El mundo de las nuevas tecnologías ha proporcionado multitud de ventajas a la sociedad. Por ejemplo, permite hablar con familiares y amigos por muy lejos que estos se encuentren a nivel físico. Asimismo, es posible, gracias a Internet, hacer compras online, pudiendo conseguir productos de todos los puntos de la Tierra sin salir de casa. Además, cada vez se está poniendo más de moda el teletrabajo, sin necesidad de utilizar, por ejemplo, el coche y desarrollando todas nuestras obligaciones desde nuestro hogar. Sin embargo, no todos son beneficios. De este modo, muchos a día de hoy se preguntan, por ejemplo, qué es el phishing, ya que cada vez sale más información al respecto en los medios de comunicación. Es muy recomendable que conozcas a fondo este concepto para evitar sufrirlo, debido a que las consecuencias pueden ser muy graves.
¿Qué es el phishing?
A pesar de que cada vez estamos más sumergidos en la Red, aún son muchas las personas que se preguntan qué es el phishing. Se trata de un término que debemos controlar para evitar multitud de disgustos a la hora de navegar por Internet. Por ello, tenemos que destacar que se trata de un delito mediante el cual se engaña a las personas para que entreguen información confidencial. Esta puede basarse en números de tarjetas de crédito o contraseñas.
Existen muchas formas de engañar a la víctima, sin embargo, hay una muy común y es la que utilizan la mayoría de estafadores: la suplantación de identidad. De esta manera, la persona a la que se quieren robar ciertos datos recibe un mensaje, ya sea de texto o a través de un email, de alguien que se hace pasar por una asociación u otra persona, ya sea un amigo o un compañero de trabajo. Ahora, cuando se propone leer el contenido se encuentra con una amenaza con la que se pretende asustar al receptor de esta información. Esta exige a la víctima que se dirija a una página web porque, en caso de no hacerlo, sufrirá las consecuencias.
En el caso de que el usuario obedezca las instrucciones de los estafadores, se encontrará con formulario en el que tendrá que introducir datos personales, permitiendo a los extorsionadores saquear sus cuentas bancarias, entre otros hechos.
El phishing no necesita conocimientos técnicos
El problema del phishing es que, a diferencia de otras amenazas que tienen lugar en Internet, no necesita conocimientos técnicos muy altos para ser llevado a cabo. De este modo, se convierte en la manera más sencilla de organizar un ciberataque. Aún así, es la más peligrosa y efectiva. Esto se debe a que ataca a la mente humana a través del miedo y las amenazas. Las personas, en vez de razonar y darse cuenta de la situación que están viviendo, se dejan llevar por el pánico y actúan en consecuencia.
Teniendo en cuenta lo anterior, se puede llegar a la conclusión de que aquellos que ponen en práctica el phishing no pretenden asaltar un ordenador ni vulnerar contraseñas, sino jugar con las emociones de las víctimas. Así, trabajan para que sea el propio usuario quien entregue la llave de sus datos personales en vez de perder tiempo en intentar burlar diversas capas de seguridad técnica.
Tipos de ataques
Ahora que ya sabemos qué es el phishing, podemos empezar a analizar los diferentes tipos que existen. Sin embargo, todos se basan en la misma forma de actuación, y es el uso de un pretexto fraudulento con el fin de adquirir datos que les sirvan para obtener beneficios que les interesen, como dinero o datos personales.
Spear phishing
Normalmente, las campañas que se realizan alrededor de este concepto se basan en mandar emails de forma masiva al mayor número de personas posible. Sin embargo, el spear phishing es un ataque que va dirigido a alguien en concreto. De este modo, atacada a una asociación o a una persona específica mediante contenido personalizado. Por ello, es necesario contar primero con cierta información, como nombres, cargos o dirección de correo electrónico. A los hackers les es sencillo encontrar todo lo anterior en muchas ocasiones, tan solo tienen que buscar en Internet para descubrir esta información. Por ello, el correo electrónico que envían es muy creíble.
De esta manera, un estafador crearía un ataque, por ejemplo, a un empleado que tiene como responsabilidad la autorización de pagos. Así, en el correo, el hacker podría hacerse pasar por un ejecutivo que forma parte de su empresa, exigiendo al trabajador que lleve a cabo un pago concreto. Le solicitará que lo haga mediante un enlace malicioso, aunque aparentemente no lo parezca.
El spear phising es una amenaza muy grave para gobiernos y empresas. Además, cuesta mucho dinero, ya que tras un estudio se llegó a la conclusión de que es el método responsable del 38% de los ciberataques. Asimismo, se analizó que en Estados Unidos, las empresas implicadas habían tenido que hacer frente a 1,8 millones de dólares por incidente.
Phishing de clonación
En el phishing de clonación, los delincuentes se encargan de clonar o copiar correos electrónicos legítimos que se han enviado con anterioridad y que contienen, por ejemplo, un archivo adjunto o un enlace. Después, los estafadores cambian los archivos o los enlaces por contenido malicioso y consiguen su objetivo con gran facilidad. El motivo es que los usuarios se introducen en el contenido del enlace sin ninguna duda, lo que provoca que el plan de los hackers se desarrolle a la perfección.
Telefónico
En el phishing telefónico, el phisher llama a la víctima diciéndole que es el trabajador de un banco, de la Agencia Tributaria o la propia policía. Después, le asusta asegurando que está teniendo lugar un grave problema y que tiene que hacerle frente enseguida. La solución que se le propone es sencilla: pagar una multa que en realidad no existe u ofrecer su número de cuenta para realizar un pago. Normalmente, se solicita una transferencia bancaria, que son difíciles de rastrear.
También existe el phishing mediante mensaje. Se realiza el mismo tipo de estafa que acabamos de describir pero, en esta ocasión, se envía un enlace malicioso en el contenido del sms.
Cómo hacerle frente
Normalmente, la mayoría de navegadores son capaces de analizar si un enlace es o no seguro. Sin embargo, es mucho más importante tener un buen criterio a la hora de actuar. De esta forma, es recomendable no abrir correos que no nos resulten familiares. Tampoco debemos navegar por enlaces que no sabemos a dónde nos van a llevar. Es recomendable buscar el certificado digital del sitio web antes de navegar por él.
Por otro lado, es importante observar si la web comienza por «HTTPS». De ser así, es más probable que sea un sitio seguro, aunque no siempre se cumple esta regla. En el caso de sospecha de que un email es malicioso, podemos copiar un trozo del texto que nos han enviado y llevarlo a un motor de búsqueda. En el caso de que se trate de un ataque de phishing conocido, podremos averiguarlo fácilmente.
Por supuesto, siempre es aconsejable usar algún tipo de software de seguridad antimalware. La mayoría de estas herramientas de seguridad informática pueden averiguar si un archivo adjunto o una dirección es perjudicial para el usuario.
