Se trata de un ciberataque muy sencillo en realidad, pero muy efectivo y peligroso si el atacante consigue engañar a su víctima.
El phishing es una forma de suplantación de identidad que persigue engañar al usuario y hacerle compartir información confidencial como contraseñas, tarjetas de crédito, etc. El método del phishing suele ponerse en práctica a través de un email o mensaje de correo electrónico o una llamada telefónica mediante la cual se hacen pasar por una persona o institución de confianza del usuario al que se le envía, como puede ser el jefe, un banco o una institución pública. El mensaje es el anzuelo, que se lanza a una gran cantidad de usuarios esperando que piquen.
El phishing suele funcionar infundiendo miedo a la persona que recibe el mensaje. Cuando la víctima recibe la comunicación, habitualmente un correo electrónico, el mensaje suele exigir que vaya a un sitio web y actúe de inmediato o tendrá que afrontar alguna consecuencia grave. Si la víctima del fraude pica el anzuelo y pulsa en el enlace, se le remite a un sitio web que es una imitación del legítimo, en muchas ocasiones bastante buena, incluyendo logotipos y gráfica de la entidad suplantada. Es en esa web donde se le pide que se registre con sus credenciales de nombre de usuario y contraseña o se le solicita realizar algún pago.
¿Qué hacen con mi información?
Cuando caemos en este tipo de fraude informático suele haber dos opciones. Una es que directamente se solicite realizar un pago, con lo que el objetivo del atacante es recibir dinero. Otra es que se solicite información, que se consigue por ejemplo cuando el usuario introduce sus datos, su contraseña, un pin… en realidad le estamos facilitando esa la información al atacante, que la utilizará más adelante para robar identidades, para saquear cuentas bancarias o para vender información personal en el mercado negro.
El phishing utiliza la «ingeniería social» para sus propósitos, pues se vale de la ingenuidad de los usuarios para conseguir sus fines y no de sofisticadas herramientas tecnológicas.
El phishing de un ciberataque muy sencillo de realidad, pero puede resultar muy efectivo y peligroso si el atacante consigue engañar a su víctima. Es uno de los ciberataques que menos conocimientos técnicos requiere ya que más que buscar vulnerabilidades en nuestro equipo o dispositivo, lo que buscan son vulnerabilidades en las personas. Se puede decir que el phishing o suplantación de identidad utiliza la ingeniería social para sus propósitos, pues se vale de la ingenuidad de los usuarios para conseguir sus fines y no de sofisticadas herramientas tecnológicas.
Aunque el denominador común de todos los ataques de phishing es el uso de un pretexto fraudulento para conseguir datos valiosos del usuario que recibe el mensaje, existen muchas variedades phishing.
Algunas de las más conocidas son las ya famosas Estafas nigerianas, el Spear phishing, que es un ataque dirigido a una empresa o entidad concreta, el Phising de clonación o el Fraude del CEO. Todas ellas son variantes de esta suplantación de identidad enfocada a conseguir un pago o datos sensibles del usuario que está al otro lado de la red.
¿Cómo me puedo proteger del phishing?
Una de las mejores formas de protegerse de este tipo de estafas es DUDAR SIEMPRE. Cada vez que nos encontremos con un mensaje o una llamada en la que se nos piden datos o bien notamos algún detalle que nos resulte extraño… dudar como norma es la mejor aproximación.
Hay que recordar siempre que las instituciones como bancos, medios de pago, Hacienda o la Seguridad Social no piden este tipo de datos nunca, ya sea a través del correo electrónico o a través de una llamada telefónica.
En general debemos desconfiar si:
Si el mensaje suena amenazante, nos dice que si no realizamos una acción de manera inmediata ocurrirá algo grave (por ejemplo se nos cerrará la cuenta o no recibiremos una cantidad de dinero)
Si en el mensaje es para indicarnos que hemos ganado algo, o incluye una oferta muy especial de esas que son “Demasiado buenas para ser verdad”.
Si el mensaje incluye algún archivo con nombres extraños o con extensiones no conocidas.
Si el mensaje es de alguien que conocemos, por ejemplo el CEO o el director/a de la empresa, pero de manera habitual no recibimos emails de esta persona porque no nos relacionamos con ella de manera directa.
Si el mensaje tiene enlaces que resultan extraños o que al situar el cursor encima se ve claramente que nos llevan a webs con nomenclatura rara.
Si la fuente u origen del mensaje no parece segura o tiene algunos signos alarmantes. Es importante recordar que este tipo de fraudes o mensajes de phishing cada vez son más sofisticados y el mensaje puede estar muy bien elaborado, con logotipos, colores corporativos y una imagen profesional que nos puede llevar al engaño
En general, es clave establecer una constante vigilancia y unos hábitos seguros de uso de las tecnologías de la información y las redes sociales en casa y en el trabajo, para evitar caer en este tipo de ciberataques que campan a sus anchas por la red y que, a más de uno, han dado muchos quebraderos de cabeza. En Ciberseguridad una de las mejores formas de prevenir es tener en cuenta no solamente los sistemas hardware y software, sino también las acciones de las personas al relacionarse con la tecnología.