Phishing, el robo de identidad por Internet

La estafa del phishing es una técnica que utilizan los piratas informáticos para engañar a los usuarios y hacerles entregar información confidencial o descargar programas dañinos. 

Es uno de los tipos de ciberdelincuencia más antiguos, pero también uno de los más innovadores. Pues, los hackers desarrollan constantemente nuevos tipos de ataques de phishing para pillar desprevenidos a los internautas y así robar su identidad.

A continuación, te explicaremos qué es el phishing y cinco tipos de estafas habituales.

¿Qué es el phishing?

El phishing consiste en engañar deliberadamente y disfrazar una comunicación enviada desde fuentes legítimas. Pues, se trata de un mensaje que está diseñado para presionar a la persona que lee el correo electrónico para que actúe de forma inmediata. 

Por ejemplo, puedes recibir un correo electrónico que parece proceder de tu banco, diciéndole que hay un problema con tu cuenta. En garantía de tu seguridad, se te pide que actualices los datos siguiendo un enlace.

Pero, si picas y sigues el enlace, accedes a una página que es una copia idéntica de un sitio web auténtico para engañarte e inducirte a introducir tus datos. 

De este modo, los ciberdelincuentes consiguen robarte información confidencial, como contraseñas, números de cuenta o datos del pasaporte y así, realizar compras online, robar dinero y suplantar tu identidad.

Phishing: 5 tipos

Spear phishing 

En un intento de spear phishing, un hacker investiga a fondo un objetivo concreto y envía un mensaje específicamente creado para engañarlo.

Es común que los ataques de spear phishing se dirijan a empleados de organizaciones, con mensajes de correo electrónico que parecen ser de compañeros de trabajo.

Ejemplos:

• Un email de tu empresa que se dirige a ti por tu nombre y parece escrito por un compañero de trabajo.
• Un email de alguien de tu empresa que no conoce y que te pide que le envíes información confidencial.
• Un email de alguien que dice pertenecer al equipo de Recursos Humanos de tu empresa y te pide que abras un enlace para firmar un nuevo manual del empleado.

Whaling 

El “whaling” es un tipo de phishing dirigido a grandes objetivos, o “ballenas”. Algunos de estos objetivos pueden ser directores generales, políticos o miembros destacados de organizaciones.

Los hackers tienden a poner más esfuerzo y sofisticación en este tipo de ataque de phishing, aunque las recompensas son potencialmente enormes.

Ejemplos:

• Un correo electrónico enviado al director general de una empresa por un hacker que se hace pasar por un cliente.
• Un correo electrónico enviado a un equipo de recursos humanos o de nóminas por un pirata informático que se hace pasar por el director general de la empresa.
• Un correo electrónico enviado a un político o a un grupo de políticos por un hacker haciéndose pasar por un organismo gubernamental.

Clon phishing 

El phishing de clonación puede ser uno de los tipos de phishing más difíciles de detectar. Pues, en un intento de clon phishing, el hacker clona un correo electrónico legítimo de una fuente de confianza.

Para la víctima, el correo electrónico puede parecer la continuación de una conversación anterior. Pero este mensaje clonado puede contener un enlace malicioso.

Algunos ejemplos son:

Un correo electrónico enviado por un hacker que se hace pasar por su madre y le pide que abra un enlace para ver una foto de sus vacaciones.

Un correo electrónico enviado por un hacker haciéndose pasar por un socio comercial cercano, pidiéndole que abra un archivo adjunto para ver una nueva propuesta.

Vishing 

El vishing es el phishing mediante llamada telefónica. El enfoque es el mismo que en cualquier otro tipo de phishing: aparentar legitimidad para obtener información sensible de la víctima.

Mantén siempre la cautela si recibes una llamada no solicitada reclamando información sensible.

Ejemplos:

• Cuenta bancaria comprometida. En este tipo de ataque de vishing, un hacker puede llamar e intentar convencerle de que su cuenta bancaria se ha visto comprometida y corre el riesgo de sufrir un ciberataque. 
• Una oferta de ensueño. Algunos hackers pueden llamar ofreciéndote un préstamo o un premio en un intento de recopilar su información personal. Estas ofertas pueden parecer muy tentadoras, pero no se deje engañar.
• Estafas fiscales. Algunos hackers de vishing se hacen pasar por recaudadores de impuestos y amenazan o atemorizan a sus víctimas hablándoles de deudas tributarias pendientes y cuantiosas multas.

Smishing

En un ataque de smishing, puedes recibir un mensaje de un amigo o familiar pidiéndote que transfieras dinero por una factura impagada.

Los piratas informáticos también pueden intentar obtener otra información personal, como datos bancarios, números de tarjeta, direcciones de correo electrónico, etc. 

En muchos casos de smishing, el pirata informático simplemente intenta robar fondos, pero también puede estar intentando robar la identidad. 

Ejemplos de smishing:

• Smishing bancario. Esta estafa intenta que actúe diciendo que su cuenta bancaria ha sido pirateada, cuando en realidad se trata del propio intento de pirateo.
• Malware smishing. Con esta estafa, puede recibir un mensaje de texto animándole a descargar algo en su teléfono, como una aplicación. Esta aplicación puede parecer de una fuente de confianza, pero podría utilizarse para acceder a datos confidenciales de su móvil a través de una “puerta trasera”.
• Smishing de dinero. Estos intentos pueden parecer una petición de dinero de alguien que conoces. Son intentos de “ingeniería social” para que tomes una mala decisión, es decir, quieren hacerte sentir en pánico o culpable, para que te sientas tentado a enviar dinero rápidamente.