Qué es phishing
El phishing es una forma de ciberdelito que consiste en engañar a las personas para que revelen información personal o financiera, o para que descarguen software malicioso, mediante el uso de mensajes o sitios web falsos que se hacen pasar por entidades de confianza.
Definición de qué es phishing
Según la Real Academia Española, el phishing se define como:
Técnica consistente en el envío de mensajes electrónicos que, aparentando provenir de fuentes fiables, intentan obtener datos confidenciales del usuario.
El significado de phishing proviene de la palabra inglesa phishing, que significa pescar, y hace alusión a la forma en que los ciberdelincuentes lanzan anzuelos para capturar a sus víctimas.
Historia del phishing
El phishing se originó a mediados de la década de 1990, cuando los hackers empezaron a enviar correos electrónicos falsos a los usuarios de AOL (America Online), una de las primeras plataformas de internet, para obtener sus contraseñas y acceder a sus cuentas.
Desde entonces, el phishing ha evolucionado y se ha diversificado, aprovechando el desarrollo de nuevas tecnologías y medios de comunicación, como las redes sociales, los teléfonos móviles y las aplicaciones de mensajería.
Uno de los casos más famosos de phishing es el ataque a PayPal en 2003, que afectó a más de 150.000 usuarios y supuso pérdidas de millones de dólares
El ataque se inició el 26 de febrero de 2003, cuando los usuarios de PayPal recibieron un correo electrónico falso que supuestamente provenía de la compañía. El mensaje les informaba de que su cuenta había sido bloqueada temporalmente debido a un problema de seguridad, y les pedía que hicieran click en un enlace para verificar su identidad y restaurar su acceso.
El enlace llevaba a una página web falsa que imitaba el diseño y el logotipo de PayPal, y que solicitaba a los usuarios que introdujeran su nombre de usuario, su contraseña, su número de tarjeta de crédito, su fecha de caducidad y su código de seguridad. Al hacerlo, los datos eran enviados a los ciberdelincuentes, que los usaban para acceder a las cuentas reales de PayPal y realizar transferencias fraudulentas a otras cuentas controladas por ellos.
El ataque no pasó desapercibido para los expertos en seguridad informática, que detectaron la página web falsa y la denunciaron a PayPal y a las autoridades. Sin embargo, el daño ya estaba hecho, y miles de usuarios habían caído en la trampa y habían perdido su dinero.
PayPal reconoció el ataque y se comprometió a reembolsar a los usuarios afectados, pero también les pidió que fueran más cuidadosos y que no respondieran a correos electrónicos sospechosos. Además, PayPal tomó medidas para mejorar su seguridad, como implementar la autenticación en dos pasos, cifrar las comunicaciones y monitorizar las transacciones.
Conoce algunos ejemplos de phishing en nuestro artículo: phishing ejemplos.
¿Qué es la Suplantación de identidad?
La suplantación de identidad es la clave del phishing informático, ya que se trata de hacer creer a las víctimas que están interactuando con una entidad legítima, como un banco, una empresa, una organización o una persona conocida.
Para lograrlo, los ciberdelincuentes utilizan diversos métodos, como:
- Copiar el diseño, el logotipo, el nombre y el dominio de una página web o de un correo electrónico real.
- Usar técnicas de ingeniería social, como apelar a la curiosidad, al miedo, a la urgencia o a la oportunidad, para persuadir a las víctimas de que hagan clic en un enlace, abran un archivo adjunto o proporcionen información.
- Explotar las vulnerabilidades de los sistemas informáticos, como los errores de configuración, los fallos de seguridad o las actualizaciones pendientes, para infiltrarse en las redes o dispositivos de las víctimas.
Por ejemplo, en caso de phishing en Instagram, la suplantación de identidad puede adoptar diversas formas, como:
- Crear cuentas falsas que imitan el nombre, la foto, la biografía y el contenido de cuentas reales de famosos, marcas, organizaciones o personas conocidas.
- Enviar mensajes directos falsos que simulan ser de Instagram o de otras entidades, y que solicitan a los usuarios que verifiquen o actualicen sus datos, que confirmen una operación o que accedan a una oferta o promoción.
- Publicar comentarios falsos que invitan a los usuarios a hacer clic en un enlace, a participar en un sorteo o a seguir una cuenta.
- Usar aplicaciones o servicios falsos que prometen aumentar los seguidores, los likes o los comentarios, y que piden a los usuarios que introduzcan sus datos de acceso a Instagram.
Si quieres obtener más información, te recomiendo nuestros artículos sobre suplantación de identidad y robo phishing.
Como denunciar correos fraudulentos
Si se recibe un correo electrónico sospechoso de ser phishing, lo más recomendable es no abrirlo, no hacer clic en ningún enlace, no descargar ningún archivo adjunto y no responder al remitente.
Además, se puede denunciar el correo electrónico fraudulento a las autoridades competentes, como la Policía Nacional, la Guardia Civil o el Instituto Nacional de Ciberseguridad (INCIBE), para que tomen las medidas oportunas y alerten al resto de los usuarios.
También se puede informar al servicio o entidad que supuestamente envía el correo electrónico, para que verifique su autenticidad y advierta a sus clientes o usuarios de la existencia de la estafa.
Aquí te dejamos más consejos para evitar correos electrónicos sospechosos: como dejar de recibir correos phishing.
La estafa bancaria, cada vez más común en España
Una de las modalidades más habituales de phishing es la que tiene como objetivo obtener los datos bancarios de las víctimas, como el número de tarjeta, el código PIN, el código CVV o las claves de acceso a la banca online.
Los ciberdelincuentes envían correos electrónicos falsos que simulan ser de entidades bancarias o de servicios de pago, y que solicitan a las víctimas que verifiquen o actualicen sus datos, que confirmen una operación o que accedan a una oferta o promoción.
Al hacer clic en el enlace que acompaña al correo electrónico, las víctimas son redirigidas a una página web falsa que imita la apariencia de la página web real del banco o del servicio de pago, y que les pide que introduzcan sus datos bancarios.
Una vez que los ciberdelincuentes obtienen estos datos, los usan para realizar compras fraudulentas, transferencias ilegales o extorsiones a las víctimas.
Los mensajes de phishing suelen llegar a través de correos electrónicos, SMS/MMS o llamadas telefónicas, y suelen ser alarmistas o llamativos buscando generar urgencia o preocupación en el destinatario. Algunos ejemplos serían: “Su tarjeta ha sido limitada temporalmente por razones de seguridad, para reactivarla, actualice su información aquí: (*)” o “Hemos detectado movimientos sospechosos en su cuenta”. Los mensajes contienen enlaces que dirigen a sitios web falsos que son iguales o muy parecidos a la entidad suplantada. Estos sitios están diseñados para recopilar información confidencial cuando los usuarios ingresan de buena fe.
El phishing es un delito muy grave, que puede tener consecuencias devastadoras para las víctimas. Los ciberdelincuentes pueden usar los datos obtenidos para acceder a sus cuentas bancarias, realizar transferencias, compras o extorsiones, o venderlos a terceros. Además, pueden causar daños morales, legales o fiscales a los afectados, que pueden ver comprometida su reputación, su seguridad o su privacidad.
Para evitar caer en el phishing, es importante que los usuarios se informen bien sobre este tipo de fraudes, que verifiquen la autenticidad de las comunicaciones que reciban, que protejan sus datos y dispositivos, y que denuncien cualquier caso de sospecha o de fraude que sufran o detecten. Algunas medidas de prevención son: no abrir ni responder a mensajes de origen desconocido o dudoso, comprobar la dirección del remitente y el dominio del sitio web, no hacer clic en enlaces ni descargar archivos adjuntos, usar contraseñas seguras y cambiarlas periódicamente, activar la verificación en dos pasos, usar antivirus y firewall, y revisar los movimientos de las cuentas bancarias. Si se ha sido víctima de un phishing, es necesario contactar con la entidad bancaria o el servicio afectado, bloquear las tarjetas o las cuentas, cambiar las contraseñas, guardar las pruebas del fraude, y poner una denuncia ante la policía o la guardia civil.
En nuestro artículo cómo evitar el phishing puedes aprender más técnicas para protegerte de este ciberataque
¿Necesitas servicios para detectar las vulnerabilidades en tu sistema y prevenir los ciberataques?
En Seifti contamos con servicio de Pentesting con el que identificar las áreas menos protegidas de tu compañía sin dejar que las vulnerabilidades pasen desapercibidas.
Además, contamos con servicios de consultoría de privacidad para identificar las formas en que los piratas informáticos podrían usar para obtener acceso a su corporación a través de nuestros servicios de prueba de phishing.
No Comments