El phishing, también conocido como ataque de ingeniería social, es probablemente uno de los ciberataques más conocidos en la actualidad. A fin de cuentas, se trata de una estafa o engaño basado en el descuido o el exceso de confianza de las personas.
La propia denominación ofrece una pista muy clara sobre qué es el phishing, ya que recuerda a fishing (en inglés se pronuncian del mismo modo), es decir, pesca. Y es que eso es lo que hacen los delincuentes: pescar en el gran caladero de internautas con el objetivo de que pique el mayor número posible de ellos.
¿Qué es el phishing?
Más allá de este símil, la Oficina de Seguridad del Internauta (OSI) explica del siguiente modo qué es el phishing: “La técnica que consiste en el envío por parte de un delincuente de un correo electrónico a un usuario simulando ser una entidad legítima—red social, banco, institución pública, etc.—con el objetivo de robarle información privada”.
Eso sí, aunque en la actualidad el correo electrónico sigue siendo la principal vía de ataque, los hackers pueden emplear otras como los SMS, los mensajes en redes sociales e incluso los dispositivos USB o memory sticks.
¿Cómo funciona el phishing?
Para comprender mejor qué es el phishing, hay que apuntar el “modus operandi” en un ataque de estas características. Se podría resumir del siguiente modo:
- El usuario recibe un mensaje o un correo electrónico cuyo remitente supuestamente es una empresa real (bancos o empresas de seguros) o alguna organización estatal (Correos, por ejemplo). El objetivo no es otro que hacerle creer que se encuentra ante un comunicado oficial al que tiene que atender.
- Lo más habitual es que en ese mensaje haya un enlace en el que el usuario deberá entrar.
- Una vez que ha hecho clic, se dan varias opciones, aunque las más comunes son que el ciberdelincuente ya tenga acceso al dispositivo o la red del propio usuario, o que le solicite datos personales y bancarios.
Como se puede observar, se trata de un tipo de ingeniería social que puede coger desprevenida a cualquier persona. No en vano, de acuerdo con el informe Verizon 2021 Data Breach Investigations Report (DBIR), el 36% de las brechas de seguridad que se produjeron el pasado año tuvieron algún elemento de phishing.
¿Cómo detectar el Phishing?
Hay cientos de ejemplos de phishing a los que referirse para saber cómo detectar un ciberataque de esta índole. Sin embargo, de poco servirá conocerlos si el usuario no se mantiene alerta ante cualquier tipo de comunicación sospechosa.
Para ello debe fijarse en algunos indicios que “avisarán” de que el correo electrónico o el mensaje no es de fiar:
- Las grandes empresas nunca piden datos personales utilizando un e-mail, aunque la suplantación sea de gran calidad y pueda hacer dudar.
- En la mayoría de las ocasiones, el formato del mensaje no es propio de una gran organización.
- Si hay errores ortográficos o de redacción, lo más probable es que se trate de un intento de ataque.
¿Ejemplos de phishing?
Para entender estos indicios, podemos hacer referencia a dos ejemplos de phishing masivo que se han producido en en 2022.
- Uno de ellos es recurrente y suele aparecer cada cierto tiempo. Consiste en que el usuario reciba un mensaje que supuestamente proviene de Correos avisando de la recepción de algún tipo de paquete. De hecho, el pasado mes de enero, el INCIBE (Instituto Nacional de Ciberseguridad) avisó de que “en la campaña identificada, el email tiene como asunto ‘RE: su número de envío (números aleatorios) está pendiente’, aunque este podría cambiar. En el cuerpo del mensaje se informa al usuario de que su paquete no ha podido ser entregado por dirección incorrecta, y tiene que pagar los costos del envío”.
- Otro ataque que ha llegado a miles de teléfonos ha sido el que suplanta al BBVA y al Banco de Santander. En el SMS que se recibía se podía leer el nombre de la entidad y a continuación “Su cuenta ha sido suspendida temporalmente por motivos de seguridad, siga el enlace para verificar su identidad". Una vez que se entraba en el enlace, se accedía a una página web fraudulenta.
¿Cómo protegerse?
Los ataques de phishing no son todos iguales, ya que los hay que están enfocados a un grupo concreto de personas o incluso en un solo individuo. Sea como fuere, hay algunos consejos que se deben tener presentes para evitar caer en las redes de los ciberdelincuentes:
- El consejo más importante es el de mantenerse alerta y no hacer clic en cualquier enlace que se reciba. Y es que en los ataques de ingeniería social, las mayores vulnerabilidades se encuentran en el comportamiento de las personas.
- Además, conviene mejorar la seguridad de los dispositivos electrónicos. Para ello, hay que instalar las últimas actualizaciones tanto del sistema operativo como de las aplicaciones, puesto que suelen incluir parches de seguridad.
- A esto hay que añadir otras capas de protección como los antivirus, ya que pueden ayudar en caso de ser engañados.
En resumidas cuentas, el phishing es uno de los ataques más sencillos que existen, pero también uno de los más efectivos. Por lo tanto, los ciberdelincuentes lo seguirán utilizando y solo queda protegerse. Esto sin contar que existen multitud de estafas de otros tipos, como el ciberataque a través de WhatsApp que roba tus datos con una pregunta.
Si desea más información sobre el mundo de Internet, no dude en visitar nuestra sección sobre Ciencia y Tecnología para estar al día de las últimas tendencias en este ámbito.