todos los detalles del ataque, se sabe que todo comenzó con un correo electrónico de phishing enviado a uno de sus proveedores.
Desde dos días antes del Black Friday, los hackers accedieron a los lectores de tarjetas de los puntos de venta para obtener nada menos que 11GB de datos de tarjetas de crédito y débito de los clientes. Como resultado, Target tuvo que aceptar un acuerdo de conciliación récord de 18,5millones de dólares.
Fundamentos del phishing por correo electrónico
La enorme mayoría de los ataques de phishing se perpetra a través del correo electrónico. ¿Quiere aprender cómo funcionan estos mensajes? Vamos a ello.
¿Cuáles son los correos electrónicos de phishing más comunes?
La mayoría de los mensajes de phishing pueden clasificarse en distintas categorías. Aquí tiene algunas de las que verá con más frecuencia:
Problemas de facturación: se le indica que algo que ha comprado en línea recientemente no se puede enviar por un problema en la factura. Al hacer clic, se le lleva a una página falsificada donde deberá introducir sus datos financieros, con lo que los phishers se hacen con ellos.
Las autoridades van a por usted: estos correos electrónicos apelan a su disposición a creer (y obedecer) las solicitudes de las autoridades. Normalmente son de naturaleza amenazadora y suelen prometer alguna temible penalización si no proporciona los datos personales que se solicitan.
Las autoridades quieren darle dinero: puede considerarlo la versión inversa del ejemplo anterior. Suelen aparecer durante la campaña de la declaración de Hacienda y le ofrecen una devolución si confirma rápidamente sus datos financieros.
Una súplica de ayuda: los phishers se hacen pasar por un amigo o familiar y le explican que están en una situación desesperada, por lo que le suplican ayuda económica. Es muy triste, pero estas estafas se perpetran a menudo contra gente mayor y mediante llamadas de vishing.
La alerta del banco: muchas entidades bancarias alertan a los clientes si detectan cualquier actividad sospechosa o si una cuenta está a punto de quedar en descubierto. Los phishers se aprovechan de estos servicios útiles e intentan convencer a sus objetivos para que «confirmen» los datos de la cuenta bancaria.
Ha ganado un gran premio: la fortuna ha hecho que sea usted el muy especial ganador de un premio increíble. Lo único que tiene que hacer es introducir sus datos. Si quiere más referencias, vea las estafas del Mundial anteriores.
Negocio urgente: a los phishers les encanta utilizar la urgencia para hacerle tomar malas decisiones. Ya sea con una oferta limitada demasiado buena para ser cierta o con la amenaza de cerrarle la cuenta salvo que actúe de inmediato. Su objetivo es hacerle revelar su información personal lo antes posible.
¿Qué aspecto tiene un correo electrónico de phishing?
Aunque los hay de todas las formas y tamaños, es posible aprender a reconocer los mensajes de phishing. A continuación damos un repaso a sus rasgos comunes más frecuentes. Las soluciones de ciberseguridad fiables realizan la mayor parte del trabajo a la hora de protegerlo del phishing, pero esté atento a las siguientes señales de alarma y contará con una excelente primera línea de defensa.
El correo electrónico no está dirigido a usted: muchos tipos de phishing, incluidos los del tipo «engaño» estándar, utilizan una red de arrastre para atrapar a cuantos puedan. Por ese motivo el mensaje no está personalizado con el nombre del destinatario, sino que saluda de forma vaga, por ejemplo con «Estimado cliente», aunque puede llegar a utilizar el nombre de usuario de correo electrónico. La correspondencia oficial de empresas legítimas se dirigirá a usted por su nombre.
Una oferta que no puede rechazar: sí que puede (y debe) rechazarla. Si le llega una oferta o ganga que parece demasiado buena para ser cierta, probablemente no sea cierta. No deje que los timadores le engañen con ofertas tentadoras. Sea lo que sea lo que le prometen, estará perfectamente sin ello. Y tampoco lo iba a conseguir, por supuesto. Las ofertas de phishing no son reales. Jamás.
Debe actuar de inmediato: como se ha dicho anteriormente, a los phishers les encanta jugar con la urgencia. No caiga en el síndrome FOMO (siglas en inglés de «miedo a perderse algo»), no se crea las amenazas y, lo que es más importante, conserve la calma. Ninguna entidad legítima, ni gubernamental, ni empresarial ni de ninguna clase, le dará una única y urgentísima posibilidad antes de cerrarle la puerta.
Enlaces acortados: busque enlaces maliciosos ocultos tras los servicios de acortamiento de URL. Como regla general, pase el cursor sobre cualquier enlace antes de hacer clic en él. Dado que la mayoría de las interfaces móviles no ofrecen esta funcionalidad, sea doblemente suspicaz con los enlaces cuando consulte el correo electrónico con su teléfono.
Enlaces con errores: los hackers crean versiones falsificadas de sitios legítimos con URL que son casi idénticas, y le animan en sus mensajes de phishing a hacer clic en estos enlaces. Esté atento a los errores deliberados, ya sean tipográficos (los hackers intentarán engañarlo con versiones ligeramente incorrectas de las URL legítimas) u ortográficos (cuando se hace uso de letras y caracteres de aspecto similar). Lea atentamente los enlaces antes de hacer clic en ellos.
Mensajes escritos de forma incorrecta: el banco no envía correos electrónicos llenos de faltas de ortografía y errores gramaticales. Un phisher sí que puede, y a menudo lo hace. Descuidos como estos son claras indicaciones de un mensaje de phishing.
Archivos adjuntos: los archivos adjuntos no tienen nada de malo en sí mismos... si los espera y proceden de alguien de confianza. Fuera de este contexto, aléjese de los archivos adjuntos desconocidos. Los estafadores pueden incluso ocultar malware en archivos de contenido enriquecido, como los PDF.
Solicitudes de información personal: los phishers van detrás de sus datos. Si recibe un correo electrónico donde se le pide que confirme su información de cuenta, las credenciales de inicio de sesión u otros datos personales, es probable que se trate de una estafa.
No utiliza esa empresa o servicio: los phishers no suelen tener acceso a las bases de datos de usuarios de las empresas por las que se hacen pasar, así que envían sus correos electrónicos de phishing a cualquiera que se ponga a tiro. Si recibe un mensaje de Servicios de Streaming A, pero usted es un fiel cliente de Servicios de Streaming B o C, se trata de phishing.
El mensaje anterior es un ejemplo que recibí en mi buzón personal. Imagino que, si picara y respondiera, me pedirían que proporcionara las credenciales de inicio de sesión de mi cuenta de Google. Si se fija, contiene muchas de las señales de advertencia que hemos visto:
Asunto escrito de manera informal
Enviado desde una cuenta sospechosa
El destinatario no es su dirección de correo electrónico
El mensaje no nombra al destinatario
Errores gramaticales y de otro tipo en el contenido
Se requiere una acción inmediata
Falta el contenido de firma típico que cabría esperar de un correo electrónico oficial
¿Qué hay que hacer con los correos electrónicos de phishing?
Es sencillo: ¡denúncielos y bórrelos! Su proveedor de correo electrónico debería tener una opción que le permita denunciar directamente las estafas de phishing.
Hecho esto, redirija los mensajes a la Federal Trade Comission (FTC, en la dirección spam@uce.gov) y al Anti-Phishing Working Group (reportphishing@apwg.org). Denuncie también su experiencia en el sitio web de quejas de la FTC.
Por último, póngase en contacto con la empresa suplantada para que sepan que un phisher está utilizando su marca para intentar estafar a la gente.
Principales recomendaciones para prevenir el phishing
Una buena educación de los usuarios y un software antiphishing forman una doble barrera contra el phishing en el nivel empresarial. Las empresas deberían invertir en programas de formación integral para enseñar a sus empleados cómo se reconoce el phishing y por qué deben estar prevenidos. Los equipos de seguridad pueden reforzar estas directrices con eficaces contramedidas de software que bloqueen las estafas de phishing, independientemente de si un objetivo pica o no.
Desde el punto de vista personal, esto es lo que puede hacer para no caer víctima del phishing:
Fórmese: la buena noticia es que ya lo ha hecho al leer este artículo. Manténgase un paso por delante de los phishers profundizando en su conocimiento de las estafas más recientes.
Sea escéptico: peque por el lado de la prudencia ante cualquier correo electrónico sospechoso. Antes de hacer clic en cualquier enlace o de descargar cualquier archivo adjunto, revise las señales de alerta de phishing que hemos mencionado en el artículo. Si cualquiera de esas señales se aplica al mensaje en cuestión, denúncielo y bórrelo.
Confirme antes de actuar: las empresas auténticas nunca se pondrán en contacto con usted por correo electrónico o teléfono para solicitarle datos personales. Si sucediera, llame usted mismo a la empresa con los datos de contacto que aparecen en su sitio web legítimo para confirmar cualquier cosa que se le haya dicho en el correo electrónico o la llamada. No responda directamente a los correos electrónicos sospechosos. Comience siempre una nueva comunicación mediante los canales de atención oficiales de la empresa.
Verifique los certificados de seguridad: no envíe ninguna información personal que no quisiera que tuviera un hacker salvo que esté convencido de que un sitio web es seguro. Verifique que la URL comienza con HTTPS y busque un icono de candado junto a la URL.Cambie las contraseñas con regularidad: los phishers no pueden hacer mucho con sus contraseñas si ya no son válidas. Actualice las contraseñas de vez en cuando y emplee un administrador de contraseñas para que sean seguras y queden almacenadas de forma segura.
Examine sus cuentas: Revise escrupulosamente todos los extractos bancarios. Si no lo hace, podría pasar por alto un cargo fraudulento. A los bancos y a las tarjetas de crédito se les suele dar bien detectar fraudes, pero usted también debe prestar mucha atención a sus cuentas y extractos.
Utilice un bloqueador de anuncios: este consejo también podría titularse «no haga clic en ventanas emergentes», pero si utiliza un bloqueador de anuncios, este detendrá la mayor parte de los anuncios emergentes. Las ventanas emergentes son vectores de phishing frecuentes: si ve una, nunca haga clic en el anuncio, aunque haya un gran botón donde pone «Cerrar». Utilice siempre la pequeña X en la esquina.
Lea los correos electrónicos como texto sin formato: este un buen truco que ayuda a detectar estafas de phishing por correo electrónico. Convierta un mensaje a texto sin formato y podrá detectar URL de imágenes ocultas que no serían visibles en modo HTML.
Prevenga el phishing con un software de ciberseguridad
Tendrá mucho menos trabajo si deja que una herramienta antiphishing fiable se ocupe de la mayor parte de la carga. Avast Free Antivirus detecta los intentos de phishing y los bloquea antes de que tengan la ocasión de alcanzarlo. Además, se actualiza automáticamente cada vez que se descubre un nuevo ataque, por lo que estará protegido en tiempo real frente al paisaje siempre cambiante de las amenazas de Internet.
Avast Free Antivirus, que protege a más de 400 millones de usuarios de todo el mundo, es una solución de ciberseguridad líder.
