Volver

Tipos de Phishing: qué es y cómo evitar caer en ellos

que es el phishing

Abres tu correo electrónico y lo encuentras ahí. Es un email supuestamente de la Agencia Tributaria informándote de tu devolución de la declaración de la renta ¡y eso que todavía no has tramitado el borrador! Pulsas y te lleva a una página, donde te piden un número de tarjeta de crédito para hacer el ingreso. Picas y ya está, ¡acabas de ser víctima de un ataque de phishing!

El Ministerio del Interior detectó un aumento del 20% en el número de ciberataques durante la pandemia, una tendencia que se ha mantenido en el tiempo.

Tenemos un seguro para cada tipo de persona

Infórmate

El phishing supone aproximadamente un 90% del total de ataques informáticos. La razón es sencilla: es el más efectivo y el que menos cuesta implementar. ¿Quieres saber por qué? ¡Vamos a verlo!

¿Qué es el phishing?

Phishing es un término inglés que se traduce literalmente pescar. Eso es precisamente lo que intentan los ciberdelincuentes con este tipo de ataque informático y su recompensa son tus datos.

Y es que, el principal objetivo de este tipo de ataques es hacerse con tu información. A partir de ahí, cada tipo de phishing buscará diferentes datos, desde tu número de tarjeta de créito y sus claves hasta los datos de acceso a tu cuenta bancaria.

¿Cómo funciona un ataque de phishing?

La mayoría de ataques de phishing funcionan como el ejemplo de phishing que has visto al principio. El ciberdelincuente pone algún tipo de anzuelo en forma de correo electrónico, mensaje de texto o similar en el que suplanta la identidad de una persona u organización de confianza. Teniendo como objetivo que acabes haciendo clic en un enlace malicioso con el el que completar la operación.

Por eso son normales los casos de phishing con bancos, phishing con la Agencia Tributaria y con la pandemia phishing a Fedex, phishing a Seur o phishing a correos, por poner algunos ejemplos.

Correo electrónico de phishing

Como decíamos, la mayoría de mensajes de texto te pedirán que pulses en un enlace malicioso con excusas de lo más variopinto. Puede ser que Hacienda necesite tus datos para proceder a una devolución, que tu banco te alerte de que tus datos están en peligro y necesita confirmar tu contraseña o que te envíen un localizador de un pedido que supuestamente has hecho.

Con suerte, identificarás rápidamente el mensaje como falso, bien porque no tienes cuenta con ese banco o productos de esa compañía o porque no has realizado ningún pedido online.

¿Y si no es el caso? Ahí es donde empieza el peligro. Si pulsas en el enlace llegarás a una página muy similar a la original del organismo que el delincuente intenta suplantar. Si introduces tus datos como te piden, estarás siriviéndole la información al delincuente en bandeja de plata.

En este punto es fácil que te preguntes si realmente son efectivos estos ataques. Después de todo, siempre habrá un alto porcentaje de personas que detecten la estafa rápidamente porque no son clientes del banco, por ejemplo.

Campaña de phishing

En realidad, la clave de este ataque no está en que la mayoría de personas ‘pique’. Los ciberdelincuentes saben que sólo unas pocas personas lo harán y por eso son ataques que se realizan de forma masiva. No hablamos de casos aislados sino de una campaña de phishing. Imagina un ataque de phishing bancario con un correo a 1.000 personas, de las que apenas 30 son clientes del banco. De todas, sólo 2 pulsan los enlaces. Apenas dos estafados parece poco. Ahora piensa que no son 1.000 correos, sino 100.000 correos. Así es como funciona el phishing, gracias a los grandes números.

como detectar un ataque de phishing

Tipos de ataques de phishing

Para entender mejor qué significa el phishing, nada como conocer las diferentes formas que adopta. Estos son ejemplos de phishing y los tipos de phishing más habituales.

  • Smishing. Este modelo de phishing usa mensajes de texto como medio de contacto. De hecho, su nombre es la unión de mensajes de texto y phishing. Se usa en el sector de mensajería y en estafas de phishing bancario.
  • Spear phishing. Lo que diferencia a esta modalidad es que se dirige a un tipo de personas concretos, como, por ejemplo, administradores de empresas o propietarios de páginas web avisándoles de que su dominio está a punto de caducar.
  • Whaling. Es un spear phishing solo que todavía más enfocado. Cuando se dirige a empresas, el objetivo es uno de sus directivos.
  • Vishing. En este caso el ataque se produce por medio de una llamada telefónica en la que suplantan a una empresa u organización. Esta modalidad es más cara de implementar, pero también es más creíble para quien recibe el ataque. A fin de cuentas ¿quién iba a contratar un call center para esto cuando se puede hacer a través de un email?
  • Clon Phishing. Es una técnica que busca aprovechar mensajes legítimos que ya has recibido para crear una versión maliciosa del mismo. Son correos exactamente iguales al original del banco o de la empresa, solo que con enlaces o archivos adjuntos maliciosos.
  • Evil Twin. Esta forma de phishing se hace a través de un acceso Wifi. El ciberdelincuente crea un punto de acceso Wifi que parece de confianza, pero que usará para recoger toda la información y datos que envíes.
Cómo protegerte del phishing

¿Cómo protegerte ante el phishing?

A diferencia de los ataques informáticos antiguos, el phishing no busca explotar las debilidades del sistema (ordenador, tablet, móvil…). El phishing se dirige al eslabón más débil de la cadena: los seres humanos. Es decir, a ti.

Por eso mismo atajarlo es más fácil. Todo depende de ti, de no ‘picar’ el anzuelo. Esto es lo que debes saber para evitar los ataques de phishing.

1. Nunca facilites tus datos personales o bancarios

Esta es la regla de oro, fácil de recordar y de implementar. Si la cumples, siempre estarás protegido ante este tipo de ataques o, por lo menos, ante la mayoría.

2: Ten claro qué datos puede necesitar cada entidad

Una buena forma de identificar un correo de phishing es por lo pide el mensaje. Por ejemplo, la Agencia Tributaria nunca te pedirá en un mensaje que pagues y mucho menos que lo hagas con tarjeta de crédito.

Del mismo modo, el banco tampoco te pedirá que facilites por SMS tus claves de acceso o las de tu tarjeta. Es más, tampoco te enviará un correo electrónico con un enlace para que lo hagas.

Lo mismo puede decirse de tu seguro de salud y de cualquier seguro en general. Es más, ni siquiera la app de ahorro que uses lo hará.

3. No pulses los enlaces, ve a la fuente original

Otra forma de defenderte de estos ataques de phishing es no clicar ningún enlace. ¿Y si era un correo real? En la mayoría de casos podrás acceder a la web de tu banco, ingresar las claves y ver si tienes alguna notificación.

También puedes llamar a la empresa en cuestión y preguntar, pero siempre desde su web oficial, no desde el enlace del correo.

Esto mismo se puede aplicar a los archivos adjuntos. No los abras nunca sin asegurarte que no son ejecutables. Podrás identificar estos archivos como “.exe”. Una capa más de seguridad sería abrir el documento a través de Google Drive para que se muestre en formato html.

4. Fíjate en las direcciones y en los textos

Una de las formas de identificar el phishing es revisar bien los textos. Muchas de estas estafas contienen errores gramaticales u ortográficos.

Lo mismo ocurre con las direcciones de correo y las páginas de destino. Es fácil que su nombre se parezca al de la empresa original, pero que no sea el mismo porque el dominio (la dirección web) es de la empresa real. Uno de los trucos suele ser sustituir vocales por números, como la “a” por el 4 o la “l” minúscula por la “i”.

Además, la página a la que te redirija puede no usar el protocolo https, un punto más para desconfiar. Si quieres, puedes usar la herramienta “Whois” para ver quién está detrás del dominio en cuestión, que normalmente será un nombre que nada tiene que ver con el del banco o la empresa real.

Así es como puedes evitar caer en una estafa de phishing.

banner te llamamos gratis

¿Conocías todas estas medidas? Compártelas con tus amigos para que ellos también estén protegidos.

Etiquetas: /
Experto en Ahorro y Finanzas
Mi LinkedIn

Soy un apasionado de las finanzas personales y los impuestos. Me decido desde hace más de 15 años a escribir sobre ahorro, dinero, inversión y fiscalidad en diferentes medios.
Me gusta pensar que ayudo a las personas a mejorar su formación financiera y a tomar mejores decisiones sobre el dinero. De hecho, las finanzas conductuales son una de mis grandes pasiones. Y es que cuando se trata de nuestro dinero, somos mucho menos racionales de lo que pensamos. En mis artículos entenderás por qué.