¿Qué es phishing y qué tipos existen?

Aprende a detectar un ataque

¿Alguna vez has recibido un mensaje de correo electrónico de una empresa fiable y de confianza en el que solicitan tus datos personales? ¿Ese correo incluye un enlace que te lleva a una página web donde tienes que escribirlos? ¡Ojo! Seguramente estés siendo víctima de uno de los ataques cibercriminales más conocidos que se llevan a cabo hoy y que tiene la finalidad de robar el máximo de información privada posible.

Este tipo de ataques cibernéticos, conocidos como phishing, son cada vez más habituales y, al ser tan evidentes, muchos usuarios caen fácilmente en la trampa de los hackers.

Saber qué es phishing e identificar los diferentes tipos que existen te ayudará a no caer en el engaño de estas páginas.

Para garantizar la seguridad de tu web se puede poner remedio de diferentes maneras. Una de ellas es asegurar tu página con un certificado digital, el cual añadirá HTTPS en la URL, además de un pequeño candado verde a la izquierda de la misma. Pero, ¡no te confíes! Los cibercriminales son auténticos profesionales en este tipo de ataques y serán capaces de hacer creer a los usuarios que se encuentran en una página segura cuando en realidad no lo es.

Así que no permitas que te engañen y tómate un momento para verificar la seguridad de tu web además de para entender perfectamente cómo pretenden confundirte para conseguir su objetivo. Veamos por tanto qué es phishing, como identificarlo y algunos ejemplos prácticos para entenderlo mejor.

Qué es phishing y casos frecuentes

¿Qué es phishing?

Se trata de una técnica de ingeniería social muy comúnmente utilizada por los cibercriminales para obtener información confidencial de los usuarios de forma fraudulenta. Esta información que puede ser, por ejemplo, datos de contraseñas o tarjetas de crédito, se usan posteriormente para realizar algún tipo de fraude.

El término tiene su origen en la palabra inglesa “fishing” (pesca) y hace referencia a la intención de hacer que los usuarios “muerdan el anzuelo”.

Debido a que el número de denuncias que se hacen relacionados con el phishing sigue en aumento, es conveniente ayudarse de métodos adicionales de protección. Pero parece que nadie ni nada puede frenar a los phishers, que es cómo se conoce a estos cibercriminales, quienes, para actuar, se hacen pasar por una persona o empresa de confianza para el usuario.

Ya sabes cuál es el significado de phishing. A continuación, describo algunos tipos de ataques relacionados actualmente con esta técnica maliciosa. ¡Seguro que te suena más de uno!

Ejemplos de phishing

Deceptive Phishing

Se trata de la modalidad más común de este tipo de ataques. A través del Deceptive phishing, los hackers han llevado a cabo el robo de identidad de una empresa de confianza y le envían al usuario un mensaje de correo electrónico haciéndose pasar por ellos. Los cibercriminales actúan como representantes solicitando algún tipo de información personal como los datos de la tarjeta de crédito, etc.

También puede ser que el texto del correo contenga un enlace malicioso que envía al usuario a una página web fraudulenta donde se le solicita los datos de inicio de sesión.

El siguiente es un ataque reciente a los clientes de Carrefour, donde se les pide que activen su tarjeta Pass.

Intento de phishing con Carrefour
Intento de phishing con Carrefour. Fuente: Guardia Civil

Como ves, parece un correo totalmente real enviado por la compañía en cuestión. Por eso es importante que no accedas a páginas web directamente desde los enlaces que recibes en los mensajes.

Malware-Based Phishing

Se refiere a aquellas estafas que implican la ejecución de un software malicioso en los ordenadores de los usuarios. El malware se puede introducir como archivo adjunto en un correo o como archivo descargable en un sitio web.

DNS-Based Phishing

Esta modalidad se conoce más como Pharming. Los cibercriminales manipulan los archivos hosts de una empresa o el sistema de nombres de dominio de la misma, para que las solicitudes de URL devuelvan una dirección falsa y las comunicaciones sean dirigidas a un sitio web falso.

La consecuencia es que los usuarios desconocen que la página web donde están ingresando información confidencial está controlada por estos cibercriminales.

Esquema gráfico de phising
Esquema de Pharming o DNS-Based Phishing

 

Content-Injection Phishing

Este tipo de ataque describe la situación en la que los cibercriminales reemplazan parte del contenido de un sitio legítimo con contenido falso diseñado para engañar o desviar al usuario a dar su información confidencial.

Search Engine Phishing

Se produce cuando los cibercriminales crean buscadores para redireccionar al usuario a páginas web fraudulentas. Las tienen indexadas legítimamente con los motores de búsqueda y los usuarios las encuentran en una búsqueda normal.

Uno de los casos más populares en esta tipología de phishing, fue la sufrida por la entidad bancaria Sabadell. Durante un corto periodo de tiempo aparecieron un par de anuncios de pago en las dos primeras posiciones de los resultados de búsqueda de Google. Pinchando en cualquiera de ellos, el usuario llegaba a una página web fraudulenta que solo se diferenciaba de la oficial en la URL.

Man-in-the-Middle Phishing

Es el tipo de ataque phishing más difícil de detectar, ya que el cibercriminal se posiciona entre el ordena­dor del usuario y el servidor, grabando, así, la información que se transmite entre ambos. Posteriormente puede vender o utilizar dicha información o credenciales recopiladas cuando el usuario deja de estar activo en el sistema.

Pero, ¿cómo protegerse del phishing?

Proteger tu vida online debe convertirse en una de tus principales prioridades a la hora de navegar por Internet. Y, en el ámbito de las empresas, son muchos los profesionales de IT que trabajan con el objetivo de evitar vulnerabilidades que puedan poner en riesgo sus sistemas.

Los antivirus son esenciales a la hora de proteger tu PC frente a cualquier ataque informático. En el caso de las páginas web, existen un montón de herramientas de seguridad que también mantienen a salvo tu web. Pero también existen muchas otras formas de protegerse que te ayudarán a mantener tus datos y toda tu información confidencial a salvo.

Una de las principales fuentes de phishing es el email. Detectar correos electrónicos falsos te ayudará a detectar y evitar caer en una estafa cibernética. Existen 5 formas de detectarlos casi al instante:

Comprueba el dominio del remitente del correo

El dominio desde el que recibes el correo no corresponde con la empresa a la que están intentado suplantar. En el caso de correos de phishing que intentan suplantar la identidad de PayPal es frecuente encontrar que estos emails proceden de cuentas del tipo servicio@wwwpaypal.com o servicio@paipal.com. Es decir, juegan con un dominio similar al de la web auténtica, por lo que es muy importante fijarse en la cuenta de correo del remitente.

¿Hay faltas de ortografía o concordancia?

El correo contiene faltas de concordancia o ortografía. Esto se debe a que, muchas veces los correos de phishing se traducen automáticamente y no proceden de una campaña de email real.

Nunca cedas datos personales o información bancaria

Normalmente solicitan información bancaria o datos personales. A través de procesos falsos de verificación de cuenta o actualización de la información intentan que introduzcas información confidencial o contraseñas. Además, siempre incluyen enlaces sospechosos o utilizan textos de máxima alerta para conseguir el “clic”.

El asunto es sospechoso

El asunto del correo es muy alarmante. Necesitan que abras sí o sí el email, así que utilizan asuntos de máxima alerta para conseguirlo. ¿No crees que es bastante sospechoso recibir un correo que ya te indica en el asunto que eres el ganador de un premio de lotería? ¿O que te van a cerrar tu cuenta bancaria mañana si no actualizas tu información?

¿Incluye archivos adjuntos?

Además de enlaces sospechosos, casi todos los emails de phishing incluyen adjuntos para evitar que los gestores de correo los interpreten como spam. En algunas ocasiones estos adjuntos no contienen código malicioso, pero mucha precaución porque no siempre es así.

En definitiva, mucho ojo con los emails que recibes ya que puede tratarse de un ataque de phishing. Nunca cedas información confidencial o sensible, datos personales o bancarios, contraseñas y, lo que es peor, si el enlace te parece sospechoso o incluye algún elemento adjunto, ¡ignóralo completamente!

¿Y qué hacer si soy víctima de phishing?

¿Qué hago si soy víctima de phishing?

Si acabas de descubrir que has sido víctima de un ataque de phishing, todavía puedes remediarlo.

Si no ha pasado mucho tiempo desde que has cedido tus datos personales o contraseñas a través de correo o una web a los hackers, puedes intentar ponerle remedio y evitar que hagan mal uso de tu información siguiendo estos pasos:

  • Cambia tus usuarios y contraseñas cuanto antes.
  • Revisa tu correo electrónico y asegúrate de que no tienes correos de inicios de sesión en otros dispositivos o elementos nuevos en la papelera.
  • Bloquea tu tarjeta bancaria. Evita que hagan mal uso de tus datos bancarios y comprueba con la entidad financiera que no se haya realizado ningún cargo fraudulento en tu cuenta.
  • Denuncia el caso en las autoridades competentes.
Lo más importante: Si eres víctima de un ataque de phishing o detectas que se trata de un ataque informático, denuncia el caso.

Cómo denunciar el phishing

Si identificas un ataque de suplantación de identidad o phishing, lo mejor que puedes hacer es denunciarlo. Tienes a tu disposición diferentes recursos para poder reportar estos casos:

  • En el propio gestor de correo. Por ejemplo, en Gmail o Outlook tienes disponible una opción en el propio menú en la que se indica algo como “Denunciar suplantación de identidad”.
  • Brigada de Investigación Tecnológica (BIT). El Cuerpo Nacional de Policía tiene habilitado un formulario de contacto especializado en estafas y fraudes informáticos.
  • Grupo de Delitos Telemáticos (GDT) de la Guardia Civil.
  • En el Instituto Nacional de Ciberseguridad (INCIBE). También tienen disponible un buzón desde el que podrás reportar los casos de fraude que detectes: incidencias@incibe-cert.es.
  • Acude a la oficina municipal de información al consumidor. Puedes localizar tu oficina más cercana en la web del Centro de Información y Documentación de Consumo (CIDOC).

Conclusión

¡Permanece alerta! En cualquier momento puedes ser víctima de un ataque de phishing. No te fíes de correos electrónicos que solicitan tus datos personales y siempre es mejor que accedas a una página web diractamente desde tu navegador que desde un enlace recibido. Si eres el propietario de una web haz que esté libre de malware y garantiza la seguridad de tus visitas con un plan de Seguridad de la página web de GoDaddy. Nosotros analizamos y monitorizamos tu web constantemente mientras tú puedes dedicarte con total tranquilidad a otras tareas de tu negocio.

Imagen de portalgda via Visual Hunt / CC BY