¿Qué es phishing y qué tipos existen?

Aprende a detectar un ataque

¿Alguna vez has recibido un mensaje de correo electrónico de una empresa fiable y de confianza en el que solicitan tus datos personales? ¿Ese correo incluye un enlace que te lleva a una página web donde tienes que escribirlos? ¡Ojo! Seguramente estés siendo víctima de uno de los ataques cibercriminales más conocidos que se llevan a cabo hoy y que tiene la finalidad de robar el máximo de información privada posible.

Este tipo de ataques cibernéticos, conocidos como phishing, son cada vez más habituales y, al ser tan evidentes, muchos usuarios caen fácilmente en la trampa de los hackers.

Saber qué es phishing e identificar los diferentes tipos que existen te ayudará a no caer en el engaño de estas páginas.

Para garantizar la seguridad de tu web se puede poner remedio de diferentes maneras. Una de ellas es asegurar tu página con un certificado digital, el cual añadirá HTTPS en la URL, además de un pequeño candado verde a la izquierda de la misma. Pero, ¡no te confíes! Los cibercriminales son auténticos profesionales en este tipo de ataques y serán capaces de hacer creer a los usuarios que se encuentran en una página segura cuando en realidad no lo es.

Así que no permitas que te engañen y tómate un momento para verificar la seguridad de tu web además de para entender perfectamente cómo pretenden confundirte para conseguir su objetivo. Veamos por tanto qué es phishing, como identificarlo y algunos ejemplos prácticos para entenderlo mejor.

Qué es phishing y casos frecuentes

¿Qué es phishing?

Se trata de una técnica de ingeniería social muy comúnmente utilizada por los cibercriminales para obtener información confidencial de los usuarios de forma fraudulenta. Esta información que puede ser, por ejemplo, datos de contraseñas o tarjetas de crédito, se usan posteriormente para realizar algún tipo de fraude.

<blockquote>El término tiene su origen en la palabra inglesa “fishing” (pesca) y hace referencia a la intención de hacer que los usuarios “muerdan el anzuelo”.</blockquote>

Debido a que el número de denuncias que se hacen relacionados con el phishing sigue en aumento, es conveniente ayudarse de métodos adicionales de protección. Pero parece que nadie ni nada puede frenar a los phishers, que es cómo se conoce a estos cibercriminales, quienes, para actuar, se hacen pasar por una persona o empresa de confianza para el usuario.

Ya sabes cuál es el significado de phishing. A continuación, describo algunos tipos de ataques relacionados actualmente con esta técnica maliciosa. ¡Seguro que te suena más de uno!

Ejemplos de phishing

Deceptive Phishing

Se trata de la modalidad más común de este tipo de ataques. A través del Deceptive phishing, los hackers han llevado a cabo el robo de identidad de una empresa de confianza y le envían al usuario un mensaje de correo electrónico haciéndose pasar por ellos. Los cibercriminales actúan como representantes solicitando algún tipo de información personal como los datos de la tarjeta de crédito, etc.

También puede ser que el texto del correo contenga un enlace malicioso que envía al usuario a una página web fraudulenta donde se le solicita los datos de inicio de sesión.

El siguiente es un ataque reciente a los clientes de Carrefour, donde se les pide que activen su tarjeta Pass.

Intento de phishing con Carrefour
Intento de phishing con Carrefour. Fuente: Guardia Civil

Como ves, parece un correo totalmente real enviado por la compañía en cuestión. Por eso es importante que no accedas a páginas web directamente desde los enlaces que recibes en los mensajes.

Malware-Based Phishing

Se refiere a aquellas estafas que implican la ejecución de un software malicioso en los ordenadores de los usuarios. El malware se puede introducir como archivo adjunto en un correo o como archivo descargable en un sitio web.

DNS-Based Phishing

Esta modalidad se conoce más como Pharming. Los cibercriminales manipulan los archivos hosts de una empresa o el sistema de nombres de dominio de la misma, para que las solicitudes de URL devuelvan una dirección falsa y las comunicaciones sean dirigidas a un sitio web falso.

La consecuencia es que los usuarios desconocen que la página web donde están ingresando información confidencial está controlada por estos cibercriminales.

Esquema gráfico de phising
Esquema de Pharming o DNS-Based Phishing

 

Content-Injection Phishing

Este tipo de ataque describe la situación en la que los cibercriminales reemplazan parte del contenido de un sitio legítimo con contenido falso diseñado para engañar o desviar al usuario a dar su información confidencial.

Search Engine Phishing

Se produce cuando los cibercriminales crean buscadores para redireccionar al usuario a páginas web fraudulentas. Las tienen indexadas legítimamente con los motores de búsqueda y los usuarios las encuentran en una búsqueda normal.

Uno de los casos más populares en esta tipología de phishing, fue la sufrida por la entidad bancaria Sabadell. Durante un corto periodo de tiempo aparecieron un par de anuncios de pago en las dos primeras posiciones de los resultados de búsqueda de Google. Pinchando en cualquiera de ellos, el usuario llegaba a una página web fraudulenta que solo se diferenciaba de la oficial en la URL.

Man-in-the-Middle Phishing

Es el tipo de ataque phishing más difícil de detectar, ya que el cibercriminal se posiciona entre el ordena­dor del usuario y el servidor, grabando, así, la información que se transmite entre ambos. Posteriormente puede vender o utilizar dicha información o credenciales recopiladas cuando el usuario deja de estar activo en el sistema.

Conclusión

¡Permanece alerta! En cualquier momento puedes ser víctima de un ataque de phishing. No te fíes de correos electrónicos que solicitan tus datos personales y siempre es mejor que accedas a una página web diractamente desde tu navegador que desde un enlace recibido. Si eres el propietario de una web haz que esté libre de malware y garantiza la seguridad de tus visitas con un plan de Seguridad de la página web de GoDaddy. Nosotros analizamos y monitorizamos tu web constantemente mientras tú puedes dedicarte con total tranquilidad a otras tareas de tu negocio.

Imagen de portalgda via Visual Hunt / CC BY

Beatriz Corchado
Andaluza de nacimiento y madrileña de adopción, Beatriz forma parte del equipo de GoDaddy EMEA. Además de escribir artículos para el blog sobre diferentes temas, gestiona el programa de afiliados en España. Su experiencia en el mundo del hosting web comenzó en 2014. Desde entonces, ha ampliado su carrera profesional en este sector y estrechado lazos con colaboradores, afiliados, etc. La música le mantiene concentrada y la playa le relaja.