¿Qué es el phishing y qué tipos existen?

Aprende a detectar un ataque

¿Alguna vez has recibido un correo electrónico de una empresa fiable y de confianza en el que solicitan tus datos personales? ¿Ese correo incluye un enlace que te lleva a una página web donde tienes que escribirlos? ¡Ojo! Seguramente estés siendo víctima de uno de los ataques cibercriminales más conocidos y que tienen la finalidad de robar información privada.

Este tipo de ataques, conocidos como phishing, son cada vez más habituales y, al ser tan evidentes, muchos usuarios caen fácilmente en la trampa.

Conocer los diferentes tipos de phishing te ayudará a no caer en el engaño de estas páginas

 

Para garantizar la seguridad se puede poner remedio de diferentes maneras. Una de ellas es asegurar las páginas web con un certificado digital, el cual añadirá https en la URL, además de un pequeño candado verde a la izquierda de la misma. Pero, ¡no te confíes! Los cibercriminales son auténticos profesionales en este tipo de ataques y serán capaces de hacerte creer que estás en un sitio seguro.

Así que no permitas que te engañen y tómate un momento para entender perfectamente cómo pretenden confundirte para conseguir su objetivo.

¿Qué es el phishing?

Se trata de una técnica de ingeniería social muy comúnmente utilizada por los cibercriminales para obtener información confidencial de forma fraudulenta. Esta información que puede ser, por ejemplo, datos de contraseñas o tarjetas de crédito, se usan posteriormente para realizar algún tipo de fraude.

El término tiene su origen en la palabra inglesa “fishing” (pesca) y hace referencia a la intención de hacer que los usuarios “muerdan el anzuelo”.

Debido a que el número de denuncias relacionados con el phishing sigue en aumento, es conveniente requerir métodos adicionales de protección. Pero parece que nadie ni nada puede frenar a los phisher, que es cómo se conoce a estos cibercriminales, quienes se hacen pasar por una persona o empresa de confianza para el usuario.

A continuación, descubrirás algunos tipos de ataques relacionados actualmente con el phishing. ¡Seguro que te suena más de uno!

Tipos de phishing

Deceptive Phishing

Se trata de la modalidad más común. El usuario recibe un correo electrónico donde se ha suplantado la identidad de una empresa de confianza. Los cibercriminales actúan como representantes solicitando algún tipo de información personal.

También puede ser que el texto del correo contenga un enlace malicioso que envía al usuario a una página web fraudulenta donde se le solicita los datos de inicio de sesión.

El siguiente es un ataque reciente a los clientes de Carrefour, donde se les pide que activen su tarjeta Pass.

Intento de phishing con Carrefour
Intento de phishing con Carrefour. Fuente: Guardia Civil

 

Malware-Based Phishing

Se refiere a aquellas estafas que implican la ejecución de un software malicioso en los ordenadores de los usuarios. El malware se puede introducir como archivo adjunto en un correo o como archivo descargable en un sitio web.

DNS-Based Phishing

Esta modalidad se conoce más como Pharming. Los cibercriminales manipulan los archivos hosts de una empresa o el sistema de nombres de dominio de la misma, para que las solicitudes de URL devuelvan una dirección falsa y las comunicaciones sean dirigidas a un sitio web falso.

La consecuencia es que los usuarios desconocen que el sitio web donde están ingresando información confidencial está controlado por estos cibercriminales.

Esquema gráfico de phising
Esquema de Pharming o DNS-Based Phishing

 

Content-Injection Phishing

Describe la situación en la que los cibercriminales reemplazan parte del contenido de un sitio legítimo con contenido falso diseñado para engañar o desviar al usuario a dar su información confidencial.

Search Engine Phishing

Se produce cuando los cibercriminales crean buscadores para redireccionar al usuario a sitios web fraudulentos. Las tienen indexadas legítimamente con los motores de búsqueda y los usuarios las encuentran en una búsqueda normal.

Uno de los casos más populares en esta tipología de phishing, fue la sufrida por el Banco Sabadell. Durante un corto periodo de tiempo aparecieron un par de anuncios esponsorizados en las dos primeras posiciones de los resultados de búsqueda de Google. Pinchando en cualquiera de ellos, el usuario llegaba a una página web fraudulenta que solo se diferenciaba de la oficial en la URL.

Man-in-the-Middle Phishing

Es el tipo más difícil de detectar, ya que el cibercriminal se posiciona entre el ordena­dor del usuario y el servidor, grabando, así, la información que se transmite entre ambos.

Posteriormente puede vender o utilizar dicha información o credenciales recopiladas cuando el usuario no está activo en el sistema.

Permanece alerta. En cualquier momento puedes ser víctima de un ataque de phishing. No te fíes de correos electrónicos que solicitan tus datos personales y siempre es mejor que accedas a una página web desde tu navegador que desde un enlace recibido.

Imagen de portalgda via Visual Hunt / CC BY

Beatriz Corchado
Andaluza de nacimiento y madrileña de adopción, Beatriz forma parte del equipo de GoDaddy EMEA. Además de escribir artículos para el blog sobre diferentes temas, gestiona el programa de afiliados en España. Su experiencia en el mundo del hosting web comenzó en 2014. Desde entonces, ha ampliado su carrera profesional en este sector y estrechado lazos con colaboradores, afiliados, etc. La música le mantiene concentrada y la playa le relaja.