¿Qué es phishing?

El phishing es una técnica de estafa basada en la ingeniería social que utiliza técnicas de suplantación o mensajes falsos para tratar de obtener información –o dinero– a costa de la ingenuidad de quienes caigan en su trampa. Se trata de una de las formas de estafa más extendidas desde que existe internet, hasta el punto de que el pasado año protagonizó aproximadamente un 32% de todas las filtraciones de datos del mundo.

Existen muy diversos tipos de phishing. Ejemplos de phishing son los correos electrónicos falsos, la suplantación de webs, o los mensajes de texto fraudulentos. Pueden categorizarse de la siguiente manera:

El spear phishing es un tipo de ciberataque que está diseñado para atacar a una víctima en específico, de manera que el atacante realiza un completo estudio sobre la víctima previo al ataque para poder hacerse pasar después por una persona de confianza, quizá un compañero de trabajo, o una plataforma de confianza en la que tenga una cuenta personal.

El whaling es una técnica de phishing en la que el atacante se hace pasar por una persona de alto nivel dentro de una esfera determinada, por ejemplo un directivo, un gran accionista, etcétera. Si un empleado de la empresa o la institución que recibe el ataque cae ante esta estafa, es probable que facilite información o fondos al atacante.

Este tipo de ciberataque se realiza después de obtener información sobre algunos de los correos electrónicos recibidos recientemente por la víctima. El atacante entonces pasa a duplicar uno de estos correos, haciéndole ligeras modificaciones para incluir un enlace que conduzca a una descarga de malware, o un link de pago que le permita recibir dinero de su víctima. Bajo el pretexto de que el correo falso es una actualización del anterior, la víctima cae en la trampa y queda infectada o facilita sus datos bancarios.

Se trata de dos tipos de phishing muy similares que se realizan mediante el teléfono, bien a través del SMS –en el caso del smishing– o de una llamada telefónica –en el caso del vishing.

El smishing es un ciberataque que acostumbra a hacerse mediante la inclusión de un enlace en un SMS para que la víctima realice un pago o descargue alguno de los principales tipos de malware. Una estafa reciente de smishing enviaba mensajes haciéndose pasar por empresas de mensajería como MRW o Seur, y reclamaba el pago de una pequeña cantidad de dinero para desbloquear el envío de un pedido online. Cuando la víctima realizaba el pago, los hackers robaban sus datos bancarios y vaciaban su cuenta.

El vishing, por su parte, acostumbra a funcionar mediante una llamada telefónica estresante donde se hace creer a las víctimas que alguien ha tratado de usar su tarjeta de crédito o que han sido víctimas de una filtración de datos por parte de su proveedor de internet. Durante el falso proceso de reparación de este problema, se engatusa a la víctima para que facilite datos con los que luego el atacante podrá robar sus fondos.

El phishing es un tipo de ciberataque diferente a otros. A diferencia del malware, no hay cómo eliminar phishing con un antivirus. Algunas de las técnicas que puedes usar para protegerte del phishing son:

• Filtros antispam. Los filtros antispam de tu correo electrónico están diseñados para impedir que lleguen a tu bandeja de entrada cientos o miles de correos electrónicos falsos que siguen un mismo patrón, reduciendo la amenaza del phishing en tu correo.
• Filtros de navegador. De forma similar, herramientas como Cybersec instaladas en tu navegador pueden protegerte si haces clic accidentalmente en un enlace peligroso, comprobando en instantes si el enlace se encuentra en una base de datos de webs fraudulentas.
• Mantenerte alerta. En ocasiones podemos detectar los mensajes de phishing si prestamos la suficiente atención. Comprueba la dirección y el contenido de tus correos electrónicos para asegurarte de que sean legítimos, y sospecha incluso de las más pequeñas variaciones que se salgan de lo habitual.
• Evitar los enlaces. Si recibes un correo electrónico de tu banco o de una de tus plataformas online con un enlace sospechoso, no hagas clic en él. En lugar de esto, ve a tu navegador y accede a tu banco o tu plataforma manualmente desde allí. Si se trata de un correo legítimo, podrás encontrar la misma información en la plataforma, y, si no, habrás evitado un ataque de phishing.
• Usar una VPN. El uso de una VPN puede ayudarte a prevenir el phishing al mantener todo tu tráfico encriptado, ya que los protocolos TCP y UDP no suelen ser suficientes para garantizar tu privacidad online. Con una VPN evitarás, por ejemplo, que se filtren tus correos al usar una red Wi-Fi desprotegida, y que puedan dar pie a un ataque de spear phishing.