Seguridad personal

Qué es el phishing y cómo evitar ser una víctima

Photo of Javier del Molino Javier del Molino
0

El phishing es uno de los riesgos más habituales a los que estamos expuestos en nuestro día a día cotidiano, cada vez más vinculado a internet y a las nuevas tecnologías.

Por ello, en este escenario digital en el que vivimos, es básico conocer en qué consiste esta práctica maliciosa y qué medidas de protección podemos adoptar para protegernos de ella y evitar ser víctimas de una estafa tan simple como efectiva.

Qué es el phishing

Podríamos definir el phishing como una técnica de engaño utilizada por ciberdelincuentes para conseguir, en primer lugar, nuestros datos confidenciales como, por ejemplo, usuarios y contraseñas de servicios sensibles, cuentas bancarias o códigos pin y numeraciones de tarjetas de crédito o débito.

En segundo término, con esta información tan sensible en su poder, los delincuentes podrán suplantar nuestra identidad, realizar compras con nuestras tarjetas, saquear nuestras cuentas o vender nuestra información personal en el mercado negro.

Cómo se ejecuta un ataque de phishing

Todo comienza con la recepción de un mensaje en el que el remitente es, supuestamente, una entidad u organismo reconocible y confiable (un banco, una empresa de suministros, la Agencia Tributaria, etc).

Con alguna excusa peregrina el mensaje nos comunica una incidencia e incluye un enlace en el que debemos hacer clic para solventarla.

Este link nos redirige a una web que, en apariencia, pertenece a la entidad que nos contacta pero, en realidad, NO LO ES. Los delincuentes utilizan sus logotipos, tipografías y colores corporativos para inducir al error. En esa página fraudulenta nos solicitarán una serie de datos sensibles que, si no nos percatamos del engaño, introduciremos con ingenuidad, creyendo que se los hacemos llegar a la entidad que es de nuestra entera confianza.

Los cibercacos también utilizan técnicas de ingeniería social para que hacer más creíble el mensaje y tratan de que este genere alarma y/o urgencia. Su intención con ello es que tengamos la necesidad de responder de inmediato, sin pararnos a analizar los riesgos o posibles consecuencias.

Como ves, el phishing no busca una vulnerabilidad técnica en la seguridad de nuestros ordenadores. Es el propio estafado el que entrega al estafador lo que busca, siendo la informática sólo el medio para establecer el contacto entre ambos.

Por ello, esta modalidad delictiva no requiere conocimientos técnicos muy cualificados pero, a pesar de su sencillez, es altamente efectiva y peligrosa.

Otros tipos de phishing

○ Phishing nigeriano o phishing 419

Probablemente sea una de las estafas más antiguas de la era de internet. Nos referimos al correo en el que un desconocido nos dice ser un alto cargo del gobierno o miembro de la familiar real de algún país en conflicto que nos pide ayuda para poder salvar su fortuna a cambio de una jugosa comisión. Para ello sólo debemos facilitarle nuestro número de cuenta o similar.

Con el tiempo han surgido distintas formas de contar el “cuento”, pero siempre con la misma mecánica y finalidad. También podríamos encajar en este apartado una adaptación del clásico timo de las cartas nigerianas. En su versión de phishing, recibimos un correo como ganadores de un sorteo de lotería en el que no hemos participado, solicitándonos nuestros datos para hacernos llegar el cuantioso premio.

Ejemplo de mensaje fraudulento de tipo denominado «nigeriano»

Nigeria uno de los países desde el que más se ejecutan este tipo de fraudes y de ahí deriva su denominación. El número 419, por el que también se conocen, se refiere al artículo del código penal de ese país que castiga este tipo de delitos.

○ Phishing telefónico: vishing y smishing

El vishing es también conocido como phishing de voz. La mécanica es la misma que en el phishing tradicional, pero en esta ocasión, en lugar de un correo electrónico, recibiremos una llamada telefónica del delincuente. El contacto directo permite al estafador ser mucho más persuasivo e incisivo sobre el estafado, propiciando una mayor sensación de urgencia y necesidad en la realización del trámite, por lo que resulta más fácil caer en la trampa.

Recreación de un intento de vishing o phishing por voz

El smishing también sigue el esquema clásico, pero el contacto se establece a través del envío de un mensaje sms a nuestro teléfono, con su correspondiente enlace malicioso.         

○ Spear phishing

En la mayoría de modalidades de phishing el ataque se ejecuta de forma indiscriminada, realizando envíos masivos de mensajes con el fin de aumentar las posibilidades de éxito.

Sin embargo, el spear phishing es un ataque específico, dirigido a una persona concreta a la que previamente se ha estudiado y que, por algún motivo, resulta de gran interés para el hacker. Por ejemplo, suelen dirigirse ataques de este tipo a empleados de grandes corporaciones que, entre sus responsabilidades, tienen acceso a las cuentas bancarias y cajas pagadoras de sus empresas.

Cómo evitar el phishing

  1. Las empresas y organismos legítimos no te pedirán información tan sensible a través de correos electrónicos que tú no hayas solicitado (por ejemplo, un formulario de restauración de contraseña).
  2. Desconfía de los mensajes en los que detectes algún elemento extraño en los gráficos habituales de la compañía, o que contenga faltas de ortografía, errores en la redacción o caracteres extraños.
  3. Fíjate en la dirección web de los links y de los remitentes. Por ejemplo: si la web de tu banco es www.mibanco.com , desconfía de www.mybanco.com.
Mensaje con claros (y numerosos) signos de ser fraudulento
  1. Procura realizar tus gestiones más importantes en un ordenador en lugar de hacerlas en el móvil. Los hackers tratan de aprovechar las dificultades de visión que ofrece una pantalla más pequeña.
  2. Instala un buen antivirus en tu ordenador y en tu smartphone que incluyan una función de detección de phishing.
  3. Procura mantener actualizados a sus últimas versiones tanto el sistema operativo como el navegador web de tu ordenador y teléfono.
  4. Revisa periódicamente tus cuentas para estar al tanto de movimientos sospechosos.
  5. Cuando te pidan tus datos bancarios en tiendas online o similares, asegúrate de que la url de la página comienza por https:// (la «s» es la clave) y que en la barra de direcciones aparece el símbolo de un candado cerrado.
  6. Si algún mensaje te resulta sospechoso, copia una parte del texto y pégala en Google para comprobar si ya existe algún ataque con ese mismo “cuento”.

Y tú, ¿qué opinas?

Si quieres dar tu opinión o hacer algún aporte sobre las cuestiones que trata esta entrada, te leo en el apartado de comentarios y te invito a que compartas el artículo. ¡Gracias! 🙂

Photo of Javier del Molino Javier del Molino
0
Photo of Javier del Molino

Javier del Molino

Crecí en el barrio de Pizarrales (Salamanca), lugar de nacimiento de un famoso delincuente: «el Lute». Pero yo elegí el otro bando. Por eso hoy escribo sin pretensiones de fama ni fortuna, pero con conocimiento de causa, sobre el bien y el mal, sobre policías y ladrones, sobre criminología y criminales…

Publicaciones relacionadas

como las drogas consiguen que nuestro cerebro se vuelva adicto a ellas

Cómo las drogas engañan al cerebro para convertirnos en adictos

Qué hacer si me roban el teléfono móvil

Relojes con GPS: tecnología al servicio de la seguridad infantil

Qué es el tusi o cocaína rosada

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba